Нужна помощь в настройке двух сетей.

[witalikS]

Конфигурация на первом маршрутизаторе у Вас "жесткая".

Пройдусь по тому, что нашел. Не все будет касаться сути вопроса, но может быть полезно в дальнейшем. Так же обращу Ваше внимание, что Вы упорно игнорируете часть моих комментариев, которые могут быть сутью проблемы. Вы хотя бы отпишитесь по ним.

1. Вы сделали ipconfig /all только с одного хоста. Надо еще с хоста во второй сети.

Просто mikrotik и хост 172.30.30.1 не под рукой. Недавно только добрался до них сделал сброс Rb без сохранения заводских настроек и заново настроил. Заодно сделал и ipconfig c 172.30.30.1 (инфу обновил под спойлерами выше).

2. На 3011 внешний и внутренний интерфейс у Вас объединены под одним бриджем. Надо разделять.

В свое время да они были обьединены. Потом сделал их
/interface bridge port
add bridge=bridge1 disabled=yes interface=lan1
add bridge=bridge1 disabled=yes interface=ether6 и думал, что этого достаточно. По просьбе VLAD-2 удалил их совсем.

3. Перед проверками ОБЯЗАТЕЛЬНО! Отключайте все правила файервола. У Вас там все не по детски. У Вас куча мусора там. Что бы осилить ЭТО надо много времени. Ошибка может быть и там. Проще отключать для теста. Настоятельно рекомендую прочесть статью про лженастройки файервола на MikroTik. Это по Вашу душу. Там и про BOGON написано и про другие вещи.

firewall перед проверкой всегда отключал. Сейчас просто добавил первыми правилами
add action=accept chain=input protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=output protocol=icmp
но могу и по прежнему отключать все правила,ели нужно. За инфу огромное спасибо. Буду разбираться. Я ведь только учусь

4. Проброс портов надо делать так: http://mikrotik.vetriks.ru/wiki/Для_нач ... рос_портов . Назначение net-map несколько в другом хотя и будет работать. Правильно делать через action=dst-nat.

Ок. Исправлю.

5. Вы упорно игнорируете комментарии про то, что может мешать антивирус. На время тестов надо выгружать антивирус и отключать встроенный брандмауэр.

Мне кажется я уже писал выше, что на pc службы брандмауэров и антивирусники остановлены.

6. Понимаю, что эта информация частично уже давалась, но заново дайте, пожалуйста. С CCR у Вас проходит пинг на внешний и внутренний интерфейс RB? С RB у Вас проходит пинг на внешний и внутренний интерфейс CCR? Итого 4 пинга.

CCR видит ether6 (10.10.10.2) и ether8 (172.30.30.25) RB3011 и хост за ним pc2(172.30.30.1 ).
RB3011 видит ether6 (10.10.10.1) и lan1 (172.30.40.25) CCR и хост за ним pc1(172.30.42.10 ).

[kursy_po_it_ru]

Mikrotik CCR1009 видит RB3011 и сеть за ним ( и наоборот).
Устройства из 172.30.40.0/21 видят RB3011(10.10.10.2), а сеть 172.30.30.0/24 недоступна.
Устройства из 172.30.30.0/24 видят CCR1009(10.10.10.1), а сеть 172.30.40.0/21 недоступна.
HELP!!!

CCR видит ether6 (10.10.10.2) и ether8 (172.30.30.25) RB3011 и хост за ним pc2(172.30.30.1 ).
RB3011 видит ether6 (10.10.10.1) и lan1 (172.30.40.25) CCR и хост за ним pc1(172.30.42.10 ).

Получается проблема решена?

Просто mikrotik и хост 172.30.30.1 не под рукой.

Про это надо писать. Лично для меня это выглядит как то, что Вы проигнорировали запрос.

В свое время да они были обьединены. Потом сделал их
/interface bridge port
add bridge=bridge1 disabled=yes interface=lan1
add bridge=bridge1 disabled=yes interface=ether6 и думал, что этого достаточно. По просьбе VLAD-2 удалил их совсем.

Он писал про CCR, а я про RB.

firewall перед проверкой всегда отключал. Сейчас просто добавил первыми правилами
add action=accept chain=input protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=output protocol=icmp
но могу и по прежнему отключать все правила,ели нужно.

Формально этого должно быть достаточно, но для надежности лучше отключать.

[witalikS]

Проблема не решена, потому-что pc1 (172.30.42.10) не видит ether8(172.30.30.25) RB3011 и соответственно хост за ним pc2 (172.30.30.1) и
pc2 (172.30.30.1) не видит lan1(172.30.40.25) CCR и соответственно хост за ним pc1 (172.30.42.10)

[Vlad-2]

Проблема не решена, потому-что pc1 (172.30.42.10) не видит ether8(172.30.30.25) RB3011 и соответственно хост за ним pc2 (172.30.30.1) и
pc2 (172.30.30.1) не видит lan1(172.30.40.25) CCR и соответственно хост за ним pc1 (172.30.42.10)

Ну просто загадка.
По отдельно видится, а в целом нет

Ну покажите с одного компа трасерт ДО другого.....
Всё равно все адреса серые, скрывать нечего....

[kursy_po_it_ru]

Дописал свой предыдущий пост. Перечитайте, пожалуйста.

Попробуйте так: на обоих маршрутах в качестве pref-src укажите не адрес внешнего интерфейса маршрутизатора. А адрес внутреннего интерфейса с которого должен будет идти ping.

[witalikS]

[witalikS]

Дописал свой предыдущий пост. Перечитайте, пожалуйста.

Попробуйте так: на обоих маршрутах в качестве pref-src укажите не адрес внешнего интерфейса маршрутизатора. А адрес внутреннего интерфейса с которого должен будет идти ping.

Это уже пробовал., но сейчас попробую еще раз.

[kursy_po_it_ru]

Я не держу в голове все Ваши сети. Давайте, пожалуйста, комментарий вроде: из хоста за CCR пингую хост за RB.

[Vlad-2]

Это уже пробовал., но сейчас попробую еще раз.

Идея(наверника)!!!!

у Вас НАТ сделан так:
add action=masquerade chain=srcnat out-interface=byfly src-address=!172.30.42.10
add action=masquerade chain=srcnat out-interface=wan2 src-address=!172.30.42.10
здесь Вы добавили исключение, чтобы не натить 42.10, но Вы добавили исключения для
интерфейсов wan2 и byfly , то есть если прочитать правила, то пакеты с адреса 42.10
микротик НАТИТ, так как они же уходят с 6-го интерфейса, а не с тех с которых НАТа и не должно быть!
Добавьте выше этих правил такое же ещё правило, в котором указан интерфейс ether6
А лучше создать адрес-лист и туда занести сетку /21 и /24 и сказать что бы они НЕ натились, проходя через
ether6

Говорил же Вам, НАТ у Вас.....

[kursy_po_it_ru]

В src-address можно указать сразу сеть. Пример: 192.16.1.0/24.