Несколько подсетей

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
vkhacker
Сообщения: 8
Зарегистрирован: 18 окт 2018, 13:11

Здравствуйте!
Пытаюсь настроить несколько подсетей. На первом порту одна подсеть, на втором - вторая.
Конфиг:

Код: Выделить всё

/ip address
add address=192.168.10.1/27 interface=ether2 network=192.168.10.0
add address=192.168.1.40/24 interface=ether1 network=192.168.1.0
/ip dns
set allow-remote-requests=yes servers=192.168.1.1
/ip firewall mangle
add action=mark-routing chain=prerouting connection-state=established,related,new \
    dst-address=192.168.1.0/24 in-interface=ether2 new-routing-mark=\
    routing_network_adm passthrough=no src-address=192.168.10.0/27
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=ether1 routing-mark=\
    routing_network_adm
На данный момент мне требуется получить доступ из подсети 192.168.10.0/27 в подсеть 192.168.1.0/24 (видны только 192.168.1.1 и 192.168.1.40).
У подсети 192.168.1.0/24 данный микротик не является основным шлюзом. А у подсети 192.168.10.0/27 - является.
Что-то делаю неправильно, подскажите.
Последний раз редактировалось vkhacker 18 окт 2018, 15:22, всего редактировалось 1 раз.


denibeer
Сообщения: 5
Зарегистрирован: 18 окт 2018, 10:44

Вам нет необходимости писать в ip firewall mangle какие либо правила, после добавления ip адресов в микротик, он сам добавляет маршруты на интерфейсы. Чтобы компьютеры из разных подсетей видели друг друга, вам необходимо прописать маршруты на самих компьютерах, где шлюзом будет адрес микротика из то же подсети в которой находится компьютер. Есть несколько вариантов решения этой задачи. Первый на всех копмпьютерах установлен шлюз по умолчанию адрес микротика. Второй прописать маршрут в другую сеть отдельно. Можно настроив на микротике DHCP сервер передавать маршруты компьютерам, например через опцию 249


vkhacker
Сообщения: 8
Зарегистрирован: 18 окт 2018, 13:11

Для подсети 192.168.10.0/27 - основной шлюз 192.168.10.1 (то есть этот микротик).
DHCP обязательно будет организован.
И хотелось чтобы только выборочные клиенты из подсети 192.168.10.0/27 имели доступ к определенным хостам из подсети 192.168.1.0/24 С опцией 249 это возможно? Или лучше как-то иначе?


denibeer
Сообщения: 5
Зарегистрирован: 18 окт 2018, 10:44

vkhacker писал(а): 18 окт 2018, 15:31 И хотелось чтобы только выборочные клиенты из подсети 192.168.10.0/27 имели доступ к определенным хостам из подсети 192.168.1.0/24
Правильнее разрешить форвард в ip firewall filrer только тем адресам с которых можно и запретить всем остальным


vkhacker
Сообщения: 8
Зарегистрирован: 18 окт 2018, 13:11

С опцией 249 поразбирался, но не получилось пока что ничего хорошего. По сути она разве сейчас нужна?

Клиент: 192.168.10.30/27, основной шлюз 192.168.10.1 (это микротик)
Сервер: 192.168.1.68

С сервера к клиенту пинг есть (прописан маршрут на основном шлюзе сервера 192.168.1.1)
А с клиента на сервер нет пинга (вернее иногда первый пакет пинга проходит успешно) и через telnet на порт тоже нет связи. Статический маршрут до 192.168.1.0/24 прописался после установки адреса на порт ether1. Вот собственно вся суть вопроса данной темы.


denibeer
Сообщения: 5
Зарегистрирован: 18 окт 2018, 10:44

Покажите /ip firewall filter export
И ip firewall nat export
В mangie и raw в вашем случае ничего быть не должно


vkhacker
Сообщения: 8
Зарегистрирован: 18 окт 2018, 13:11

Я ничего пока туда не добавлял. NAT не нужен вовсе. mangle пуст.


denibeer
Сообщения: 5
Зарегистрирован: 18 окт 2018, 10:44

vkhacker писал(а): 19 окт 2018, 08:17 Я ничего пока туда не добавлял. NAT не нужен вовсе. mangle пуст.
Значит у вас все правильно, проверяйте настройки брадмауэра на сервере, скорее всего это он блокирует пакеты из других сетей. Попробуйте его пока отключить


vkhacker
Сообщения: 8
Зарегистрирован: 18 окт 2018, 13:11

Я попробовал на Windows 7 отключить брандмауер и Службу базовой фильтрации. Проверял связь 192.168.10.30 -> 192.168.1.70 (не соединяется, не пингуется)
192.168.1.70 -> 192.168.10.30 (соединяется, пингуется)
В общем проблема не связана с брандмауером. Устройства на Linux пингуются, Windows server 2003/2008R2 и Windows 7 - нет. Некоторые роутеры пингуются, некоторые нет. Проблема уже и не касается Микротика. Нашел проблему (скажем так), но пока не знаю в чем она заключается. Спасибо за комментарии. Хотя бы от mangle избавлюсь.
Если включить NAT, то связь появится, но увы, мне это не подходит.


vkhacker
Сообщения: 8
Зарегистрирован: 18 окт 2018, 13:11

Решил проблему!
У микротика на интерфейсе ether1 установил новый IP 192.168.20.2/30, сеть 192.168.20.0
У шлюза на интерфейсе, идущего к микротику установил IP 192.168.20.1/30, сеть 192.168.20.0
Прописал маршрут на микротике:

Код: Выделить всё

/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.1
Также добавил обратный маршрут на шлюзе 192.168.20.1

И всё работает!


Ответить