А что именно не работает?
А то есть подозрение, что вы адрес источника и адрес назначения перепутали в этих новых правилах.
2 изолированные сети на одном микротике + доступ к ПК в 2 сетях
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Telegram: @thexvo
-
wolodyawggu
- Сообщения: 180
- Зарегистрирован: 30 дек 2019, 16:47
Пробовал и наоборот, тоже не выходит. Неработает например общие папки, хотя по логике должен. Сетевой принтер 96, не хочет работать из сети 4.0/24. Не пингуется хотя брандмауэры успокоены не из 4.0/24 в 1.0/24 не обратно.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну в общем чего тут пробовать - если вам нужен доступ к камере, то её адрес должен быть в качестве назначения.
В таком виде в firewall'е у вас ничего этому доступу препятствовать не будет.
Хотя куча других вопросов к нему имеется: например на сам роутер у вас доступ открыт отовсюду - хоть из любой внутренней сети, хоть из WAN.
Ну а все ваши drop правила из цепочки forward можно по смыслу заменить на:
В таком виде в firewall'е у вас ничего этому доступу препятствовать не будет.
Хотя куча других вопросов к нему имеется: например на сам роутер у вас доступ открыт отовсюду - хоть из любой внутренней сети, хоть из WAN.
Ну а все ваши drop правила из цепочки forward можно по смыслу заменить на:
Код: Выделить всё
add action=accept chain=forward out-interface-list=WAN
add action=drop chain=forwardTelegram: @thexvo
-
wolodyawggu
- Сообщения: 180
- Зарегистрирован: 30 дек 2019, 16:47
Мы подключены через прокси, там чисто физически закрыты винбокс порты (ну по крайней мере я не могу попасть из дома), в Сервисе я выставил только локальные адреса для подключения к роутеру через винбокс.xvo писал(а): ↑18 май 2021, 22:53 Ну в общем чего тут пробовать - если вам нужен доступ к камере, то её адрес должен быть в качестве назначения.
В таком виде в firewall'е у вас ничего этому доступу препятствовать не будет.
Хотя куча других вопросов к нему имеется: например на сам роутер у вас доступ открыт отовсюду - хоть из любой внутренней сети, хоть из WAN.
Ну а все ваши drop правила из цепочки forward можно по смыслу заменить на:
Код: Выделить всё
add action=accept chain=forward out-interface-list=WAN add action=drop chain=forward
Правила которые у меня под дропом, я надыбыл на этом же форуме что то там с 3 сетями, там чувак так же закрывал доступ.
Код: Выделить всё
add action=accept chain=forward out-interface-list=WAN
add action=drop chain=forwardПри таком правиле обмен внутри сетях останется?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
При таком подходе все, что вы в явном виде не разрешите выше - будет запрещено.
А все что ходит внутри каждой из сетей в firewall вообще не попадает.
Telegram: @thexvo
-
wolodyawggu
- Сообщения: 180
- Зарегистрирован: 30 дек 2019, 16:47
Ввел которые вы рекомендовали правила. Внес комп к которому хочу получить доступ в сети 4.0 из сети 1.0. Ни доступа нет ни пинга. Код прилагаю.
Код: Выделить всё
add action=accept chain=forward comment="Network Router" src-address=\
192.168.1.54
add action=accept chain=forward dst-address=192.168.1.0/24 src-address=\
192.168.4.130
add action=accept chain=forward dst-address=192.168.4.130 src-address=\
192.168.1.0/24
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward out-interface-list=WAN
add action=drop chain=forward
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Во-первых, accept established,related желательно размещать самым верхним.
Во-вторых, на самом то компе firewall отключен или в нем разрешен доступ из других подсетей?
Во-вторых, на самом то компе firewall отключен или в нем разрешен доступ из других подсетей?
Telegram: @thexvo
-
wolodyawggu
- Сообщения: 180
- Зарегистрирован: 30 дек 2019, 16:47
1. Переместил вверх.
2. Брандмауэр выключен. Поменял на частную, презагрузил. Внутри 4.0 доступ к нему есть, а вот из 1.0 нет, и наоброт. Добавил еще так же 1.101 тоже 0
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Запускайте torch на обоих интерфейсах и смотрите на каком этапе пакеты теряются - внутри самого микротика в одну сторону / где-то на компе назначения / на микротике в другую сторону.
Еще раз проверьте, нет ли где-нибудь "лишнего" NAT'а между внутренними интерфейсами.
Еще раз проверьте, нет ли где-нибудь "лишнего" NAT'а между внутренними интерфейсами.
Telegram: @thexvo
-
wolodyawggu
- Сообщения: 180
- Зарегистрирован: 30 дек 2019, 16:47
Что то там по 0, пусто.xvo писал(а): ↑20 май 2021, 18:11 Запускайте torch на обоих интерфейсах и смотрите на каком этапе пакеты теряются - внутри самого микротика в одну сторону / где-то на компе назначения / на микротике в другую сторону.
Еще раз проверьте, нет ли где-нибудь "лишнего" NAT'а между внутренними интерфейсами.