Маршрутизация между локалками? Диод? 2-лан, 1 wan - RB951G-2HnD

Обсуждение оборудования и его настройки
Ответить
Dombay
Сообщения: 2
Зарегистрирован: 02 мар 2017, 13:49

Во вложении файл с конфигурацие, который был получен командой
export file=config_backup_20170227.rsc

Собственно сама проблема.

Есть Микротик с такой конфигурацией.
ether1 - WAN
Bridge=ether2-master,ether3,ether3, wlan IP 192.168.25.1/24 - еще одна локалка
ether5 IP 192.168.0.165/24 - основная локалка

Проблема:
Клиенты 192.168.0.0/24 и 192.168.25.0/24 без проблем ходят в интернет

Но между клиентами 192.168.0.0/24 и 192.168.25.0/24 получился какой-то диод
т.е. например ping с 192.168.0.60 на 192.168.25.252 проходит,
а пинг с 192.168.25.252 на 192.168.0.60 не проходит.
И не получается подключиться по RDP с 192.168.25.252 на 192.168.0.60 (терм. сервер)


Подскажите пожалуйста, в чем я накосячил?

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward connection-state=established,related \
    dst-address=172.16.0.0/21 src-address=192.168.0.0/16
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Для IpSec-туннеля необходимо?

Код: Выделить всё

add action=accept chain=forward dst-address=192.168.25.0/24 in-interface=\
    ether5 out-interface=bridge src-address=192.168.0.0/24

^^^^^^^^^^^^^^^^^^
Для прохода с 192.168.0.0/24 на 192.168.25.0/24 необходимо?

Код: Выделить всё

add action=accept chain=forward dst-address=192.168.0.0/24 in-interface=\
    bridge out-interface=ether5 src-address=192.168.25.0/24
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Для прохода с 192.168.25.0/24 на 192.168.0.0/24 необходимо?

И по нату?

Код: Выделить всё

/ip firewall nat
add action=accept chain=srcnat comment=To_Kherson disabled=yes dst-address=\
    172.16.0.0/21 src-address=192.168.0.0/16
^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Необходимо, чтобы туннель не маскарадился? Сейчас он отключен.
Необходимо включить?

Код: Выделить всё

add action=accept chain=srcnat dst-address=192.168.25.0/24 src-address=\
    192.168.0.0/24
^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Необходимо, чтобы пакеты между сетями не маскарадились?

Код: Выделить всё

add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=\
    192.168.25.0/24

Необходимо, чтобы пакеты между сетями не маскарадились?

Поправьте меня пожалуйста, если я в чем-то ошибаюсь.


Полный конфиг - ниже...

Код: Выделить всё

# feb/27/2017 12:08:43 by RouterOS 6.38.1
# software id = 9IXD-KA1M
#
/interface bridge
add admin-mac=E4:8D:8C:AC:03:35 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment="WI-FI 192.168.25.1" name=\
    ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] comment="LOCAL 192.168.0.165"
/interface ipip
add allow-fast-path=no ipsec-secret=20-SorbonA-17 !keepalive local-address=\
    195.24.154.22 name=DN<->KHE remote-address=194.79.21.2
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys wpa-pre-shared-key=poliwf41 wpa2-pre-shared-key=poliwf41
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=wifi \
    supplicant-identity="" wpa-pre-shared-key=poliwf41 wpa2-pre-shared-key=\
    poliwf41
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors \
    frequency=auto mode=ap-bridge security-profile=wifi ssid=IT-MIKROTIK \
    wireless-protocol=802.11
/interface wireless nstreme
set wlan1 enable-polling=no
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,3des
/ip pool
add name=dhcp ranges=192.168.25.10-192.168.25.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge lease-time=10h10m name=\
    dhcpwifi
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
/ip address
add address=192.168.25.1/24 comment=defconf interface=bridge network=\
    192.168.25.0
add address=195.24.154.22/30 interface=ether1 network=195.24.154.20
add address=192.168.0.165/24 interface=ether5 network=192.168.0.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.25.0/24 comment=defconf dns-server=\
    195.24.128.65,195.24.128.164,192.168.0.1,192.168.0.40 domain=polyfarb \
    gateway=192.168.25.1 netmask=24 ntp-server=192.168.0.1
/ip dns
set allow-remote-requests=yes servers=195.24.128.65,195.24.128.164,8.8.8.8
/ip dns static
add address=192.168.25.1 name=mikrotik
/ip firewall filter
add action=accept chain=forward connection-state=established,related \
    dst-address=172.16.0.0/21 src-address=192.168.0.0/16
add action=accept chain=forward dst-address=192.168.25.0/24 in-interface=\
    ether5 out-interface=bridge src-address=192.168.0.0/24
add action=accept chain=forward dst-address=192.168.0.0/24 in-interface=\
    bridge out-interface=ether5 src-address=192.168.25.0/24
add action=accept chain=input comment=KHE:IP-Sec dst-port=500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp
add action=accept chain=input protocol=udp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" disabled=yes \
    in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
/ip firewall nat
add action=accept chain=srcnat comment=To_Kherson disabled=yes dst-address=\
    172.16.0.0/21 src-address=192.168.0.0/16
add action=accept chain=srcnat dst-address=192.168.25.0/24 src-address=\
    192.168.0.0/24
add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=\
    192.168.25.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface=ether1
/ip ipsec peer
add address=194.79.21.2/32 disabled=yes nat-traversal=no secret=20-SorbonA-17
/ip ipsec policy
set 0 disabled=yes
add disabled=yes dst-address=172.16.0.0/21 sa-dst-address=194.79.21.2 \
    sa-src-address=195.24.154.22 src-address=192.168.0.0/16 tunnel=yes
/ip route
add check-gateway=ping distance=1 gateway=195.24.154.21
add distance=1 dst-address=172.16.0.0/21 gateway=DN<->KHE
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.0.0/16,172.16.0.0/12,10.0.0.0/8
set ssh address=192.168.0.0/16,172.16.0.0/12,10.0.0.0/8
set api disabled=yes
set winbox address=192.168.0.0/16,172.16.0.0/12,10.0.0.0/8
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
add interface=ether5 type=internal
add interface=ether2-master type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
/system clock
set time-zone-name=Europe/Kiev
/system ntp client
set enabled=yes primary-ntp=192.168.0.1
/system ntp server
set enabled=yes
/system routerboard settings
set init-delay=0s
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge
/tool user-manager database
set db-path=user-manager


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Dombay писал(а):Подскажите пожалуйста, в чем я накосячил?

1) Я не совсем понял все Ваши внутренние сети (с учётом и адресации и их положение относительно друг друга)
2) что за сетка 172.хх - она провайдераская/промежуточная? Чья она? Нужна она?
3) что там у Вас за IPIP туннель - для чего? И для IPSec явно описывать файрволл не надо (обычно)
4) Хотелось бы схему простейшую или что там у Вас, надеюсь в сети на компах шлюзом стоит микротик?

ну и конечно расстроило слово "devconf" - что означает на стандартный конфиг Вы "налепили" свои настройки,
что в целом очень не по фен-шую, и т.д., в целом подключение двух локальных сетей работает просто и стандартно,
главное выделить на каждую сеть порт, дать порту каждому адресацию и в целом и всё.

Советую очистить роутер (сделав копию) и с нуля настроить в ручном режиме без "мусора" и бардака".
а) обнуляете (без заводской конфигурации)
б) (попробуйте пока без бриджей) - давайте каждому порту его адресацию, подключайте комп и проверяйте
в) потом уже настройки Интернета, ДНСа, НАТ и начальный файрволл
г) ВиФи + уже потом идёт DHCP и потом возможно корректировка настройки в зависимости от той или иной задачи.
д) и уже на рабочей конфигурации (сделав бекап) туннели доступы далее...и какие либо дополнения и/или "костыли".



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Dombay
Сообщения: 2
Зарегистрирован: 02 мар 2017, 13:49

Подскажите пожалуйста, в чем я накосячил?

1) Я не совсем понял все Ваши внутренние сети (с учётом и адресации и их положение относительно друг друга)

Город DN - центральный офис.
ether5 LAN: 192.168.0.0/24 - обчные компы и 192.168.0.60-терминальный сервер.
ether2 - ether4 WIFI: 192.168.25.0/25 - сотрудники, которые шастают с ноутбуками должны прозрачно работать в сети, подключаться к терминальному серверу и сетевым принтерам в сети 192.168.0.0/24
ether1 - WAN (Internet)

2) что за сетка 172.хх - она провайдераская/промежуточная? Чья она? Нужна она?
Город KHE - наш второй офис.
IPSEC - корпоративный канал.


3) что там у Вас за IPIP туннель - для чего? И для IPSec явно описывать файрволл не надо (обычно)
IPSEC - корпоративный канал.

4) Хотелось бы схему простейшую или что там у Вас, надеюсь в сети на компах шлюзом стоит микротик?
С обеих сторон - одинаковые микротикти

ну и конечно расстроило слово "devconf" - что означает на стандартный конфиг Вы "налепили" свои настройки,
что в целом очень не по фен-шую, и т.д., в целом подключение двух локальных сетей работает просто и стандартно,
главное выделить на каждую сеть порт, дать порту каждому адресацию и в целом и всё.

Советую очистить роутер (сделав копию) и с нуля настроить в ручном режиме без "мусора" и бардака".
а) обнуляете (без заводской конфигурации)
б) (попробуйте пока без бриджей) - давайте каждому порту его адресацию, подключайте комп и проверяйте
в) потом уже настройки Интернета, ДНСа, НАТ и начальный файрволл
г) ВиФи + уже потом идёт DHCP и потом возможно корректировка настройки в зависимости от той или иной задачи.
д) и уже на рабочей конфигурации (сделав бекап) туннели доступы далее...и какие либо дополнения и/или "костыли".
Хорошо бы, но это уже только в нерабочее время буду пробовать.


Ответить