2 изолированные сети на одном микротике + доступ к ПК в 2 сетях

wolodyawggu · 17 май 2021, 07:58

Здравствуйте, что мы имеем 3 подсети:
1 сеть = 192.168.1.0/24
2 сеть = 192.168.4.0/24
3 сеть = 192.168.100.0/24
Создал правила фильтрации, для того чтобы не видно было эти сети между собой (убрал маскарады)

Код: Выделить всё

add action=drop chain=forward  dst-address=192.168.4.0/24 src-address=192.168.1.0/24
add action=drop chain=forward  dst-address=192.168.1.0/24 src-address=192.168.4.0/24
add action=drop chain=forward  dst-address=192.168.100.0/24 src-address=192.168.1.0/24
add action=drop chain=forward  dst-address=192.168.1.0/24 src-address=192.168.100.0/24
add action=drop chain=forward  dst-address=192.168.100.0/24 src-address=192.168.4.0/24
add action=drop chain=forward  dst-address=192.168.4.0/24 src-address=192.168.100.0/24

Все хорошо обрабатывает, доступа нет к ресурсам сети.
Теперь хочется реализовать следующую штуку:
1. компьютеры 192.168.1.101,192.168.1.102,192.168.1.200 можно было видеть в сетевом окружении и иметь доступ к общим папкам в локальной сети 2 с адресацией 192.168.4.0/24
2. компьютеры 192.168.4.150,192.168.4.90 можно было видеть в сетевом окружении и иметь доступ к общим папкам в локальной сети 1 с адресацией 192.168.1.0/24 (ну это я сделаю по аналогии с 1 штукой)
Делал на одном компе пробовал правило засунул вверх самый, результатов 0

Код: Выделить всё

add action=accept chain=forward disabled=no dst-address=192.168.1.0/24 src-address=192.168.4.90
add action=accept chain=forward disabled=no dst-address=192.168.4.90 src-address=192.168.1.0/24

Как это можно реализовать?

Конфигурация NAT

Код: Выделить всё

/ip firewall address-list
add address=192.168.1.2 list=to_wan2
add address=192.168.1.3 list=to_wan1
add address=192.168.1.4 list=to_wan3
/ip firewall filter
add action=accept chain=forward src-address=192.168.1.54
add action=accept chain=forward comment="Videoregistrator Cyfron prosmotr IP" \
    disabled=yes log=yes src-address=192.168.1.40
add action=accept chain=forward comment="Inet Camera Xiaomi prosmotr IP" \
    disabled=yes log=yes src-address=192.168.1.50
add action=accept chain=forward dst-address=192.168.4.101 protocol=tcp \
    src-address=192.168.1.0/24
add action=accept chain=forward comment="Printer HP 1536 Sch9 v Info" \
    dst-address=192.168.4.90 src-address=192.168.1.101
add action=accept chain=forward dst-address=192.168.4.90 src-address=\
    192.168.1.0/24
add action=accept chain=forward dst-address=192.168.1.0/24 src-address=\
    192.168.4.90
add action=drop chain=forward comment="Drop Sch9 i Info" dst-address=\
    192.168.4.0/24 src-address=192.168.1.0/24
add action=drop chain=forward comment="Drop  Info i Sch9" dst-address=\
    192.168.1.0/24 src-address=192.168.4.0/24
add action=drop chain=forward comment="Drop Sch9 i Zakritaya" dst-address=\
    192.168.100.0/24 src-address=192.168.1.0/24
add action=drop chain=forward comment="Drop Zakritaya i Sch9" dst-address=\
    192.168.1.0/24 src-address=192.168.100.0/24
add action=drop chain=forward comment="Drop Info i Zakriyaya" dst-address=\
    192.168.100.0/24 src-address=192.168.4.0/24
add action=drop chain=forward comment="Drop Zakriyaya i Info" dst-address=\
    192.168.4.0/24 src-address=192.168.100.0/24
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=wan1_route \
    passthrough=no src-address-list=to_wan1
add action=mark-routing chain=prerouting new-routing-mark=wan2_route \
    passthrough=no src-address-list=to_wan2
add action=mark-routing chain=prerouting new-routing-mark=wan3_route \
    passthrough=no src-address-list=to_wan3
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat disabled=yes out-interface=bridge1
add action=masquerade chain=srcnat disabled=yes out-interface=bridge2
add action=masquerade chain=srcnat disabled=yes out-interface=bridge4
/ip firewall service-port
set ftp disabled=yes

xvo · 17 май 2021, 08:38

Чтобы видеть устройства из другой сети в сетевом окружении нужен сервер WINS.
NAT вам тут ничем не поможет.

Чтобы был доступ на устройства в другой сети, NAT тоже абсолютно без надобности.
Разрешайте хождение куда надо в firewall, и ходите по IP адресам.

wolodyawggu · 17 май 2021, 08:43

xvo писал(а): ↑17 май 2021, 08:38 Чтобы видеть устройства из другой сети в сетевом окружении нужен сервер WINS.
NAT вам тут ничем не поможет.

Чтобы был доступ на устройства в другой сети, NAT тоже абсолютно без надобности.
Разрешайте хождение куда надо в firewall, и ходите по IP адресам.

Можно пример хотябы 1 как разрешить?

xvo · 17 май 2021, 08:57

Пример чего?

wolodyawggu · 17 май 2021, 10:02

xvo писал(а): ↑17 май 2021, 08:57 Пример чего?

Разрешайте хождение куда надо в firewall, и ходите по IP адресам.

xvo · 17 май 2021, 10:57

Ну так у вас выше целая портянка запрещающих правил (которую, кстати, хорошо бы заменить на что-то работающее от обратной логики - что-то разрешать, остальное запрещать).

Вот по аналогии и сделайте разрешающие:

Код: Выделить всё

/ip firewall add action=accept chain=forward  dst-address=192.168.1.101 src-address=192.168.4.0/24

Подтяуть повыше и проверить что правило разрешающее established,related тоже на месте.

wolodyawggu · 17 май 2021, 11:35

xvo писал(а): ↑17 май 2021, 10:57 Ну так у вас выше целая портянка запрещающих правил (которую, кстати, хорошо бы заменить на что-то работающее от обратной логики - что-то разрешать, остальное запрещать).

Вот по аналогии и сделайте разрешающие:
Код: Выделить всё
/ip firewall add action=accept chain=forward  dst-address=192.168.1.101 src-address=192.168.4.0/24
Подтяуть повыше и проверить что правило разрешающее established,related тоже на месте.

Код: Выделить всё

Ну так у вас выше целая портянка запрещающих правил (которую, кстати, хорошо бы заменить на что-то работающее от обратной логики - что-то разрешать, остальное запрещать).

Как один из вариантов изолирование сетей, чтобы они не видели друг друга.

Код: Выделить всё

/ip firewall add action=accept chain=forward  dst-address=192.168.4.90 src-address=192.168.1.0/24

На этом пробую компе.

wolodyawggu · 18 май 2021, 21:11

xvo писал(а): ↑17 май 2021, 10:57 Ну так у вас выше целая портянка запрещающих правил (которую, кстати, хорошо бы заменить на что-то работающее от обратной логики - что-то разрешать, остальное запрещать).

Вот по аналогии и сделайте разрешающие:
Код: Выделить всё
/ip firewall add action=accept chain=forward  dst-address=192.168.1.101 src-address=192.168.4.0/24
Подтяуть повыше и проверить что правило разрешающее established,related тоже на месте.

Ну так у вас выше целая портянка запрещающих правил (которую, кстати, хорошо бы заменить на что-то работающее от обратной логики - что-то разрешать, остальное запрещать).
А как сделать по обратной логике?

Код: Выделить всё

/ip firewall add action=accept chain=forward  dst-address=192.168.1.101 src-address=192.168.4.0/24
Подтяуть повыше и проверить что правило разрешающее established,related тоже на месте.

Не хочет работать

xvo · 18 май 2021, 21:26

Полный экспорт всей цепочки приложите.

wolodyawggu · 18 май 2021, 21:44

xvo писал(а): ↑18 май 2021, 21:26 Полный экспорт всей цепочки приложите.

Код: Выделить всё

/ip firewall address-list
add address=192.168.1.2 list=to_wan2
add address=192.168.1.3 list=to_wan1
add address=192.168.1.4 list=to_wan3
/ip firewall filter
add action=accept chain=forward comment="Network MHS Router" src-address=\
    192.168.1.54
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward comment="Printer HP 1536 Sch9 v Info" \
    dst-address=192.168.4.0/24 src-address=192.168.1.96
add action=accept chain=forward dst-address=192.168.4.0/24 src-address=\
    192.168.1.101
add action=accept chain=forward comment="Videoregistrator Cyfron prosmotr IP" \
    disabled=yes log=yes src-address=192.168.1.40
add action=accept chain=forward comment="Inet Camera Xiaomi prosmotr IP" \
    disabled=yes log=yes src-address=192.168.1.50
add action=drop chain=forward comment="Drop Sch9 i Info" dst-address=\
    192.168.4.0/24 src-address=192.168.1.0/24
add action=drop chain=forward comment="Drop  Info i Sch9" dst-address=\
    192.168.1.0/24 src-address=192.168.4.0/24
add action=drop chain=forward comment="Drop Sch9 i Zakritaya" dst-address=\
    192.168.100.0/24 src-address=192.168.1.0/24
add action=drop chain=forward comment="Drop Zakritaya i Sch9" dst-address=\
    192.168.1.0/24 src-address=192.168.100.0/24
add action=drop chain=forward comment="Drop Info i Zakriyaya" dst-address=\
    192.168.100.0/24 src-address=192.168.4.0/24
add action=drop chain=forward comment="Drop Zakriyaya i Info" dst-address=\
    192.168.4.0/24 src-address=192.168.100.0/24
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=wan1_route \
    passthrough=no src-address-list=to_wan1
add action=mark-routing chain=prerouting new-routing-mark=wan2_route \
    passthrough=no src-address-list=to_wan2
add action=mark-routing chain=prerouting new-routing-mark=wan3_route \
    passthrough=no src-address-list=to_wan3
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat disabled=yes out-interface=bridge1
add action=masquerade chain=srcnat disabled=yes out-interface=bridge2
add action=masquerade chain=srcnat disabled=yes out-interface=bridge4
/ip firewall service-port
set ftp disabled=yes

2 изолированные сети на одном микротике + доступ к ПК в 2 сетях

Вход • Регистрация