Две сети на одном Микротике - натсроить доступ между ними.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
TDA
Сообщения: 0
Зарегистрирован: 14 мар 2014, 04:29

Всем привет.
При помощи данного форума был настроен Микротик для небольшой организации.
1 и 2 порт это два провайдера (с переключением между ними в случае проблем),
3 порт подсеть 192.168.1.0
5 порт подсеть 192.168.2.0

И во встала задача дать доступ НЕКОТОРЫМ компам из подсети 1.0 в сеть 2.0 и наоборот.

Поиск ничего не дал - или варианты дать доступ всем, или наоборот запретить всем.

На данный момент эти две сети друг друга не видят.

Собсно вопрос как реализовать такой вариант?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

что значит "Две сети не видят друг друга" ?


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
WhiteWolf
Сообщения: 55
Зарегистрирован: 15 сен 2015, 09:10
Откуда: НСК

На данный момент эти две сети друг друга не видят.
Если у Вас сети НАТятся вот такими правилами
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.2.0/24
то естественно, что они не видят друг-друга. Так как для сети 1.0 сеть 2.0 является внешней и пакеты минуя маршрут до сети 2.0 отправляются вместо 5 порта в порт WAN, где естественно дропаются провайдером, соответственно и на оборот.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

WhiteWolf писал(а):то естественно, что они не видят друг-друга. Так как для сети 1.0 сеть 2.0 является внешней и пакеты минуя маршрут до сети 2.0 отправляются вместо 5 порта в порт WAN, где естественно дропаются провайдером, соответственно и на оборот.


неверное замечание ибо НАТ ничего никуда не направляет.
Эти правила стоит читать так:

ЕСЛИ адрес источника из сети 192.168.1.0/24 и исходящий интерфейс WAN то преобразовать адрес

А направить соединение принудительно вы можете в прироутинге, в НАТ уже исходящий интерфейс определен


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
WhiteWolf
Сообщения: 55
Зарегистрирован: 15 сен 2015, 09:10
Откуда: НСК

Ну не знаю. По факту стоит только в правиле ната указать исходящий интерфейс и источник сети, то эта сеть перестает маршрутизироватся в другие сети.
Сейчас собрал тестовый стенд на RB433и два ПК 192.168.0.3 во второй порт и 192.168.1.15 в третий. Шлюзом и DNS соответственно IP микротикаю
На микротике следующий конфиг (остальное все в дефолте после сброса)

Код: Выделить всё

/ip address
add address=192.168.0.1/24 interface=ether2 network=192.168.0.0
add address=192.168.1.1/24 interface=ether3 network=192.168.1.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
    interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24
add action=masquerade chain=srcnat src-address=192.168.1.0/24
Так оба ПК видят друг друга, даже нетбиос имена в сетевом окружении видны.

Меняем конфиг на

Код: Выделить всё

/ip address
add address=192.168.0.1/24 interface=ether2 network=192.168.0.0
add address=192.168.1.1/24 interface=ether3 network=192.168.1.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
    interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.1.0/24

Все, ПК даже не могут пинговать друг-друга.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

это лишь говорит о том что сети не знают друг друга

Можете еще попробовать ))

В случае если у вас происходит преобразование адресов из сети А в сеть Б то на сетевых устройствах в сети Б обращения происходят с адреса маршрутизатора в сети Б.

Это есть костыль но помогает победить всякие там фаерволы и антивирусы ибо они эти соеденения считают своими.

При прямой маршрутизации устройства общаются напрямую но в 99% случаев есть одна и та же ошибка. Народ ставит антивирусы, фаерволы и т.п. но соседние сети не добавляет

Конкретно если рассматривать
/ip address
add address=192.168.0.1/24 interface=ether2 network=192.168.0.0
add address=192.168.1.1/24 interface=ether3 network=192.168.1.0

То тушим вообще все наты (оставляем только наружу)

Дальше на ПК гасим антивирусы, фаерволы и пинги начинают ходить замечательно, при этом если на самом ПК вы посмотрите входящие соединения то там будет прямой адрес ПК из соседней сети, в случае с нат адрес маршрутизатора.


Есть интересная задача и бюджет? http://mikrotik.site
TDA
Сообщения: 0
Зарегистрирован: 14 мар 2014, 04:29

WhiteWolf писал(а):Если у Вас сети НАТятся вот такими правилами
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.2.0/24
то естественно, что они не видят друг-друга. Так как для сети 1.0 сеть 2.0 является внешней и пакеты минуя маршрут до сети 2.0 отправляются вместо 5 порта в порт WAN, где естественно дропаются провайдером, соответственно и на оборот.


У меня прописано так:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1
add action=masquerade chain=srcnat out-interface=WAN2



vqd писал(а):
Дальше на ПК гасим антивирусы, фаерволы и пинги начинают ходить замечательно, при этом если на самом ПК вы посмотрите входящие соединения то там будет прямой адрес ПК из соседней сети, в случае с нат адрес маршрутизатора.


Мне не нужен доступ всем.
Нужно только определённым компьютерам ать возможность доступа к сетевым папкам из другой сети.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну так в чем проблемма то???
Создаем фильтр + аддресс лист


Есть интересная задача и бюджет? http://mikrotik.site
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Кроме криво настроенных антивирусов и фаерволлов на компах, там и на самом микротике могут быть всякие ненужные правила фаерволла.
Почему-то их туда суют по принципу: все, что нашел в интернете, то и засуну.

Повыключайте там все. Включите потом, как все остальное будет работать.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

gmx писал(а):Почему-то их туда суют по принципу: все, что нашел в интернете, то и засуну.



О это да. Буквально вчера был клиент такой. Я когда увидел конфиг минут 20 пытался понять как оно вообще работает. В результате выкатил 2 ценника, первый за разгрести, второй за настройку с нуля.
Человек выбрал второй вариант ибо он дешевле


Есть интересная задача и бюджет? http://mikrotik.site
Ответить