2 микротика и 2 подсети

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Piratos
Сообщения: 10
Зарегистрирован: 15 апр 2021, 15:57

Добрый день.
Подскажите пожалуйста.
Имеется 2 роутера микротика:
1.RB4011 сеть 192.168.5.0/24 его адрес 192.168.5.1. На нем поднят инет, Firewall, nat, dhcp, capsman
2.RB962 сеть 192.168.0.0/24 его адрес 192.168.0.1. На нем поднят dhcp и capsman. Firewall и nat отключены

Из микротика 1 через порт 8 соединен второй микротик в порт Wan ip 192.168.5.25 статика. Инет есть, а вот пинги из сети 192.168.5.0/24 в сеть 192.168.0.0/24 не ходят, а обратно ЕСТЬ.
Как мне это сделать?
Заранее благодарен.


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

на первом Микротике маршрут прописать до сети второго Микротика


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
Piratos
Сообщения: 10
Зарегистрирован: 15 апр 2021, 15:57

bst-botsman писал(а): 15 апр 2021, 18:32 на первом Микротике маршрут прописать до сети второго Микротика
Не подскажете какой?
я перепробовал все варианты


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Вообще что-то не вяжется: если нат отключен, то без маршрута ничего бы не работало.
Так что больше похоже, что у вас там дефолтный маскарад таки работает.

А так маршрут должен быть до 192.168.0.0/24 через 192.168.5.25


Telegram: @thexvo
Piratos
Сообщения: 10
Зарегистрирован: 15 апр 2021, 15:57

xvo писал(а): 15 апр 2021, 19:08 Вообще что-то не вяжется: если нат отключен, то без маршрута ничего бы не работало.
Так что больше похоже, что у вас там дефолтный маскарад таки работает.

А так маршрут должен быть до 192.168.0.0/24 через 192.168.5.25
Писал я такой маршрут - вот что он пишет:
Обмен пакетами с 192.168.0.2 по с 32 байтами данных:
Ответ от 192.168.5.1: Превышен срок жизни (TTL) при передаче пакета.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну а firewall на микротике1 разрешает вот это вот все?

Ну и все-таки по поводу ната на микротике2: покажите /ip firewall nat export


Telegram: @thexvo
Piratos
Сообщения: 10
Зарегистрирован: 15 апр 2021, 15:57

вот такие правила firewall есть на первом микротике
add action=accept chain=forward comment=\
"\CF\F0\E0\E2\E8\EB\EE \F2\F3\ED\E5\EB\" dst-address=192.168.5.0/24 \
src-address=192.168.0.0/24
add action=accept chain=forward comment=\
"\CF\F0\E0\E2\E8\EB\EE \F2\F3\ED\E5\EB\FF " dst-address=192.168.0.0/24 \
src-address=192.168.5.0/24


Вот NAT
 
# apr/15/2021 20:34:06 by RouterOS 6.48.2
# software id = G30H-CBFT
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = 8A7708C46AA8
/ip firewall nat
add action=redirect chain=dstnat comment="\C2\F1\E5 \E7\E0\EF\F0\EE\F1\FB DNS \
\F2\EE\EB\FC\EA\EE \F7\E5\F0\E5\E7 \EC\E8\EA\F0\EE\F2\E8\EA \EF\EE TCP" \
dst-port=53 protocol=tcp
add action=dst-nat chain=dstnat comment="DNS Rules for PiHole" dst-address=\
!192.168.0.15 dst-port=53 in-interface=bridge protocol=udp src-address=\
!192.168.0.15 to-addresses=192.168.0.15
add action=masquerade chain=srcnat comment="DNS Rules for PiHole" dst-address=\
192.168.0.15 dst-port=53 protocol=udp src-address=192.168.0.0/24
add action=dst-nat chain=dstnat comment="DNS Rules for Mikrotik" disabled=yes \
dst-address=!192.168.0.1 dst-port=53 in-interface=bridge protocol=udp \
src-address=!192.168.0.1 to-addresses=192.168.0.1
add action=masquerade chain=srcnat comment="DNS Rules for Mikrotik" disabled=\
yes dst-address=192.168.0.1 dst-port=53 protocol=udp src-address=\
192.168.0.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment=\
"\C4\EB\FF L2TP \E4\EE\F1\F2\F3\EF \EA \EA\E0\EC\E5\F0\E0\EC" disabled=yes \
out-interface=ether1
add action=redirect chain=dstnat comment="\C2\D0\C5\CC\C5\CD\CD\CE \CE\D2\CA\CB\
\DE\D7\C5\CD\CE \C2\F1\E5 \E7\E0\EF\F0\EE\F1\FB DNS \F2\EE\EB\FC\EA\EE \F7\
\E5\F0\E5\E7 \EC\E8\EA\F0\EE\F2\E8\EA \EF\EE UDP" disabled=yes dst-port=53 \
protocol=udp
add action=accept chain=srcnat comment=\
"\CF\F0\E0\E2\E8\EB\EE \E4\EB\FF \F2\F3\ED\E5\EB\FF IPsec" disabled=yes \
dst-address=192.168.5.0/24 src-address=192.168.0.0/24
[admin@CAPsMAN Servernay] >
/spoiler]


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А говорите, отключен...

Код: Выделить всё

add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN


Telegram: @thexvo
Piratos
Сообщения: 10
Зарегистрирован: 15 апр 2021, 15:57

xvo писал(а): 15 апр 2021, 19:41 А говорите, отключен...

Код: Выделить всё

add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
Я это правило отключал и включал, оно не влияет, пингов так и нет.
Это правило у меня, чтоб заходить по внешнему IP на локальный ресурс сети.

Подскажите, что надо сделать?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Отключить это правило и добавить на другом микротике маршрут.
И еще посмотреть не мешает ли firewall.


Telegram: @thexvo
Ответить