Помогите настроить связь между сетями

Обсуждение оборудования и его настройки
Ответить
nikita.sidorov
Сообщения: 10
Зарегистрирован: 24 янв 2022, 10:56

Добрый день!

Есть два микротика:
1) CRS326-24G-2S+
2) RB750r2

Первый настроен по мануалам из сети, раздает сеть 192.168.0.*/24, сам 192.168.0.1.
2 порт WAN со статикой от провайдера, остальные порты в бридже.
В 18 порт подключен микротик RB750r2, с айпи 192.168.0.202/24.
В НАТе маскарадинг из 192.168.0.0/24 на порт 2. Все работает, но трафик с камер видеонаблюдения сильно грузил процессор (сайты долго грузились, облачная 1С очень тупила) - возможно я ошибаюсь что грузился именно процессор.

Второй роутер настроен на работу в сети 192.168.1.*/24, сам он 192.168.1.1, на порту 1 - 192.168.0.202, в НАТе маскарадинг из 192.168.1.0/24 на порт 1.

На обоих роутерах настроены Routes, они друг друга видят и доступ из 0.* в 1.* есть (пинги идут, например с ПК 0.24 на видеокамеру 1.100 пинг идет, трэйсроут правильный). С сервера видеонаблюдения 1.99 пингуются хосты 0.*, всё в порядке, всё работает, если бы не одно НО...

Проблема в том, что на сервере видеонаблюдения есть общие папки, к которым надо предоставить доступ пользователям сети 0.*
Но с хостов сети 0.* не пингуется и не доступен по SMB хост 1.99, любые другие хосты из 1.* доступны, а этот нет... Я пробовал менять айпи видеосервера, не помогает. Делал проброс портов SMB на айпи 192.168.0.202 нетмапом на 192.168.1.99:445 и :139 - ни пинга, ни доступа к общим ресурсам 1.99 не появилось.

Что я сделал(делаю) не так?
На первом роутере есть правила фильтрации, но их отключение не дает никакого результата.
Дополню любой необходимой информацией, если она потребуется.
Заранее спасибо.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Уточните, прописан ли шлюз на сервере видеонаблюдения 192.168.1.99 и есть ли возможность его прописать???
Ну и надо его прописать.

Ну и еще, независимо от шлюза, пингуется ли сервер 192.168.1.99 с микротика 192.168.1.1???


nikita.sidorov
Сообщения: 10
Зарегистрирован: 24 янв 2022, 10:56

gmx писал(а): 24 янв 2022, 11:14 Уточните, прописан ли шлюз на сервере видеонаблюдения 192.168.1.99 и есть ли возможность его прописать???
Ну и надо его прописать.

Ну и еще, независимо от шлюза, пингуется ли сервер 192.168.1.99 с микротика 192.168.1.1???
На 1.99 прописан шлюз 1.1, ДНСы 1.1 и гугловские 8ки
Изображение

Это с винбокса с компа из 0.1, т.е. подключение и пинги с адреса 0.202 (ВАН-IP роутера 1.1). К сожалению, кроме 1.99 в сети 1.* компов нет и подключить (сейчас) нет возможности, нахожусь удаленно от местоположения микротиков. Работаю с ними через тимвьювер.


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Какая маска сети на прописана на .1.99? Иногда её нельзя поменять стоит по умолчанию /16.
Очень большой джитер в пингах, есть узкое место в сети.
nikita.sidorov писал(а): 24 янв 2022, 11:11 сайты долго грузились, облачная 1С очень тупила
Роутер Hex Lite как минимум в два раза производительнее, чем роутер, сделанный из свича CRS326. Поэтому правильнее поставить роутером на вход провайдера Hex Lite. А сеть видеонаблюдения отделять уже 326.
nikita.sidorov писал(а): 24 янв 2022, 11:11 Что я сделал(делаю) не так?
nikita.sidorov писал(а): 24 янв 2022, 11:11 Делал проброс портов SMB на айпи 192.168.0.202 нетмапом
Нельзя так делать, особенно с видеонаблюдением, порты пробрасываются дст-натом.
Сервер видеонаблюдения на чем? SMB на нем работает?


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
nikita.sidorov
Сообщения: 10
Зарегистрирован: 24 янв 2022, 10:56

Ca6ko писал(а): 24 янв 2022, 15:27 Какая маска сети на прописана на .1.99? Иногда её нельзя поменять стоит по умолчанию /16.
Очень большой джитер в пингах, есть узкое место в сети.
Маска /24 у обеих сетей. Узкое место не знаю где, там за hex lite удаленный свитч д-линк (~60-70 метров до него), сервер 1.99 тоже подключен через свитч (д-линк, неуправляемый).
Ca6ko писал(а): 24 янв 2022, 15:27 Нельзя так делать, особенно с видеонаблюдением, порты пробрасываются дст-натом.
Сервер видеонаблюдения на чем? SMB на нем работает?
Рад пробросить дст-натом, понять бы как, желательно пошагово =) Но тут ладно, мануал видел, попробую нетмап поменять на дст-нат.
Сервер iSpy на Винде 10, собственно он сервер только потому, что его так стало принято идентифицировать на предприятии. СМБ на нем, она же шара.

Я не могу понять почему из 0.* пингуются все камеры из 1.* и сам микротик 1.1, а 1.99 ни в какую, ни пинг не идет, ни шара не работает...


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

На винде 10 все что можно отключено :-)
SMB1 отключено, отвечать на пинги из других сетей то же отключено.
Что маска /24 я понял, вопрос был проверить конкретно на .1.99 какая настроена.

Узкое место нужно искать, возможно там всю сетку штормит.
nikita.sidorov писал(а): 24 янв 2022, 17:11 Рад пробросить дст-натом, понять бы как, желательно пошагово =)
Открываем правило, вкладка action вместо netmap ставим dst-nat, адрес/ порт указываем тот же что и был.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
nikita.sidorov
Сообщения: 10
Зарегистрирован: 24 янв 2022, 10:56

Ca6ko писал(а): 24 янв 2022, 17:32 На винде 10 все что можно отключено :-)
SMB1 отключено, отвечать на пинги из других сетей то же отключено.
Что маска /24 я понял, вопрос был проверить конкретно на .1.99 какая настроена.

Узкое место нужно искать, возможно там всю сетку штормит.

Открываем правило, вкладка action вместо netmap ставим dst-nat, адрес/ порт указываем тот же что и был.
Прописал дст-нат, результата нет.
Маска на 1.99 - 255.255.255.0

Сервер SMB 1.0 включен, когда еще всё было в единой сети с ПК с WinXP шара была доступна, с остальных (7,10) разумеется тоже.

И огромное спасибо за толчок в сторону самой винды, брандмауэр не пускал, отрубал всех кто не из 1.*/24.
Убрал в правилах фильтрацию только из локальной подсети, шара появилась. Правда пинги не идут всё равно. Какой порт открывать в брандмауэре для пингования хоста не знаю =(


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

nikita.sidorov писал(а): 24 янв 2022, 19:37 шара появилась. Правда пинги не идут всё равно.
там же в винде, нужно явно разрешить отвечать на пинги из нужной сети .


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
nikita.sidorov
Сообщения: 10
Зарегистрирован: 24 янв 2022, 10:56

Ca6ko писал(а): 24 янв 2022, 20:54 там же в винде, нужно явно разрешить отвечать на пинги из нужной сети .
Безмерно благодарен Вам за помощь!
Узкое место сети, подозреваю, в rtsp с камер арендодателя, они постоянно генерируют трафик в 20-25 мбит/с.
Я в правильном направлении мыслю?

До изменений конфигурации сети, трафик на портах CRS326 был в районе 80-90 мбит/с, при выключении iSpy на видеосервере резко падал до околонулевых значений с периодическими всплесками до 90-100 мбит/с, что полагаю было связано с активностью хостов сети.


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

nikita.sidorov писал(а): 25 янв 2022, 08:46 они постоянно генерируют трафик в 20-25 мбит/с.
Ну это как бы их работа, для этого камеры и ставили что бы они передавали информацию :a_g_a:
"Узкое место" , "Бутылочное горлышко" https://ru.wikipedia.org/wiki/%D0%A3%D0 ... 1%82%D0%BE
Большой разброс по пингам как раз говорит о не равномерном движении трафика между хостами. Такое чаще всего возникает из-за наличия очередей в каком-то месте. Нужно диагностировать работу сети. Причин может быть много, от банальных неконтактов в сети, до не полного выхода из строя устройств.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Ответить