Проблемы с настройкой маршрутизации между несколькими сетями

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Jewe
Сообщения: 0
Зарегистрирован: 13 фев 2018, 14:25

День добрый!
Появилась необходимость разделить офисную сеть на 2 разные подсети, центром всего этого стал роутер BR750Gr3, 1й порт - WAN - статика от провайдера, 2-4 объединены в бридж (сеть 192.168.10.*) бриджу присвоен адрес 192.168.10.1, поднят DHCP-сервер, на 5ом порту так же поднят бридж с сетью 192.168.1.1 . Со 2го по 4й порт будут подключены офисные ПК, а к 5 - 4 точки RBwAP2ND + несколько Tp-link'ов DAP1150 и DAP2310. Застопорился на моменте изоляции подсетей, нужно дропать все попытки подключения из сети 192.168.1.0 в 192.168.10.0, и чтобы при этом из 10й подсети можно было попасть на на интерфейс точек RBwAP2ND (вообще планируется поднять CAPsMAN, но мне хотя бы так пока разобраться как оно работает).
При добавлении соответствующих правил в фаервол
add action=drop chain=forward dst-address=192.168.10.0/24 src-address=192.168.1.0/24 пропадает и пинг из 10й подсети в 1ую.
Прошивки на всех девайсах последние, стандартные конфиги удалены, в НАТе помимо маскарада ничего нет,в фаерволе тоже ни одного правила.

P. S. настроено ограничение скорости через Queues для подсети 192.168.1.0, но думаю эти настройки ни на что не влияют. Примерную схему сети прилагаю.
P.S.S D-link это простые неуправляемые свичи
Изображение


Вернуться к началу
Obi Van
Сообщения: 15
Зарегистрирован: 02 фев 2018, 12:52

А чего бы пинг не пропал, если правило запрещает все пакеты из 1-й подсети на 10-ю, в том числе и ICMP Echo-Reply на 10-ю подсеть.


Вернуться к началу
Jewe
Сообщения: 0
Зарегистрирован: 13 фев 2018, 14:25

Тогда вопрос в следующем: как корректно дропать все попытки попасть из 1й подсети в 10ую, но чтобы при этом я мог попасть на микротики, которые находятся в 1й подсети из 10й? ( в идеале через винбокс, но и по http можно)


Вернуться к началу
Obi Van
Сообщения: 15
Зарегистрирован: 02 фев 2018, 12:52

Вы будете прям из всей 1-й сети туда попадать, или с вполне конкретного IP? Просто в первом случае усложняется. Нужно будет дропать всё (как собсно обычно по дефолту и должно быть) и пропускать очевидно конкретные протоколы на конкретные порты (также вполне очевидно что у точек будет статический IP, что упрощает настройку).


Вернуться к началу
Jewe
Сообщения: 0
Зарегистрирован: 13 фев 2018, 14:25

Естественно у точек будет статика, компьютеров в 10й подсети будет не больше десятка, тоже на статике, в идеале хотелось бы с любого из них подключаться к точкам


Вернуться к началу
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:
Контактная информация пользователя Vlad-2

всё же логично использовать вилан(ы)
1) добавьте на 5м порту виланы, а точнее пусть точки доступа будут в вилане (тегиров.траф)
2) а уже этот трафик вилана привяжите к 10.ххх сети, и с одной стороны сети будут разделены
и не видят друг друга, и с 10й сети прямиком будете попадать на точки.
Максимум что тут возникает трудности, это с ТП-линками, их надо как-то засунуть
в тегированный порт/трафик. Ну а микротиковские устройства виланы умеют сразу.
3) а вообще лучше иметь маленький на 10-16 портов управляемый свитч(с поддержкой виланов),
легче и гибче будет. И сможете разрулить и сети и направления и в какой-то степени
и безопасность будет чуть выше.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Вернуться к началу
Jewe
Сообщения: 0
Зарегистрирован: 13 фев 2018, 14:25

без виланов данную схему не реально организовать? Рассматривал такой вариант, но проблема как раз втом, что мои тп-линки не умеют с виланами работать


Вернуться к началу
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:
Контактная информация пользователя Vlad-2

Jewe писал(а): 13 фев 2018, 17:56 без виланов данную схему не реально организовать? Рассматривал такой вариант, но проблема как раз втом, что мои тп-линки не умеют с виланами работать
Ну а делать умные/хитрые правила файрола чтобы что-то можно, а что-то нельзя это разве не замудренно?
Да и как-то разношёрстные устройства использовать, логично ли?
Ну или пожертвуйте ещё одним портом на микротике для логики, а компы подключите к роутеру
через обычный свитч, так трафик обычный. Кстати это разумнее.
Тогда в 4й порт подключайте скажем ТП-линки (на 4м порту трафик будет НЕтегируемый, но принадлежать к 10.ххх сети по логике)
А в 5й порт тегированный для точек микротика(сеть 10.ххх) + обычный трафик для компов (сеть 1.ххх).

Надо рисовать, прикидывать, как в школе учили, 7 раз прикинуть и уже только действовать.
Я вообще стараюсь больше 2х или 4х портов на роутерах не использовать.
Не надо на нём делать коммутацию, он не свитч, он лишь похож на него :)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Вернуться к началу
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

Jewe писал(а): 13 фев 2018, 16:52 Тогда вопрос в следующем: как корректно дропать все попытки попасть из 1й подсети в 10ую, но чтобы при этом я мог попасть на микротики, которые находятся в 1й подсети из 10й? ( в идеале через винбокс, но и по http можно)
В начало цепочки forwad добавьте

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward comment="Accept from 1 to 10 if established" dst-address=192.168.10.0/24 src-address=192.168.1.0/24 connection-state=established,related
add action=drop chain=forward dst-address=192.168.10.0/24 src-address=192.168.1.0/24


Вернуться к началу
Jewe
Сообщения: 0
Зарегистрирован: 13 фев 2018, 14:25

по сути нужны 2 разные подсети, в принципе под внутреннюю локалку можно использовать всего 1 порт с центрального микротика, остальные 3 можно использоапть как заблагорассудится. Вообще с роутера будет идти только интернет, на компах уже реализована внутренняя закрытая сеть. Подсеть 192.168.1.Х будет использоваться только ради того, чтобы не перенастраивать кучу имеющихся тп-линков (они на статике в этой подсети)


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»