Как правильно организовать две подсети?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
windenis_kz
Сообщения: 4
Зарегистрирован: 11 янв 2019, 11:43

Добрый день уважаемые специалисты!
Есть две сети 192.168.88.0/24 и 192.168.155.16/28
Изображение

Сеть 88.0 подключена через коммутатор Eltex MES3324.
Сеть 155.16 разделена физически. Часть Армов подключена напрямую в MikroTik
RB2011iL-RM, часть подключена в MES3324.
Интернет подключен через модем с IP 155.17.
После просмотра обучающих видео и чтения мануалов удалось все запустить со следующей конфигурацией:
 
# jan/02/1970 03:47:40 by RouterOS 6.43.4
# software id = K4FV-17M8
#
# model = 2011iL
# serial number = 76250820F3E6
/interface bridge
add fast-forward=no name=bridge155
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-Eltex-88.1
set [ find default-name=ether3 ] name=ether3-Eltex-155.24
set [ find default-name=ether4 ] name=ether4-ARM1-155.18
set [ find default-name=ether5 ] name=ether5-ARM2-155.19
set [ find default-name=ether6 ] name=ether6-ARM3-155.27
set [ find default-name=ether7 ] name=ether7-ARM4-155.28
set [ find default-name=ether8 ] name=ether8-ARM5-155.29
set [ find default-name=ether9 ] name=ether9-ARM6-155.30
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.88.150-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether2Eltex88.1 lease-time=\
5d10m name=dhcp1
/interface bridge port
add bridge=bridge155 interface=ether1-WAN
add bridge=bridge155 interface=ether3-Eltex155.24
add bridge=bridge155 interface=ether4-ARM1-155.18
add bridge=bridge155 interface=ether5-ARM2-155.19
add bridge=bridge155 interface=ether6-ARM3-155.27
add bridge=bridge155 interface=ether7-ARM4-155.28
add bridge=bridge155 interface=ether8-ARM5-155.29
add bridge=bridge155 interface=ether9-ARM6-155.30
/ip address
add address=192.168.88.1/24 interface=ether2Eltex88.1 network=192.168.88.0
add address=192.168.155.23/28 interface=ether1WAN network=192.168.155.16
add address=192.168.155.24/28 interface=ether3Eltex155.24 network=\
192.168.155.16
add address=192.186.155.25/28 interface=bridge155 network=192.186.155.16
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1,192.168.155.17,8.8.8.8 \
gateway=192.168.88.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether2Eltex88.1
add action=masquerade chain=srcnat out-interface=bridge155
/ip route
add distance=1 gateway=192.168.155.17
/system routerboard settings
set silent-boot=no
Но армы из сети 155.16 за MES3324 невидны другим. Хотя сам роутер их пингует.
Подскажите пожалуйста, где ошибся.
Возможно ли сконфигурировать роутер без НАТ, чтобы все друг друга видели и Инет раздавался в обе сети?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) Не ясно как настроен MES3324
2) какие параметры (шлюзы) указаны у разделённых
3) сети без НАТа делают даже когда офисы на больших расстояниях
находятся.

Схема красивая, но не понятная, и как куда и что идёт.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
windenis_kz
Сообщения: 4
Зарегистрирован: 11 янв 2019, 11:43

1) Не ясно как настроен MES3324
MES3324 - не настраивался вообще. Они его используют просто как хаб не 24 порта.

2) какие параметры (шлюзы) указаны у разделённых
Шлюзом в сети 88.0 указан 88.1.
В сети 155.0 (которая за MES3324) -155.24. Для остальных 155.17

3) сети без НАТа делают даже когда офисы на больших расстояниях
находятся.
Без НАТ, не получилось пока сделать, но очень хочется


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

windenis_kz писал(а): 12 янв 2019, 18:32 1) Не ясно как настроен MES3324
MES3324 - не настраивался вообще. Они его используют просто как хаб не 24 порта.
То есть для нас этот свитч -тупой свитч, и его можно не брать в расчёт. В сегментации
и в маршрутизации он не участвует.
windenis_kz писал(а): 12 янв 2019, 18:32 2) какие параметры (шлюзы) указаны у разделённых
Шлюзом в сети 88.0 указан 88.1.
В сети 155.0 (которая за MES3324) -155.24. Для остальных 155.17
Так если согласно пункту 1, свитч у нас тупой, зачем при разделении сетей,
Вы меняете и шлюз им? Свитч просто у нас?
windenis_kz писал(а): 12 янв 2019, 18:32 3) сети без НАТа делают даже когда офисы на больших расстояниях
находятся.
Без НАТ, не получилось пока сделать, но очень хочется
Мне по конфигу не понравилось то, что Вы порты объединили в бридж,
а адреса даёте портам, хотя согласно правилу, порты помещённый в бридж
- становятся подчинённым (Slave) и адресацию надо явно задавать уже
на этом бридже (хоть два,хоть 4 IP ставьте).

DHCP тоже должен работать на бридже, если адрес будет стоять на бридже.
(DHCP советуют делать только на бридже, так чуть правильнее, по логике работы микротика)

И НАТ уберите вообще(хотя бы на 10 минут) (все правила НАТа, их два кажется), и пробуйте!!!
А если НАТ нужен, то его в Вашей схеме и при наличии несколько сетей надо делать
направленный (явный-узко-направленный), зачем Вы локальные сети НАТите между собой?
(тем более создавая лишнюю нагрузка на процессор)?

Делайте правила такие, что если сеть Ваша хочет в глобал выйти (во внешку),
то только эти пакеты при выходе на внешний интерфейс и НАТить, остальное
зачем НАТить, особенно локальный трафик?
Вот у Вас и идут косяки.

А что у Вас во втором порту роутера?
НЕ проще то что во втором порту роутера сдвинуть на 10й порт, а уже
бридж делать с 1 по 9 сразу ? А то второй порт на схеме = как будто вырезан,
не красиво и не логично.

P.S.
Если можно, на схеме роутер сделайте побольше, лучше в виде длинного прямоугольника
и напишите всё явно с указанием портов/адресов.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
windenis_kz
Сообщения: 4
Зарегистрирован: 11 янв 2019, 11:43

Vlad-2 писал(а): 12 янв 2019, 19:09 То есть для нас этот свитч -тупой свитч, и его можно не брать в расчёт. В сегментации
и в маршрутизации он не участвует.
Да
Vlad-2 писал(а): 12 янв 2019, 19:09 Так если согласно пункту 1, свитч у нас тупой, зачем при разделении сетей,
Вы меняете и шлюз им? Свитч просто у нас?
При указании шлюзом 155.17 (для тех что за MES3324) остальная часть перестает пинговаться и инет не проходит.
Vlad-2 писал(а): 12 янв 2019, 19:09 Мне по конфигу не понравилось то, что Вы порты объединили в бридж,
а адреса даёте портам, хотя согласно правилу, порты помещённый в бридж
- становятся подчинённым (Slave) и адресацию надо явно задавать уже
на этом бридже (хоть два,хоть 4 IP ставьте).
Понял. Ни в одном мануале и уроках, не было разъяснений. Спасибо.
Vlad-2 писал(а): 12 янв 2019, 19:09 DHCP тоже должен работать на бридже, если адрес будет стоять на бридже.
(DHCP советуют делать только на бридже, так чуть правильнее, по логике работы микротика)
DHCP нужен только для сети 88.0. В 155.16 все в статике. Или Eth2 (88.1) тоже объявить бриджем? Как правильно?

Vlad-2 писал(а): 12 янв 2019, 19:09 И НАТ уберите вообще(хотя бы на 10 минут) (все правила НАТа, их два кажется), и пробуйте!!!
А если НАТ нужен, то его в Вашей схеме и при наличии несколько сетей надо делать
направленный (явный-узко-направленный), зачем Вы локальные сети НАТите между собой?
(тем более создавая лишнюю нагрузка на процессор)?

Делайте правила такие, что если сеть Ваша хочет в глобал выйти (во внешку),
то только эти пакеты при выходе на внешний интерфейс и НАТить, остальное
зачем НАТить, особенно локальный трафик?
Добавил маршрут 0.0.0.0/0 через 155.17. Убираю на НАТ и все перестает работать. Сам маршрутизатор всех пингует. А вот сети друг друга перестают видеть. И инет прекращает раздаваться.

Vlad-2 писал(а): 12 янв 2019, 19:09 Если можно, на схеме роутер сделайте побольше, лучше в виде длинного прямоугольника
и напишите всё явно с указанием портов/адресов.
Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

windenis_kz писал(а): 14 янв 2019, 19:28 При указании шлюзом 155.17 (для тех что за MES3324) остальная часть перестает пинговаться и инет не проходит.
Давайте разделим задачи.
1- сделать чтобы Вы видели сети между собой
2- сделать им Интернет.
У Вас проблема была и тема называется - как сделать две подсети, вот пока это главное.
windenis_kz писал(а): 14 янв 2019, 19:28 DHCP нужен только для сети 88.0. В 155.16 все в статике. Или Eth2 (88.1) тоже объявить бриджем? Как правильно?
С одной стороны - у Вас на одном порту клиенты сидят, и как бы логически бридж не нужен,
но я бы сделал через бридж, а чтобы было понятно почему - откройте
окно DHCP Server на микротике, и выдерните кабель с порта2 = DHCP сервер
88.0 = должен стать красным.
При работе DHCP сервера для сети 88.0/24 на бридже, такой ситуации не будет.
windenis_kz писал(а): 14 янв 2019, 19:28 Добавил маршрут 0.0.0.0/0 через 155.17. Убираю на НАТ и все перестает работать. Сам маршрутизатор всех пингует. А вот сети друг друга перестают видеть. И инет прекращает раздаваться.
1) Я не говорил вообще отключить НАТ (вернусь к нему)
2) Маршрут 0.0.0.0/0 через 155.17 у Вас должен быть и ранее
2.1) Такой маршрут должен быть на всех компах/серверах кто находиться в сети 192.168.155.16/28
3) Вы должна сетку 192.168.88.0/24 спрятать (заНАТить) от адреса роутера из сети 155.16 (кажется
155.25 адрес у роутера).
Для чего: как я понял по картинке, роутер у Вас 155.17, он ждёт клиентов с сети 155.16/28.
Значит кто пришёл на роутер с сети 155.16/28 = того и выпускают в Интернет.
Если придёт на роутер 155.17 пакет с компов 88.0/24 то обычно (при средне-хорошей настройке)
такой пакет уйдёт никуда.
Поэтому тут два под-варианта для сети 88.0/24
а) прятать её за 155.25 и дальше всё уйдёт на 155.17 и в глобал
б) делать маршрут, что все запросы с сети 88.0/24 отдавать как есть на
155.17 (а уже на роутере 155.17 разрешать сетки 88 выходить в интернет)
Тут ещё надо обеспечить их взаимодействие.
Так что НАТ для сети 88 = предпочтительнее и проще.

Поэтому я не говорил что НАТ вообще не нужен. Я просил его отключить, ибо Вы локальные
сети между собой НАТите, и на время отключения проверить что локальные узлы (компы
сети 155.16/28 между собой доступны и пингуются).
То есть как и написал в начале, делаем локальную сеть, её настраиваем,
потом уже с глобалом разбиваемся.
И по части роутера 155.17 = что за железка, умная/простая?

(повторю: в той схеме что я вижу, локальные сети между собой общаются равноправно):
а) сеть 155.16 (члены её) сами идут на 155.17, и в Интернет
б) компы с сети 88 до сети 155.16/28 идут по без НАТа,
б1) на компах сети 155.16/28 должна быть прописан маршрут, что сетка
88.0/24 доступна через адрес 155.25 (адрес роутера).
в) если пакеты из сети 88.0/24 идут на любой адрес, кроме сети 155.16/28,
то такой пакет(ы) НАТить от адреса 155.25.
windenis_kz писал(а): 14 янв 2019, 19:28 Изображение
За картинку спасибо, лучше понятно стало и мои советы выше стали более предметно.
Но ещё дам совет: у роутера 2011 - первые порты гигабитные, если у Вашего роутера порт 100мбит,
то проще его подключить в порты роутера которые 100мбит, а уже какой-то компьютер переподключить
в гигабитный разъём.
И второй совет: у роутера два блока портов, первые 5 по 1г, и второе 5 по 100мб, кроме выше совета,
лучше ещё сделать так: те компы которые чаще, активнее общаются между собой, поместить рядом (в
рамках одной группы портов), для чего это = между группой портов = общение трафика идёт через
процессор микротика, а это нагрузка. Поэтому трафик с порта 5 до порта 6 пойдёт уже программно.
Поэтому постарайтесь логически ещё раз продумать, нагруженные сервера, активные компы засунуть
в первую гигабитную группу, а во вторую группу более простые сервера и туда же подключить роутер 155.17,
думаю всё равно гигабитного Интернета у Вас нету, да и роутер 2011 не выжмет и 200мбит даже если будет.

P.S.
Писал Вам ответ, получился сложным, хотя и правильным. Но я бы наверно
схему переделал. Я бы роутер 155.17 вывел из 155 сети, для сети
155.16/28 и для сети 88.0/24 шлюзом был бы микротик, тогда
обе сети приходили на микротик, общались между собой 1-к-1,
а уже между микротиком и роутером сделать сетку 192.168.30.0/30
(два адреса, поставить на роутер и на микротик) и уже только тех,
кто хочет уйти в глобал, на выходе прятать за 192.168.30.1 (адрес роутера)
и отдавать наружу...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
windenis_kz
Сообщения: 4
Зарегистрирован: 11 янв 2019, 11:43

Большое спасибо, все понял. :co_ol:
Буду пробовать как Вы подсказали.
Чуть позже отпишусь о результатах и опубликую рабочую конфигу, возможно кому нибудь пригодится как пример.


Ответить