NAT внутри локальной сети

Обсуждение оборудования и его настройки
Ответить
lexsed
Сообщения: 5
Зарегистрирован: 27 апр 2023, 07:35

Коллеги, добрый день!

Есть подсеть 192.168.20.0/23, в качестве роутера выступает pfsense c 2-мя сетевыми картами (LAN 192.168.20.254) и WAN, маршрутизация настроена на нем.
В этой подсети 192.168.20.0/23 есть RouterBoard 1100 AHx4 (192.168.20.1), на нем нарезаны VLANы с подсетями 192.168.10.0/24, 192.168.30.0/24-192.168.70.0/24, для каждой подсети есть DHCP, со шлюзами соответственно 192.168.10.1, 192.168.30.1-192.168.70.1. Пинги во все подсети ходят.
Настраивал, к сожалению, не я, пытаюсь разобраться.
Проблема в том, что сервера находящиеся в сети 192.168.20.0/23 видят компы за NAT, то есть, например, комп 192.168.50.100, видят как 192.168.50.1 ( видит шлюз подсети). Пробовал отключить NAT на RouterBoard 1100, сеть виснет, в интернет перестают выходить эти VLAN. Может надо переключить NAT в другой режим, тоже ничего не получается.
И еще, происходит потеря или затухание пакетов между 192.168.20.0/23 и всеми VLAN, хотя пинги во всех подсетях ходят.
Подскажите, как правильно перенастроить VLANы и убрать NAT, чтобы все пакеты ходили без потерь во все подсети и все друг друга видели по своим реальным ip адресам , а не за NAT?
Прилагаю конфигурацию ниже.

/interface bridge

add name=bridge10
add name=bridge20
add name=bridge30
add name=bridge40
add name=bridge50
add name=bridge60
add name=bridge70

/interface ethernet
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether9 ] disabled=yes
set [ find default-name=ether10 ] disabled=yes
set [ find default-name=ether11 ] disabled=yes
set [ find default-name=ether12 ] disabled=yes
set [ find default-name=ether13 ] disabled=yes
/interface vlan

add interface=ether1 name=vlan10-1 vlan-id=10
add interface=ether2 name=vlan10-2 vlan-id=10
add interface=ether3 name=vlan10-3 vlan-id=10
add interface=ether4 name=vlan10-4 vlan-id=10
add interface=ether5 name=vlan10-5 vlan-id=10
add interface=ether6 name=vlan10-6 vlan-id=10
add interface=ether7 name=vlan10-7 vlan-id=10
add interface=bridge20 name=vlan20 vlan-id=20
add interface=bridge30 name=vlan30 vlan-id=30
add interface=bridge40 name=vlan40 vlan-id=40
add interface=bridge50 name=vlan50 vlan-id=50
add interface=bridge60 name=vlan60 vlan-id=60
add interface=bridge70 name=vlan70 vlan-id=70

/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 13 default-vlan-id=0
set 14 default-vlan-id=0
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool30 ranges=192.168.30.100-192.168.30.254
add name=dhcp_pool40 ranges=192.168.40.100-192.168.40.254
add name=dhcp_pool50 ranges=192.168.50.100-192.168.50.254
add name=dhcp_pool60 ranges=192.168.60.100-192.168.60.254
add name=dhcp_pool70 ranges=192.168.70.100-192.168.70.254
/ip dhcp-server
add address-pool=dhcp_pool30 disabled=no interface=bridge30 lease-time=1d name=\
dhcp30 relay=192.168.21.3
add address-pool=dhcp_pool40 disabled=no interface=bridge40 lease-time=1d name=\
dhcp40 relay=192.168.21.3
add address-pool=dhcp_pool60 disabled=no interface=bridge60 lease-time=1d name=\
dhcp60 relay=192.168.21.3
add address-pool=dhcp_pool70 disabled=no interface=bridge70 lease-time=1d name=\
dhcp70 relay=192.168.21.3
add address-pool=dhcp_pool50 disabled=no interface=bridge50 lease-time=1d name=\
dhcp50 relay=192.168.21.3
/queue simple
add max-limit=64k/64k name=queue1 target=192.168.50.101/32
add max-limit=5M/5M name=queue2 target=192.168.50.105/32
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
ord,web,sniff,sensitive,api,romon,dude,tikapp"
/dude
set data-directory=/M2/dude enabled=yes
/interface bridge port
add bridge=bridge20 interface=ether1
add bridge=bridge30 interface=ether2
add bridge=bridge40 interface=ether3
add bridge=bridge50 interface=ether4
add bridge=bridge60 interface=ether5
add bridge=bridge70 interface=ether6
add bridge=bridge10 interface=vlan10-1
add bridge=bridge10 interface=vlan10-2
add bridge=bridge10 interface=vlan10-3
add bridge=bridge10 interface=vlan10-4
add bridge=bridge10 interface=vlan10-5
add bridge=bridge10 interface=vlan10-6
add bridge=bridge10 interface=vlan10-7


/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=ether11 list=LAN
add interface=ether12 list=LAN
add interface=ether13 list=LAN
/ip address
add address=192.168.10.1/24 interface=bridge10 network=192.168.10.0
add address=192.168.20.1/23 interface=bridge20 network=192.168.20.0
add address=192.168.30.1/24 interface=bridge30 network=192.168.30.0
add address=192.168.40.1/24 interface=bridge40 network=192.168.40.0
add address=192.168.50.1/24 interface=bridge50 network=192.168.50.0
add address=192.168.60.1/24 interface=bridge60 network=192.168.60.0
add address=192.168.70.1/24 interface=bridge70 network=192.168.70.0
/ip dhcp-relay
add add-relay-info=yes dhcp-server=192.168.21.3 disabled=no interface=bridge30 \
local-address=192.168.30.1 name=relay30 relay-info-remote-id=relay30
add add-relay-info=yes dhcp-server=192.168.21.3 disabled=no interface=bridge60 \
local-address=192.168.60.1 name=relay60 relay-info-remote-id=relay60
add add-relay-info=yes dhcp-server=192.168.21.3 disabled=no interface=bridge40 \
local-address=192.168.40.1 name=relay40 relay-info-remote-id=relay40
add add-relay-info=yes dhcp-server=192.168.21.3 disabled=no interface=bridge50 \
local-address=192.168.50.1 name=relay50 relay-info-remote-id=relay50
add add-relay-info=yes dhcp-server=192.168.21.3 disabled=no interface=bridge70 \
local-address=192.168.70.1 name=relay70 relay-info-remote-id=relay70
add add-relay-info=yes dhcp-server=192.168.21.3 interface=bridge80 \
local-address=192.168.80.1 name=relay80 relay-info-remote-id=relay80
/ip dhcp-server network
add address=192.168.30.0/24 dns-server=192.168.20.2,192.168.21.3 domain=\
intranet.local gateway=192.168.30.1 ntp-server=\
192.168.21.3,192.168.20.2 wins-server=192.168.21.3
add address=192.168.40.0/24 dns-server=192.168.20.2,192.168.21.3 domain=\
intranet.local gateway=192.168.40.1 ntp-server=\
192.168.21.3,192.168.20.2 wins-server=192.168.21.3
add address=192.168.50.0/24 dns-server=192.168.20.2,192.168.21.3 domain=\
intranet.local gateway=192.168.50.1 ntp-server=\
192.168.21.3,192.168.20.2 wins-server=192.168.21.3
add address=192.168.60.0/24 dns-server=192.168.20.2,192.168.21.3 domain=\
intranet.local gateway=192.168.60.1 ntp-server=\
192.168.21.3,192.168.20.2 wins-server=192.168.21.3
add address=192.168.70.0/24 dns-server=192.168.20.2,192.168.21.3 domain=\
intranet.local gateway=192.168.70.1 ntp-server=\
192.168.21.3,192.168.20.2 wins-server=192.168.21.3
/ip dns
set servers=192.168.21.3,192.168.20.2
/ip dns static

/ip firewall filter
add action=drop chain=forward dst-address=192.168.50.101 src-address=\
192.168.50.101
add action=drop chain=input dst-address=192.168.50.101 src-address=\
192.168.50.101
add action=drop chain=output dst-address=192.168.50.101 src-address=\
192.168.50.101
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.10.0/24
add action=masquerade chain=srcnat src-address=192.168.20.0/23
add action=masquerade chain=srcnat src-address=192.168.30.0/24
add action=masquerade chain=srcnat src-address=192.168.40.0/24
add action=masquerade chain=srcnat src-address=192.168.50.0/24
add action=masquerade chain=srcnat src-address=192.168.60.0/24
add action=masquerade chain=srcnat src-address=192.168.70.0/24
/ip route
add distance=1 gateway=192.168.20.254
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/snmp
set enabled=yes location=servernaya trap-version=2
/system clock
set time-zone-name=Asia/Krasnoyarsk
/system identity
set name=MT1100core
/system logging
add disabled=yes topics=dhcp,debug
/tool sniffer
set filter-ip-protocol=icmp
Последний раз редактировалось lexsed 28 апр 2023, 06:02, всего редактировалось 2 раза.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

На микротике - убрать NAT.
На pfsense - добавить маршруты до всех нужных сетей с 192.168.20.1 в качестве шлюза.


Telegram: @thexvo
lexsed
Сообщения: 5
Зарегистрирован: 27 апр 2023, 07:35

xvo писал(а): 27 апр 2023, 14:57 На микротике - убрать NAT.
На pfsense - добавить маршруты до всех нужных сетей с 192.168.20.1 в качестве шлюза.
На pfsense добавлены были маршруты

Изображение


Изображение

На микротике убираю NAT для всех подсетей, трафик перестает ходить между подсетями и выход в инет тоже.




Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ничего в конфиге, если вы убрали все маскарады, не должно вызывать проблемы на L3.
Особенно в плане доступа между своими же разными vlan'ами.

Единственное, раз на микротике только dhcp-relay, то может просто нет связи с сервером и никто у вас адреса не получает.

На L2 там конечно каша с бриджами/VLAN'ами, но я так понимаю это вынужденная мера - на 6ке свитчи на RB1000AHx4 во VLAN'ы не умеют.
В идеале - накатить 7ку и сделать "как положено": один бридж и все VLAN'ы на нем.


Telegram: @thexvo
lexsed
Сообщения: 5
Зарегистрирован: 27 апр 2023, 07:35

xvo писал(а): 28 апр 2023, 08:49 Ничего в конфиге, если вы убрали все маскарады, не должно вызывать проблемы на L3.
Особенно в плане доступа между своими же разными vlan'ами.

Единственное, раз на микротике только dhcp-relay, то может просто нет связи с сервером и никто у вас адреса не получает.

На L2 там конечно каша с бриджами/VLAN'ами, но я так понимаю это вынужденная мера - на 6ке свитчи на RB1000AHx4 во VLAN'ы не умеют.
В идеале - накатить 7ку и сделать "как положено": один бридж и все VLAN'ы на нем.
Dhcp-relay работает, ip адреса получают хосты.

Сейчас на микротике стоит версия последняя 6.49.7

Выключить микротик не могу, коммутатор L3 Eltex MES2348 будет только через пол годика, мне сейчас как-то надо закрыть проблему. Сеть должна работать.
Как можно обойтись малой кровью перенастроить VLANы и NAT, не разваливая сеть? Как правильно отключить NAT?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

lexsed писал(а): 02 май 2023, 05:32 Как правильно отключить NAT?
Удалить все правила.


Telegram: @thexvo
lexsed
Сообщения: 5
Зарегистрирован: 27 апр 2023, 07:35

xvo писал(а): 02 май 2023, 11:48
lexsed писал(а): 02 май 2023, 05:32 Как правильно отключить NAT?
Удалить все правила.
Поробовал отключить 1 правило
add action=masquerade chain=srcnat src-address=192.168.30.0/24
Пинги идут странно в направлении от 192.168.30.0/24 в 192.168.20.0/23 выборочно, мой комп не пингуется (192.168.20.201), сервер 1С пингуется и даже запускается (srv-ap01 192.168.20.20) только долго. С моей стороны (192.168.20.0/23) в 192.168.30.0/24 пингуется.
Сеть 192.168.30.0/24 перестает ходить в интернет. Трассировка перестает работать со стороны 192.168.30.0/24, а в обратном работает.

При включенном этом правиле NAT трассировка в обе стороны показывает странные результаты. В направлении 30 VLAN 3 прыжка, 2 шлюза перепрыгивает, а в направлении 20 подсети 2 прыжка, перепрыгивает только 1 шлюз. Посмотрите во вложении.
Привожу ниже правила файрволла и трассировки при включенном NAT.
Изображение

Изображение

Изображение


Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

lexsed писал(а): 02 май 2023, 12:24 Поробовал отключить 1 правило
Почему одно?
Я вроде написал - все.

Тогда между сетями микротика должно начать нормально ходить.

Ну а наружу и с 20ой сетью - это уже ковыряйте pfSense.
Маршруты в сети за микротиком вы вроде показывали, что там ещё надо поменять - я не в курсе.


Telegram: @thexvo
lexsed
Сообщения: 5
Зарегистрирован: 27 апр 2023, 07:35

xvo писал(а): 02 май 2023, 12:43
lexsed писал(а): 02 май 2023, 12:24 Поробовал отключить 1 правило
Почему одно?
Я вроде написал - все.

Тогда между сетями микротика должно начать нормально ходить.

Ну а наружу и с 20ой сетью - это уже ковыряйте pfSense.
Маршруты в сети за микротиком вы вроде показывали, что там ещё надо поменять - я не в курсе.
Отключил все правила NAT , все подсети перестают выходить в интернет и подсеть 192.168.20.0/23 перестает пинговаться с этих подсетей. Как им наружу в интернет выходить? Подскажите, как быть?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

lexsed писал(а): 12 май 2023, 09:06 Как им наружу в интернет выходить? Подскажите, как быть?
Разобраться после этого с pfsense'ом, почему он не пускает их в интернет.


Telegram: @thexvo
Ответить