Два роутера, один за другим

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
VitalS
Сообщения: 0
Зарегистрирован: 21 фев 2018, 04:13

Добрый день!
Помогите, пожалуйста, с настройками.
Что имеется:
Изображение

На всех компьютерах есть интернет, комп3 и комп 4 имеют доступ к комп 1 и комп 2.

С комп 1 и комп 2 адрес 10.110.17.1 пингуется, компьютеры за вторым роутером недоступны.
На втором роутере отключены все блокирующие filter rules.

Нужно настроить доступ "наоборот", чтобы с комп 1 и комп 2 иметь доступ к комп 3 и комп 4.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

В шапке данной темы есть пункт 5, выполните его для обоих железок и покажите нам, мы же тут не ванги.


VitalS
Сообщения: 0
Зарегистрирован: 21 фев 2018, 04:13

Что-то спойлер не получается сделать( выкладываю так:
Роутер 1

Код: Выделить всё

# feb/22/2018 03:18:24 by RouterOS 6.41.2
# software id = xxxxxxxxxxxxxxxxxxxxx
#
# model = 2011UiAS-2HnD
# serial number = xxxxxxxxxxxxxxxxxxxxx
/interface l2tp-server
add name=xxxxxxxxxxxxxxxxxxxxx user=xxxxxxxxxxxxxxxxxxxxx
/interface bridge
add admin-mac=xxxxxxxxxxxxxxxxxxxxx arp=proxy-arp auto-mac=no fast-forward=no \
    mtu=1500 name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] mac-address=xxxxxxxxxxxxxxxxxxxxx name=\
    ether1-gateway
set [ find default-name=ether6 ] name=ether6-master-local
set [ find default-name=ether7 ] name=ether7-slave-local
set [ find default-name=ether8 ] name=ether8-slave-local
set [ find default-name=ether9 ] name=ether9-slave-local
set [ find default-name=ether10 ] name=ether10-slave-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
    rx-chains=0 ssid=xxxxxxxxxxxxxxxxxxxxx tx-chains=0 wireless-protocol=802.11
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
    group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
    unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=xxxxxxxxxxxxxxxxxxxxx \
    wpa2-pre-shared-key=xxxxxxxxxxxxxxxxxxxxx
/ip ipsec policy group
set [ find default=yes ] name=IPsec_group
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip pool
add name=dhcp ranges=10.10.15.200-10.10.15.254
add name=vpn_pool ranges=10.10.15.80-10.10.15.89
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
    bridge-local lease-time=3d name=default
/ppp profile
set *FFFFFFFE bridge=bridge-local idle-timeout=10m local-address=10.10.15.1 \
    remote-address=vpn_pool session-timeout=0s
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/system logging action
set 0 memory-lines=100
/interface bridge port
add bridge=bridge-local hw=no interface=ether2
add bridge=bridge-local hw=no interface=ether3
add bridge=bridge-local hw=no interface=ether4
add bridge=bridge-local hw=no interface=ether5
add bridge=bridge-local interface=ether6-master-local
add bridge=bridge-local hw=no interface=sfp1
add bridge=bridge-local hw=no interface=wlan1
add bridge=bridge-local disabled=yes hw=no interface=ether1-gateway
add bridge=bridge-local interface=ether7-slave-local
add bridge=bridge-local interface=ether8-slave-local
add bridge=bridge-local interface=ether9-slave-local
add bridge=bridge-local interface=ether10-slave-local
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set authentication=chap,mschap1,mschap2 enabled=yes
/interface list member
add interface=sfp1 list=discover
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=ether6-master-local list=discover
add interface=ether7-slave-local list=discover
add interface=ether8-slave-local list=discover
add interface=ether9-slave-local list=discover
add interface=ether10-slave-local list=discover
add interface=wlan1 list=discover
add interface=bridge-local list=discover
add interface=vital list=discover
add list=discover
add interface=wlan1 list=mactel
add interface=ether2 list=mactel
add interface=wlan1 list=mac-winbox
add interface=ether3 list=mactel
add interface=ether2 list=mac-winbox
add interface=ether4 list=mactel
add interface=ether3 list=mac-winbox
add interface=ether5 list=mactel
add interface=ether4 list=mac-winbox
add interface=ether5 list=mac-winbox
add interface=ether6-master-local list=mac-winbox
add interface=ether6-master-local list=mactel
/ip address
add address=10.10.15.1/24 comment="default configuration" interface=sfp1 \
    network=10.10.15.0
add address=10.10.15.1/24 interface=ether2 network=10.10.15.0
add address=10.110.17.1/24 interface=ether9-slave-local network=10.110.17.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=\
    no interface=ether1-gateway
add dhcp-options=hostname,clientid
/ip dhcp-server lease
add address=10.10.15.2 client-id=xxxxxxxxxxxxxxxxxxxxx mac-address=\
    xxxxxxxxxxxxxxxxxxxxx server=default
add address=10.10.15.3 client-id=xxxxxxxxxxxxxxxxxxxxx mac-address=\
    xxxxxxxxxxxxxxxxxxxxx server=default
/ip dhcp-server network
add address=10.10.15.0/24 dns-server=10.10.15.1 gateway=10.10.15.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=10.10.15.1 name=router
/ip firewall filter
add action=accept chain=forward comment="default configuration" \
    connection-state=established
add action=accept chain=forward comment="default configuration" \
    connection-state=related
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input comment="VPN In" dst-port=1701,500,4500 \
    in-interface=ether1-gateway protocol=udp
add action=drop chain=input comment="Drop Other" in-interface=ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-gateway
add action=masquerade chain=srcnat disabled=yes out-interface=wlan1
add action=masquerade chain=srcnat disabled=yes out-interface=*F
/ip firewall service-port
set irc disabled=yes
set h323 disabled=yes
/ip route
add disabled=yes distance=1 gateway=xxxxxxxxxxxxxxxxxxxxx
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-autodetect=no
/system clock manual
set time-zone=+03:00
/system identity
set name=xxxxxxxxxxxxxxxxxxxxx
/system ntp client
set enabled=yes primary-ntp=194.67.106.186 secondary-ntp=85.21.78.23
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
/tool romon port
add


VitalS
Сообщения: 0
Зарегистрирован: 21 фев 2018, 04:13

Роутер 2

Код: Выделить всё

# feb/22/2018 03:14:07 by RouterOS 6.41.2
# software id = xxxxxxxxxxxxxxxxxxxxx
#
# model = 951G-2HnD
# serial number = xxxxxxxxxxxxxxxxxxxxx
/interface wireless
set [ find default-name=wlan1 ] country=russia disabled=no mode=ap-bridge \
    ssid=xxxxxxxxxxxxxxxxxxxxx wireless-protocol=802.11
/interface bridge
add name=bridge2
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=xxxxxxxxxxxxxxxxxxxxx \
    wpa2-pre-shared-key=xxxxxxxxxxxxxxxxxxxxx
/ip pool
add name=dhcp ranges=10.110.17.10-10.110.17.100
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge2 name=dhcp1
/interface bridge port
add bridge=bridge2 hw=no interface=ether2
add bridge=bridge2 hw=no interface=ether3
add bridge=bridge2 hw=no interface=ether4
add bridge=bridge2 hw=no interface=ether5
add bridge=bridge2 hw=no interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add interface=wlan1 list=discover
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=bridge2 list=discover
add list=discover
add list=discover
add interface=ether2 list=mactel
add interface=ether3 list=mactel
add interface=ether2 list=mac-winbox
add interface=ether4 list=mactel
add interface=ether3 list=mac-winbox
add interface=ether5 list=mactel
add interface=wlan1 list=mactel
add interface=ether4 list=mac-winbox
add interface=ether5 list=mac-winbox
add interface=wlan1 list=mac-winbox
/ip address
add address=10.110.17.1/24 interface=ether2 network=10.110.17.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
add dhcp-options=hostname,clientid
/ip dhcp-server network
add address=10.110.17.0/24 gateway=10.110.17.1 netmask=24
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input disabled=yes in-interface=ether1
add action=accept chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
# bbl not ready
add action=masquerade chain=srcnat out-interface=*9
add action=masquerade chain=srcnat disabled=yes out-interface=*A
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set silent-boot=yes
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Сейчас ваш второй роутер натит клиентов за ним в сеть первого роутера, что и мешает вам.
Удаляйте правило маскарада, лучше выдайте второму роутеру статически адрес, или хотя бы забиндите его в dhcp первого и пишите маршрут на первом роутере в сторону второго.


VitalS
Сообщения: 0
Зарегистрирован: 21 фев 2018, 04:13

С первыми пунктами вроде понятно, как сделать, а с этим:
и пишите маршрут на первом роутере в сторону второго
не подскажете?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Если данные такие де как на картинке, то:

Код: Выделить всё

/ip route add distance=1 dst-address=10.110.17.0/24 gateway=10.10.15.22
Но повторюсь, данная конструкция будет работать пока неизменен адрес на интерфейсе второго роутера, поэтому его лучше сделать или полностью статичным, или хотя бы зарезервировать в dhcp первого, что бы он не менялся.


Ответить