Маршрутизация в две подсети

[ppsascha]

Всем привет! Подскажите, пожалуйста, правильно ли я делаю.

Есть две сети, 192.168.20.0\24 и 192.168.21.0\24. В 20 сети есть CCR1016-12G, в 21 сети есть RB962UiGS-5HacT2HnT. Задача - соединить сети. В RB962UiGS-5HacT2HnT в первый порт воткнут кабель из 20 сети с адресом 20.250, во второй порт воткнут кабель из 21 сети с адресом 21.10 (другим концом этот кабель воткнут в пое-коммутатор). В CCR1016-12G сделан маршрут "в 21 сеть иди через 20.250", в RB962UiGS-5HacT2HnT сделан дефолтный гейт 0.0.0.0/0 на CCR1016-12G, и еще маршрут 192.168.21.0/24 через ether1.
В RB962UiGS-5HacT2HnT сделал бридж на порт 2-5. Если в любой из 3-5 воткнуть кабель, ноутбук получит адрес по DHCP из 20 подсети, и будет пинговать и 20, и 21 сети. А вот если делаю два бриджа, один на порты ether1 и ether5, а второй на остальные, то при втыкании кабеля в 5 порт ноут адреса не получает, не пингует обе сети. Если убрать из бриджа ether1, то при воткнутом 5 порте пингует 21 сеть, но не видит 20. Если воткнуть кабель от ноута в пое-коммутатор (который воткнут, в свою очередь в ether1 микротика RB962UiGS-5HacT2HnT), то тогда ноут пингует обе сети, правда, устройства из 20 сети по имени не открывает, хотя в RB962UiGS-5HacT2HnT прописаны днсы 20 сети.
С микротиками я пока не сильно знаком, записался на обучение только на май, поэтому нужна ваша помощь. Мне нужно, чтобы устройства из обеих сетей видели друг друга, чтобы один из портов RB962UiGS-5HacT2HnT (ether2) смотрел в 20 сеть, остальные в 21, в идеале чтобы вообще при втыкании в любой из портов ether3-5 и в любой свитч, подключенный в ether1, устройство получало адрес из 21 сети и могло видеть устройства из 20 сети по их именам, а не только по адресам.

[gmx]

Вы бы лучше схема нарисовали, текстом сложно понять.

[ppsascha]

Вы бы лучше схема нарисовали, текстом сложно понять.

Художник из меня так себе
Но вот что получилось. Можно даже представить себе, что я ничего не делал, а хочу, чтобы работало по такой схеме.

[gmx]

Да, стало намного понятнее.
Все просто:

1. На RB962 на порту Ether1 настройте DHCP клиента. Я же правильно понимаю, что на CCR есть свой DHCP сервер, на CCR в DHCP Leases зафиксируйте ему адрес 192.168.20.250.
Все 21 подсеть увидела 20. RB962 получит маршрут в сеть 20 автоматически.
2. На CCR в IP-routes отправьте подсеть 192.168.20.0/24 в шлюз 192.168.20.250. Создайте ручную запись.
3. Если есть какие-то ограничения в фаерволлах, то их надо убрать или добавить разрешения...
4. Видеть по именам в разных подсетях на Win клиентах без дополнительных усилий невозможно в принципе. Тут либо Wins поднимать, либо, что намного проще, раздать всем папку я ярлыками с сетевыми ресурсами. Это уже обсуждалось не раз viewtopic.php?p=37908#p37908

Это пока так навскидку.

[ppsascha]

Да, стало намного понятнее.
Все просто:

1. На RB962 на порту Ether1 настройте DHCP клиента. Я же правильно понимаю, что на CCR есть свой DHCP сервер, на CCR в DHCP Leases зафиксируйте ему адрес 192.168.20.250.
Все 21 подсеть увидела 20. RB962 получит маршрут в сеть 20 автоматически.
2. На CCR в IP-routes отправьте подсеть 192.168.20.0/24 в шлюз 192.168.20.250. Создайте ручную запись.
3. Если есть какие-то ограничения в фаерволлах, то их надо убрать или добавить разрешения...
4. Видеть по именам в разных подсетях на Win клиентах без дополнительных усилий невозможно в принципе. Тут либо Wins поднимать, либо, что намного проще, раздать всем папку я ярлыками с сетевыми ресурсами. Это уже обсуждалось не раз viewtopic.php?p=37908#p37908

Это пока так навскидку.

1. Нет, DHCP у меня раздает контроллер домена, но это, в принципе, не так важно, кто раздает, сделать привязку я могу, это не проблема. Только а надо ли? Разве нельзя сделать как я, на ether1 выдать статику? На RB962 вообще, получается, никаких маршрутов создавать не надо? устройства из 21 сети автоматом будут видеть 20ю?
2. Это я сделал, работает. См. скрин.
3. Ограничений внутри сети вроде бы нет.
4. В принципе, видеть по именам - это уже мои хотелки, которые на текущий момент необязательны. 21 сеть мною планируется исключительно под видеонаблюдение, и все настройки будут только по адресам. В крайнем случае ну пропишу в хосты, или и правда винс подниму.

В двух словах, я правильно вас понимаю: на RB962 никаких маршрутов, натов, маскарадинга, бриджей, вообще ничего не надо, кроме адреса на ether1? На ССР маршрут в 21 сеть по скрину, убедиться в отсутствии блокировок на файерах, и все, обе сети будут видеть друг друга?

Но если я на RB962 убираю маршрут 192.168.21.0/24 через ether1, то с устройства в 20 сети у меня сразу пропадает пинг и пишет превышение ттл.

[gmx]

Нет, в вашей схеме все сложнее, оказывается. Если вы будете прописывать ip адрес вручную, то маршрут также надо прописывать вручную. Если получать ip адрес через dhcp, то формируется автоматический маршрут в соответствии с настройками dhcp сервера. Таким образом, маршруты должны быть с обеих сторон на обоих микротиках.

По поводу бриджей, натов и так далее... Так прям однозначно сказать, что они не нужны нельзя. Чтобы сети видели друг друга - скорее не нужны, но для других целей их придётся настраивать.

[ppsascha]

Нет, в вашей схеме все сложнее, оказывается. Если вы будете прописывать ip адрес вручную, то маршрут также надо прописывать вручную. Если получать ip адрес через dhcp, то формируется автоматический маршрут в соответствии с настройками dhcp сервера. Таким образом, маршруты должны быть с обеих сторон на обоих микротиках.

По поводу бриджей, натов и так далее... Так прям однозначно сказать, что они не нужны нельзя. Чтобы сети видели друг друга - скорее не нужны, но для других целей их придётся настраивать.

Короче, вы рекомендуете все же выдавать адрес по dhcp.
У меня, как я уже сказал, адреса выдает контроллер домена (там пул, маска, шлюз и днсы), а вот основные маршруты, в том числе впн, выдает шлюз на центосе. Хотя в дальнейшем я подумываю перекинуть все маршруты на ССР, а центос оставить только для сквида.
Просто дело в том, что регистратор, хоть и пингуется у меня сейчас без отвалов, периодически отваливается в VMS. Прежде чем ругаться на него, я решил уточнить, не накосячил ли я в маршрутах сетей.
Потому что изучать основы и роутинг на микротах я пойду в мае на курсах

В принципе, вроде работает, только не понимаю, надо ли что-то делать с бриджом. Мне бы хотелось, чтобы в этот микрот можно было воткнуть в оставшиеся дырки устройство, и оно было бы в 21 сети. Пока что, поскольку в бридже есть один интерфейс с адресом из 20й, то в остальные порты тоже выдается 20 сеть. А вот если сделать еще один бридж, и добавить туда, скажем, 1 (в котором адрес 21.10) и 5 интерфейс, то вообще ничего не работает.

[gmx]

По бриджам, если совсем простыми словам: на RB962 объединяете порты 2-5 в один бридж.
Перевешиваете IP адрес миротика на этот бридж. Этот IP адрес будет шлюзом для всех устройств, которые будут втыкаться в эти порты.
DHCP сервер, если он нужен также вешаете/перевешиваете на этот бридж.

Все, это минимальные настройка.

Для понимания про бриджи, представьте себе обычный коммутатор. То есть порты работают по принципу "всюду и со всеми". :) В простейшем случае, порты, которые в одном бридже - это они в самом обычном коммутаторе (тупом свиче).

[Ca6ko]

А вариант сделать все в одной сети с маской /23 не рассматривается?

[ppsascha]

По бриджам, если совсем простыми словам: на RB962 объединяете порты 2-5 в один бридж.
Перевешиваете IP адрес миротика на этот бридж. Этот IP адрес будет шлюзом для всех устройств, которые будут втыкаться в эти порты.
DHCP сервер, если он нужен также вешаете/перевешиваете на этот бридж.

Все, это минимальные настройка.

Для понимания про бриджи, представьте себе обычный коммутатор. То есть порты работают по принципу "всюду и со всеми". :) В простейшем случае, порты, которые в одном бридже - это они в самом обычном коммутаторе (тупом свиче).

Если у меня сейчас на 2 интерфейсе 20 сеть, а на 1 21я, то тогда проще в бридж объединить 1, 3-5, правильно?
У меня при таком варианте теряется пинг из 20 сети. Возвращается, только если я убираю порт, на котором адрес 192.168.21.10, из бриджа.
Мне нужно в ip-addresses повесить адрес 192.168.21.10 именно на бридж, а не на интерфейс? Так вроде заработало, правда, не сразу. Пришлось дергать ether1 туда-сюда. И почему-то отвалиливаются пинги спустя 20 пакетов, опять приходится выключать-включать ether1.
И почему-то теряется коннект из проги видеонаблюдения до регистратора, до тех пор, пока не передернешь статический маршрут в 21 сеть на ССР, при этом рег пингуется...