В сети DES-1100-16 - 30 шт, все управляемые.
Все порты разделены (то бишь клиенты друг друга не видят, только через шлюз).
Во главе этой пищевой цепочки стоял ПК с Kerio в качестве шлюза (раздача интернета, сервер VPN и прочее).
После шлюз был заменен на RB750UP.
1 порт - интернет
2 порт - резервный канал интернета
3 порт - локальная сеть (IP mikrotik 10.1.0.15)
Раздачу интернет настроил, привязка mac+ip тоже сделал. Все отлично, интернет работает и клиенты рады.
Теперь столкнулся с проблемой связи между компьютерами.
При kerio: С компьютера 10.1.0.9 можно достучатся до компьютера 10.7.0.9. То есть трафик шел через kerio.
При mikrotik: С компьютера 10.1.0.9 НЕ МОГУ достучатся до компьютера 10.7.0.9. Т.к. mikrotik не пропускает.
Вопрос, как на mikrotik наладить связь между двумя компьютерами 10.1.0.9 и 10.7.0.9...?
Скрин с настройками от kerio, если это поможет.
Связь между подсетями через 1 порт
-
- Сообщения: 5
- Зарегистрирован: 12 май 2014, 12:23
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
ну начнем с того что я бы руки оторвал за подобную настройку керио да и любого Другова шлюза. По остальным вопросам конфиги выкладывайте
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 5
- Зарегистрирован: 12 май 2014, 12:23
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Долго рассматривал ваш конфиг. Возникло несколько вопросов.
Вы ИП адреса раздаете по DHCP ?
Далее, вы говорите что не можете достучатся между 10.1.0.9 и 10.7.0.9
Но согласно правилам в фаерволе
У вас эти адреса должны быть добавлены в аддрес лист, а их там нет
Вы ИП адреса раздаете по DHCP ?
Далее, вы говорите что не можете достучатся между 10.1.0.9 и 10.7.0.9
Но согласно правилам в фаерволе
Код: Выделить всё
/ip firewall filter
add chain=forward dst-address-list=Lan_Users out-interface=Lan
add action=drop chain=forward out-interface=Lan
У вас эти адреса должны быть добавлены в аддрес лист, а их там нет
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 5
- Зарегистрирован: 12 май 2014, 12:23
Часть (12%) адресов раздается по DHCP, с привязкой к MAC.
Остальные прописаны в ручную на клиентах.
Про адрес лист тоже была мысль, внес оба адреса. Не помогло.
Адрес лист и дроп тоже убирал, все равно не пускает.
P.S.: В первом сообщение заметил опечатку, адрес микротика 10.1.0.15. Извиняюсь.
Остальные прописаны в ручную на клиентах.
Про адрес лист тоже была мысль, внес оба адреса. Не помогло.
Адрес лист и дроп тоже убирал, все равно не пускает.
P.S.: В первом сообщение заметил опечатку, адрес микротика 10.1.0.15. Извиняюсь.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
еще непоняттка
add address=10.1.0.15/8
а в DHCP server 24 маска
/ip dhcp-server network
add dns-server=10.1.0.15 gateway=10.1.0.15
add address=10.3.1.0/24 comment=Alien_Users
Ну и для диагностики создайте логирующие правила в фаерволе и посмотрите где оно теряется
add address=10.1.0.15/8
а в DHCP server 24 маска
/ip dhcp-server network
add dns-server=10.1.0.15 gateway=10.1.0.15
add address=10.3.1.0/24 comment=Alien_Users
Ну и для диагностики создайте логирующие правила в фаерволе и посмотрите где оно теряется
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 5
- Зарегистрирован: 12 май 2014, 12:23
Ок, 10.1.0.15/8 исправил на 10.1.0.15/24.
По логам, можно конкретнее? Как именно прописать?
По логам не силен, знаю что их можно даже на флешку писать, но еще не сталкивался на практике с этим.
По логам, можно конкретнее? Как именно прописать?
По логам не силен, знаю что их можно даже на флешку писать, но еще не сталкивался на практике с этим.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
В фаерволе создаете правило и в акшен ставите ЛОГ
И если что то подходит под ваше правило то информация пишется в лог
И если что то подходит под ваше правило то информация пишется в лог
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 5
- Зарегистрирован: 12 май 2014, 12:23
Такс... поставил правило.
Максимум чего добился в логах:
dstnat: in:Lan out:(none), src-mac ..., proto ICMP (type 8, code 0), 10.1.0.4 -> 10.5.0.7, len 60.
Где:
10.1.0.4 - Это мой ноут
10.5.0.7 - Файловый сервер (при Kerio на пинги отвечает)
На ноуте отправляю: Ping 10.5.0.7
Связи между компьютерами нет.
Максимум чего добился в логах:
dstnat: in:Lan out:(none), src-mac ..., proto ICMP (type 8, code 0), 10.1.0.4 -> 10.5.0.7, len 60.
Где:
10.1.0.4 - Это мой ноут
10.5.0.7 - Файловый сервер (при Kerio на пинги отвечает)
На ноуте отправляю: Ping 10.5.0.7
Связи между компьютерами нет.