Доступ к ресурсам в соседней подсети

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
ven
Сообщения: 5
Зарегистрирован: 11 дек 2018, 15:48

Добрый день. Помогите, пожалуйста. Вопрос: развернута сеть (см. картинку)
Изображение

Сеть 10.10.10.0 основная, 192.168.1.0 видеонаблюдения (за свичом находится сервер видеонаблюдения, IP камеры и 1 ноутбук).
На DFL-860e настроена маршрутизация из сети 10.10.10.0 в 192.168.1.0 через 10.10.10.167.
На mikrotik в режиме роутера создаются автоматические маршруты до 10.10.10.0. Возможно ли сделать так, чтобы можно было попадать с компов 10.10.10.0 на сервер 192.168.1.248 без NAT. Хосты из обоих подсетей пингуют друг друга, но при отключеном NAT и разрешении всего в firewall (accept input,output,forward) все равно не получается достучаться ни до сервера, ни до роутера, ни до компа , ни до камеры в подсети 192.168.1.0. Фаервол на компе в сети 10.10.10.0 отключен.
Или здесь получится только через nat пробрасывать порты и подключаться через 10.10.10.167:порт ? Так работает, но хотелось бы прозрачный доступ (если он возможен).
Настройки микротика дефолтные, сменены только адреса LAN (88.0 сеть на 1.0), отключен маскарадинг в NAT и отключены все правила firewall (добавлены 3 строчки accept input,output,forward)


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Из предположений - на микротике в сторону dfl маршрут напишите и будет вам счастье. А что бы сказать точно, вам нужно было прочитать "красную шапку" и выполнить пункт 5.


ven
Сообщения: 5
Зарегистрирован: 11 дек 2018, 15:48

export конфига. 1 порт на DFL, 2 на свич PoE, 3 на сервер, 4 на ноутбук
 
/interface bridge
add admin-mac=xxxxxxxxxxx auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
MikroTik-B8C79B wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
192.168.1.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router.lan
/ip firewall filter
add action=accept chain=forward
add action=accept chain=input
add action=accept chain=output
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
ipsec-policy=out,none out-interface-list=WAN
/ip service
set www address=10.10.10.0/24,192.168.1.0/24
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Да, как и думал - нет маршрута (но поидее маршрута "поумолчанию" должно быть достаточно) да еще и нат в сторону dfl включен. Пишите маршрут руками и на микротике и на дфле, если его нет, выключаете нат на микротике и фаервол и все заработает, в теории, на практике же, лучше сбросить конфиг в ноль и настроить только самое необходимое, а не применить "конфигурацию по умолчанию" как это сделали вы.


ven
Сообщения: 5
Зарегистрирован: 11 дек 2018, 15:48

KARaS'b писал(а): 13 дек 2018, 12:03 Да, как и думал - нет маршрута (но поидее маршрута "поумолчанию" должно быть достаточно) да еще и нат в сторону dfl включен. Пишите маршрут руками и на микротике и на дфле, если его нет, выключаете нат на микротике и фаервол и все заработает, в теории, на практике же, лучше сбросить конфиг в ноль и настроить только самое необходимое, а не применить "конфигурацию по умолчанию" как это сделали вы.

Спасибо, сейчас попробую сбросить и перенастроить с 0.


ven
Сообщения: 5
Зарегистрирован: 11 дек 2018, 15:48

KARaS'b писал(а): 13 дек 2018, 12:03 Да, как и думал - нет маршрута (но поидее маршрута "поумолчанию" должно быть достаточно) да еще и нат в сторону dfl включен. Пишите маршрут руками и на микротике и на дфле, если его нет, выключаете нат на микротике и фаервол и все заработает, в теории, на практике же, лучше сбросить конфиг в ноль и настроить только самое необходимое, а не применить "конфигурацию по умолчанию" как это сделали вы.
Новый конфиг
 
/ip pool
add name=dhcp_pool1 ranges=192.168.1.10-192.168.1.220
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
/ip route
add distance=1 gateway=ether1
add distance=1 dst-address=10.10.10.0/24 gatew
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set silent-boot=no
Все равно из сети 10.10.10.0 не попасть по прямым адресам в админку роутера, камеры, на mstsc сервера, но пинги идут в обе стороны. Если подключить к сети 192.168.1.0 все доступы к админкам работают.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Конфиг немного не полностью скопировали, но в целом похоже что с микротиком сейчас все хорошо. Пинги идут до конечных устройств, т.е. из 10й подсети вы можете пропинговать например регистратор? Трасировку делали, уверены что пинги уходят именно туда, куда хотите, а не например, выше к провайдеру? На DFL точно маршрут в 1й подсеть есть?


ven
Сообщения: 5
Зарегистрирован: 11 дек 2018, 15:48

Прошу прощения, проблема была в DFL в правилах фаервола, долго разбирались. Спасибо запомощь.


Ответить