Всем привет.
При помощи данного форума был настроен Микротик для небольшой организации.
1 и 2 порт это два провайдера (с переключением между ними в случае проблем),
3 порт подсеть 192.168.1.0
5 порт подсеть 192.168.2.0
И во встала задача дать доступ НЕКОТОРЫМ компам из подсети 1.0 в сеть 2.0 и наоборот.
Поиск ничего не дал - или варианты дать доступ всем, или наоборот запретить всем.
На данный момент эти две сети друг друга не видят.
Собсно вопрос как реализовать такой вариант?
Две сети на одном Микротике - натсроить доступ между ними.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
- WhiteWolf
- Сообщения: 55
- Зарегистрирован: 15 сен 2015, 09:10
- Откуда: НСК
Если у Вас сети НАТятся вот такими правиламиНа данный момент эти две сети друг друга не видят.
то естественно, что они не видят друг-друга. Так как для сети 1.0 сеть 2.0 является внешней и пакеты минуя маршрут до сети 2.0 отправляются вместо 5 порта в порт WAN, где естественно дропаются провайдером, соответственно и на оборот./ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.2.0/24
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
WhiteWolf писал(а):то естественно, что они не видят друг-друга. Так как для сети 1.0 сеть 2.0 является внешней и пакеты минуя маршрут до сети 2.0 отправляются вместо 5 порта в порт WAN, где естественно дропаются провайдером, соответственно и на оборот.
неверное замечание ибо НАТ ничего никуда не направляет.
Эти правила стоит читать так:
ЕСЛИ адрес источника из сети 192.168.1.0/24 и исходящий интерфейс WAN то преобразовать адрес
А направить соединение принудительно вы можете в прироутинге, в НАТ уже исходящий интерфейс определен
Есть интересная задача и бюджет? http://mikrotik.site
- WhiteWolf
- Сообщения: 55
- Зарегистрирован: 15 сен 2015, 09:10
- Откуда: НСК
Ну не знаю. По факту стоит только в правиле ната указать исходящий интерфейс и источник сети, то эта сеть перестает маршрутизироватся в другие сети.
Сейчас собрал тестовый стенд на RB433и два ПК 192.168.0.3 во второй порт и 192.168.1.15 в третий. Шлюзом и DNS соответственно IP микротикаю
На микротике следующий конфиг (остальное все в дефолте после сброса)
Так оба ПК видят друг друга, даже нетбиос имена в сетевом окружении видны.
Меняем конфиг на
Все, ПК даже не могут пинговать друг-друга.
Сейчас собрал тестовый стенд на RB433и два ПК 192.168.0.3 во второй порт и 192.168.1.15 в третий. Шлюзом и DNS соответственно IP микротикаю
На микротике следующий конфиг (остальное все в дефолте после сброса)
Код: Выделить всё
/ip address
add address=192.168.0.1/24 interface=ether2 network=192.168.0.0
add address=192.168.1.1/24 interface=ether3 network=192.168.1.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24
add action=masquerade chain=srcnat src-address=192.168.1.0/24
Меняем конфиг на
Код: Выделить всё
/ip address
add address=192.168.0.1/24 interface=ether2 network=192.168.0.0
add address=192.168.1.1/24 interface=ether3 network=192.168.1.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.1.0/24
Все, ПК даже не могут пинговать друг-друга.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
это лишь говорит о том что сети не знают друг друга
Можете еще попробовать ))
В случае если у вас происходит преобразование адресов из сети А в сеть Б то на сетевых устройствах в сети Б обращения происходят с адреса маршрутизатора в сети Б.
Это есть костыль но помогает победить всякие там фаерволы и антивирусы ибо они эти соеденения считают своими.
При прямой маршрутизации устройства общаются напрямую но в 99% случаев есть одна и та же ошибка. Народ ставит антивирусы, фаерволы и т.п. но соседние сети не добавляет
Конкретно если рассматривать
/ip address
add address=192.168.0.1/24 interface=ether2 network=192.168.0.0
add address=192.168.1.1/24 interface=ether3 network=192.168.1.0
То тушим вообще все наты (оставляем только наружу)
Дальше на ПК гасим антивирусы, фаерволы и пинги начинают ходить замечательно, при этом если на самом ПК вы посмотрите входящие соединения то там будет прямой адрес ПК из соседней сети, в случае с нат адрес маршрутизатора.
Можете еще попробовать ))
В случае если у вас происходит преобразование адресов из сети А в сеть Б то на сетевых устройствах в сети Б обращения происходят с адреса маршрутизатора в сети Б.
Это есть костыль но помогает победить всякие там фаерволы и антивирусы ибо они эти соеденения считают своими.
При прямой маршрутизации устройства общаются напрямую но в 99% случаев есть одна и та же ошибка. Народ ставит антивирусы, фаерволы и т.п. но соседние сети не добавляет
Конкретно если рассматривать
/ip address
add address=192.168.0.1/24 interface=ether2 network=192.168.0.0
add address=192.168.1.1/24 interface=ether3 network=192.168.1.0
То тушим вообще все наты (оставляем только наружу)
Дальше на ПК гасим антивирусы, фаерволы и пинги начинают ходить замечательно, при этом если на самом ПК вы посмотрите входящие соединения то там будет прямой адрес ПК из соседней сети, в случае с нат адрес маршрутизатора.
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 0
- Зарегистрирован: 14 мар 2014, 04:29
WhiteWolf писал(а):Если у Вас сети НАТятся вот такими правиламито естественно, что они не видят друг-друга. Так как для сети 1.0 сеть 2.0 является внешней и пакеты минуя маршрут до сети 2.0 отправляются вместо 5 порта в порт WAN, где естественно дропаются провайдером, соответственно и на оборот./ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.2.0/24
У меня прописано так:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1
add action=masquerade chain=srcnat out-interface=WAN2
vqd писал(а):
Дальше на ПК гасим антивирусы, фаерволы и пинги начинают ходить замечательно, при этом если на самом ПК вы посмотрите входящие соединения то там будет прямой адрес ПК из соседней сети, в случае с нат адрес маршрутизатора.
Мне не нужен доступ всем.
Нужно только определённым компьютерам ать возможность доступа к сетевым папкам из другой сети.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну так в чем проблемма то???
Создаем фильтр + аддресс лист
Создаем фильтр + аддресс лист
Есть интересная задача и бюджет? http://mikrotik.site
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Кроме криво настроенных антивирусов и фаерволлов на компах, там и на самом микротике могут быть всякие ненужные правила фаерволла.
Почему-то их туда суют по принципу: все, что нашел в интернете, то и засуну.
Повыключайте там все. Включите потом, как все остальное будет работать.
Почему-то их туда суют по принципу: все, что нашел в интернете, то и засуну.
Повыключайте там все. Включите потом, как все остальное будет работать.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
gmx писал(а):Почему-то их туда суют по принципу: все, что нашел в интернете, то и засуну.
О это да. Буквально вчера был клиент такой. Я когда увидел конфиг минут 20 пытался понять как оно вообще работает. В результате выкатил 2 ценника, первый за разгрести, второй за настройку с нуля.
Человек выбрал второй вариант ибо он дешевле
Есть интересная задача и бюджет? http://mikrotik.site