Помогите с настройкой сети

shadow_step · 18 фев 2022, 17:08

Добрый день.
Имеются 15 сетей с одинаковыми IP-адресами (сетевые HMI панели и PLC) - каждая сеть подключена к микротику, все микротики соединяются простым сетевым концентратором в один узел, необходимо сделать чтобы PLC видели друг друга и Не имели доступ к другим устройствам не своей сети.
Пробовал на 2-х сетях с подменой на несуществующие сети - идея прикольная но в условиях 15 одинаковых сетей, возникают сложности с кол-вом routs и firewalls.
Подскажите чем лучше воспользоваться для решения такой масштабной задачи.

18 фев 2022, 21:33

Наверное, лучше всего сделать 15 сетей с разными пулами всё же. Вы же в правилах утонете сами и маршрутизаторы утопите. Да и вообще вы пытаетесь упереться в ограничения во всём. И в объёмах работ и в железе. Подумайте о смене адресации...

shadow_step · 20 фев 2022, 20:37

podarok66 писал(а): ↑18 фев 2022, 21:33 Наверное, лучше всего сделать 15 сетей с разными пулами всё же. Вы же в правилах утонете сами и маршрутизаторы утопите. Да и вообще вы пытаетесь упереться в ограничения во всём. И в объёмах работ и в железе. Подумайте о смене адресации...

Если делать чтобы все видели друг друга, с 2-я сетями все просто, всего 2 маршрута на каждом + 1 NAT (мануалов достаточно по этому вопросу).
Но если будет очень много сетей тогда правила будут увеличиваться в геометрической прогрессии.

Можно сократить задачу до следующего: получение доступа к одинаковому 1 IP. (В каждой сети получить доступ только к 1 устройству.) Я так понимаю что лучше это сделать так: сделать роутинг с внешней сети (ether1) на 1 адрес.

Или есть более "правильные" решения вопроса?

mafijs · 20 фев 2022, 20:41

shadow_step писал(а): ↑20 фев 2022, 20:37 Или есть более "правильные" решения вопроса?

Да, есть, конечно, более "правильное" решение. Изменить адресацию сетей, чтобы не было двух одинаковых. Как выше уже сказали.

shadow_step · 21 фев 2022, 10:47

mafijs писал(а): ↑20 фев 2022, 20:41
shadow_step писал(а): ↑20 фев 2022, 20:37 Или есть более "правильные" решения вопроса?
Да, есть, конечно, более "правильное" решение. Изменить адресацию сетей, чтобы не было двух одинаковых. Как выше уже сказали.

Адресация не может быть изменена. =(
Если бы можно было всё получилось бы быстро. а тут нестандартное решение надо.
Самый просто способ это сделать уникальные IP но это невозможно сделать.

21 фев 2022, 21:09

Микротики для общения имеют свою сеть, отличную от локалки ваших устройств. Например 10.10.0.0/24. Локалка устройств 192.168.0.0/24
Пример для двух микротов.
Маршрут микротика 1 (10.10.0.3)

Код: Выделить всё

/ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.0.2

Маршрут микротика 2 (10.10.0.2)

Код: Выделить всё

/ip route add distance=1 dst-address=192.168.3.0/24 gateway=10.10.0.3

Правила NAT для микротика 1

Код: Выделить всё

/ip firewall nat add action=netmap chain=dstnat dst-address=192.168.3.0/24 to-addresses=192.168.0.0/24
/ip firewall nat add action=netmap chain=srcnat src-address=192.168.0.0/24 out-interface=ether1 to-addresses=192.168.3.0/24

Правила NAT для микротика 2

Код: Выделить всё

/ip firewall nat add action=netmap chain=dstnat dst-address=192.168.2.0/24 to-addresses=192.168.0.0/24
/ip firewall nat add action=netmap chain=srcnat src-address=192.168.0.0/24 out-interface=ether1 to-addresses=192.168.2.0/24

Как видим, для 15 Микротиков понадобится 14 маршрутов и 28 правил NAT в каждом. Очень серьезная нагрузка. Да и ошибок напороть можно как здрасьте сказать.

Писал просто не проверяя, поэтому могут быть чудовищные ляпы. Старожилов прошу проверить на косяки. Особенные сомнения в назначении out-interface. Всё же я плохо могу представить эту сеть без схемы.

Никаких других схем решения этой задачи я не видел. Может и есть ещё какие-то.

shadow_step · 22 фев 2022, 09:59

Прошу прощения что не выложил схему сети:

Описание:
все микротики объединены физически в 1 сеть через один и тот же порт (Eth-1).
Требуется получить доступ к 1 устройству во внутренней сети (192.168.0.50) по "внешнему" адресу микротика (eth-1).
Так же чтобы все внутренние сети обращаясь на внешние адреса микротиков попадали на адрес 192.168.0.50.
В Вашем примере podarok66, указана несуществующая сеть чтобы сделать развязку, да это отличная идея, когда сеть не более 3-5 подсетей. Можно заморочиться и прописать всё.
Я пробую сузить задачу до простого проброса.

Код: Выделить всё

/interface bridge
add arp=local-proxy-arp name=bridge1
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
/ip address
add address=192.168.10.10/24 interface=ether1 network=192.168.10.0
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
/ip firewall nat
add action=masquerade chain=srcnat
add action=netmap chain=dstnat in-interface=ether1 to-addresses=192.168.0.70
/ip route
add distance=1 dst-address=192.168.0.70/32 gateway=ether1
/system identity
set name=Router-1

В данной конфигурации получается находясь во внешней сети получить доступ к внутреннему адресу. Но когда пробую с внутренней сети достучаться до внешних других адресов, где то сталкиваюсь с запретом.

Ca6ko · 22 фев 2022, 10:51

/interface bridge
add arp=local-proxy-arp name=bridge1
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
/ip address
add address=192.168.10.10/24 interface=ether1 network=192.168.10.0
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.0.50
/ip route
add distance=1 dst-address=0.0.0.0/0 gateway=ether1
/system identity
set name=Router-1

Попробуйте так

shadow_step · 22 фев 2022, 11:17

Ca6ko писал(а): ↑22 фев 2022, 10:51 /interface bridge
add arp=local-proxy-arp name=bridge1
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
/ip address
add address=192.168.10.10/24 interface=ether1 network=192.168.10.0
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.0.50
/ip route
add distance=1 dst-address=0.0.0.0/0 gateway=ether1
/system identity
set name=Router-1

Попробуйте так

ping c адреса .50 не проходят на другие микротики которые подключены и имеюсь адресацию 192.168.10.11-....
сейчас буду изучать дальше.
Подскажите а VLAN сможет помощь в решении данной задачи?

Ca6ko · 22 фев 2022, 16:03

shadow_step писал(а): ↑22 фев 2022, 11:17 VLAN сможет помощь в решении данной задачи?

Каким образом?
У Вас простая задача NAT и проброс порта до нужного адреса.
Что показывает tracert?
Что показывает Torch?
На 192.168.0.50 сетевые настройки прописаны правильно?
С самих микротиков пинги проходят?

Помогите с настройкой сети

Вход • Регистрация