Mikrotik глушит внутренние подсети?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
SkiWaver
Сообщения: 0
Зарегистрирован: 21 сен 2016, 14:30

Приветствую! Подскажите, плиз, в чем ошибся при настройке:
Имеем девайс RB3011UiAS настроенный с нуля согласно http://itneed.ru/2016/07/04/mikrotik_rb3011_2/, с легкими изменениями (интернет принимаем на SFP1).

Имеем основную сеть без VLANов 10.23.0.0/24, для которой дан доступ в И-нет без ограничений (пока). Тут все ОК.
Физически в той же сети присутствует несколько независимых подсетей типа "192.168.200.0/24", "192.168.103.0/24", "10.23.1.0/24", "10.23.2.0/24" (без указания шлюза и ДНС - там связь девайсов только между собой). Во всех сетях статическая адресация.

Так вот, после настройки Микротика все эти "независимые" подсети легли. Девайсы просто не видят друг друга. При назначении адреса из основной сети (10.23.0.0/24) в пределах этой сети все работает отлично, при назначении ЛЮБОГО другого адреса получаем: под WinXP - "Только что указанный статический IP-адрес уже используется в сети. Укажите другой IP-адрес.", под Win7 - адрес как бы прописывается (ipconfig его видит), но пакеты между компами не ходят (превышен интервал ожидания).

При отключении Микротика - все работает нормально, так что явно с ним надо разобраться...

Подскажите в какую сторону копать. С Микротиком столкнулся впервые.

P.S. Еще заметил, если в Win7 добавляю доп. IP адрес из других подсетей, и после попытки обращения к "заблокированным" адресам в локальном ARP-кеше этим адресам соответствует MAC микротика.


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

SkiWaver писал(а):Приветствую! Подскажите, плиз, в чем ошибся при настройке:
Имеем девайс RB3011UiAS настроенный с нуля согласно http://itneed.ru/2016/07/04/mikrotik_rb3011_2/, с легкими изменениями (интернет принимаем на SFP1).

Имеем основную сеть без VLANов 10.23.0.0/24, для которой дан доступ в И-нет без ограничений (пока). Тут все ОК.
Физически в той же сети присутствует несколько независимых подсетей типа "192.168.200.0/24", "192.168.103.0/24", "10.23.1.0/24", "10.23.2.0/24" (без указания шлюза и ДНС - там связь девайсов только между собой). Во всех сетях статическая адресация.

Так вот, после настройки Микротика все эти "независимые" подсети легли. Девайсы просто не видят друг друга. При назначении адреса из основной сети (10.23.0.0/24) в пределах этой сети все работает отлично, при назначении ЛЮБОГО другого адреса получаем: под WinXP - "Только что указанный статический IP-адрес уже используется в сети. Укажите другой IP-адрес.", под Win7 - адрес как бы прописывается (ipconfig его видит), но пакеты между компами не ходят (превышен интервал ожидания).

При отключении Микротика - все работает нормально, так что явно с ним надо разобраться...

Подскажите в какую сторону копать. С Микротиком столкнулся впервые.

P.S. Еще заметил, если в Win7 добавляю доп. IP адрес из других подсетей, и после попытки обращения к "заблокированным" адресам в локальном ARP-кеше этим адресам соответствует MAC микротика.


интересно как они между собой без шлюза общаются


SkiWaver
Сообщения: 0
Зарегистрирован: 21 сен 2016, 14:30

интересно как они между собой без шлюза общаются

напрямую по IP шникам и обращаются. Функционал одной из упомянутых сетей - пол-сотни IP камер, с которых видеосервер собирает стримы.
Поскольку каждая подсеть имеет свой коммутатор (группу коммутаторов), на данный момент я их физически отключил от основной сети. Автономно все функционирует нормально.


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

SkiWaver писал(а):
интересно как они между собой без шлюза общаются

напрямую по IP шникам и обращаются. Функционал одной из упомянутых сетей - пол-сотни IP камер, с которых видеосервер собирает стримы.
Поскольку каждая подсеть имеет свой коммутатор (группу коммутаторов), на данный момент я их физически отключил от основной сети. Автономно все функционирует нормально.

попробуйте фаэрвол отключить на микротике


SkiWaver
Сообщения: 0
Зарегистрирован: 21 сен 2016, 14:30

попробуйте фаэрвол отключить на микротике

Если под отключением подразумевается удаление правил, то ни снос всех правил НАТ, ни Filter Rules не помогло.

Сейчас снес конфиг и настроил с нуля без бриджа, и с минимумом правил. Теперь все работает как должно, так что вопрос можно считать закрытым.

P.S. Проблема была в параметре "proxy-arp" в поле ARP для локальных интерфейсов. Это нужно было для корректной работы удаленных пользователей (PPTP), теперь курю мануалы как пустить VPN-щиков во внутреннюю сеть.


Ответить