Добрый день уважаемые специалисты!
Есть две сети 192.168.88.0/24 и 192.168.155.16/28
Сеть 88.0 подключена через коммутатор Eltex MES3324.
Сеть 155.16 разделена физически. Часть Армов подключена напрямую в MikroTik
RB2011iL-RM, часть подключена в MES3324.
Интернет подключен через модем с IP 155.17.
После просмотра обучающих видео и чтения мануалов удалось все запустить со следующей конфигурацией:
Но армы из сети 155.16 за MES3324 невидны другим. Хотя сам роутер их пингует.
Подскажите пожалуйста, где ошибся.
Возможно ли сконфигурировать роутер без НАТ, чтобы все друг друга видели и Инет раздавался в обе сети?
Как правильно организовать две подсети?
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) Не ясно как настроен MES3324
2) какие параметры (шлюзы) указаны у разделённых
3) сети без НАТа делают даже когда офисы на больших расстояниях
находятся.
Схема красивая, но не понятная, и как куда и что идёт.
2) какие параметры (шлюзы) указаны у разделённых
3) сети без НАТа делают даже когда офисы на больших расстояниях
находятся.
Схема красивая, но не понятная, и как куда и что идёт.
-
- Сообщения: 4
- Зарегистрирован: 11 янв 2019, 11:43
1) Не ясно как настроен MES3324
MES3324 - не настраивался вообще. Они его используют просто как хаб не 24 порта.
2) какие параметры (шлюзы) указаны у разделённых
Шлюзом в сети 88.0 указан 88.1.
В сети 155.0 (которая за MES3324) -155.24. Для остальных 155.17
3) сети без НАТа делают даже когда офисы на больших расстояниях
находятся.
Без НАТ, не получилось пока сделать, но очень хочется
MES3324 - не настраивался вообще. Они его используют просто как хаб не 24 порта.
2) какие параметры (шлюзы) указаны у разделённых
Шлюзом в сети 88.0 указан 88.1.
В сети 155.0 (которая за MES3324) -155.24. Для остальных 155.17
3) сети без НАТа делают даже когда офисы на больших расстояниях
находятся.
Без НАТ, не получилось пока сделать, но очень хочется
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
То есть для нас этот свитч -тупой свитч, и его можно не брать в расчёт. В сегментацииwindenis_kz писал(а): ↑12 янв 2019, 18:32 1) Не ясно как настроен MES3324
MES3324 - не настраивался вообще. Они его используют просто как хаб не 24 порта.
и в маршрутизации он не участвует.
Так если согласно пункту 1, свитч у нас тупой, зачем при разделении сетей,windenis_kz писал(а): ↑12 янв 2019, 18:32 2) какие параметры (шлюзы) указаны у разделённых
Шлюзом в сети 88.0 указан 88.1.
В сети 155.0 (которая за MES3324) -155.24. Для остальных 155.17
Вы меняете и шлюз им? Свитч просто у нас?
Мне по конфигу не понравилось то, что Вы порты объединили в бридж,windenis_kz писал(а): ↑12 янв 2019, 18:32 3) сети без НАТа делают даже когда офисы на больших расстояниях
находятся.
Без НАТ, не получилось пока сделать, но очень хочется
а адреса даёте портам, хотя согласно правилу, порты помещённый в бридж
- становятся подчинённым (Slave) и адресацию надо явно задавать уже
на этом бридже (хоть два,хоть 4 IP ставьте).
DHCP тоже должен работать на бридже, если адрес будет стоять на бридже.
(DHCP советуют делать только на бридже, так чуть правильнее, по логике работы микротика)
И НАТ уберите вообще(хотя бы на 10 минут) (все правила НАТа, их два кажется), и пробуйте!!!
А если НАТ нужен, то его в Вашей схеме и при наличии несколько сетей надо делать
направленный (явный-узко-направленный), зачем Вы локальные сети НАТите между собой?
(тем более создавая лишнюю нагрузка на процессор)?
Делайте правила такие, что если сеть Ваша хочет в глобал выйти (во внешку),
то только эти пакеты при выходе на внешний интерфейс и НАТить, остальное
зачем НАТить, особенно локальный трафик?
Вот у Вас и идут косяки.
А что у Вас во втором порту роутера?
НЕ проще то что во втором порту роутера сдвинуть на 10й порт, а уже
бридж делать с 1 по 9 сразу ? А то второй порт на схеме = как будто вырезан,
не красиво и не логично.
P.S.
Если можно, на схеме роутер сделайте побольше, лучше в виде длинного прямоугольника
и напишите всё явно с указанием портов/адресов.
-
- Сообщения: 4
- Зарегистрирован: 11 янв 2019, 11:43
Да
При указании шлюзом 155.17 (для тех что за MES3324) остальная часть перестает пинговаться и инет не проходит.
Понял. Ни в одном мануале и уроках, не было разъяснений. Спасибо.
DHCP нужен только для сети 88.0. В 155.16 все в статике. Или Eth2 (88.1) тоже объявить бриджем? Как правильно?
Добавил маршрут 0.0.0.0/0 через 155.17. Убираю на НАТ и все перестает работать. Сам маршрутизатор всех пингует. А вот сети друг друга перестают видеть. И инет прекращает раздаваться.Vlad-2 писал(а): ↑12 янв 2019, 19:09 И НАТ уберите вообще(хотя бы на 10 минут) (все правила НАТа, их два кажется), и пробуйте!!!
А если НАТ нужен, то его в Вашей схеме и при наличии несколько сетей надо делать
направленный (явный-узко-направленный), зачем Вы локальные сети НАТите между собой?
(тем более создавая лишнюю нагрузка на процессор)?
Делайте правила такие, что если сеть Ваша хочет в глобал выйти (во внешку),
то только эти пакеты при выходе на внешний интерфейс и НАТить, остальное
зачем НАТить, особенно локальный трафик?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Давайте разделим задачи.windenis_kz писал(а): ↑14 янв 2019, 19:28 При указании шлюзом 155.17 (для тех что за MES3324) остальная часть перестает пинговаться и инет не проходит.
1- сделать чтобы Вы видели сети между собой
2- сделать им Интернет.
У Вас проблема была и тема называется - как сделать две подсети, вот пока это главное.
С одной стороны - у Вас на одном порту клиенты сидят, и как бы логически бридж не нужен,windenis_kz писал(а): ↑14 янв 2019, 19:28 DHCP нужен только для сети 88.0. В 155.16 все в статике. Или Eth2 (88.1) тоже объявить бриджем? Как правильно?
но я бы сделал через бридж, а чтобы было понятно почему - откройте
окно DHCP Server на микротике, и выдерните кабель с порта2 = DHCP сервер
88.0 = должен стать красным.
При работе DHCP сервера для сети 88.0/24 на бридже, такой ситуации не будет.
1) Я не говорил вообще отключить НАТ (вернусь к нему)windenis_kz писал(а): ↑14 янв 2019, 19:28 Добавил маршрут 0.0.0.0/0 через 155.17. Убираю на НАТ и все перестает работать. Сам маршрутизатор всех пингует. А вот сети друг друга перестают видеть. И инет прекращает раздаваться.
2) Маршрут 0.0.0.0/0 через 155.17 у Вас должен быть и ранее
2.1) Такой маршрут должен быть на всех компах/серверах кто находиться в сети 192.168.155.16/28
3) Вы должна сетку 192.168.88.0/24 спрятать (заНАТить) от адреса роутера из сети 155.16 (кажется
155.25 адрес у роутера).
Для чего: как я понял по картинке, роутер у Вас 155.17, он ждёт клиентов с сети 155.16/28.
Значит кто пришёл на роутер с сети 155.16/28 = того и выпускают в Интернет.
Если придёт на роутер 155.17 пакет с компов 88.0/24 то обычно (при средне-хорошей настройке)
такой пакет уйдёт никуда.
Поэтому тут два под-варианта для сети 88.0/24
а) прятать её за 155.25 и дальше всё уйдёт на 155.17 и в глобал
б) делать маршрут, что все запросы с сети 88.0/24 отдавать как есть на
155.17 (а уже на роутере 155.17 разрешать сетки 88 выходить в интернет)
Тут ещё надо обеспечить их взаимодействие.
Так что НАТ для сети 88 = предпочтительнее и проще.
Поэтому я не говорил что НАТ вообще не нужен. Я просил его отключить, ибо Вы локальные
сети между собой НАТите, и на время отключения проверить что локальные узлы (компы
сети 155.16/28 между собой доступны и пингуются).
То есть как и написал в начале, делаем локальную сеть, её настраиваем,
потом уже с глобалом разбиваемся.
И по части роутера 155.17 = что за железка, умная/простая?
(повторю: в той схеме что я вижу, локальные сети между собой общаются равноправно):
а) сеть 155.16 (члены её) сами идут на 155.17, и в Интернет
б) компы с сети 88 до сети 155.16/28 идут по без НАТа,
б1) на компах сети 155.16/28 должна быть прописан маршрут, что сетка
88.0/24 доступна через адрес 155.25 (адрес роутера).
в) если пакеты из сети 88.0/24 идут на любой адрес, кроме сети 155.16/28,
то такой пакет(ы) НАТить от адреса 155.25.
За картинку спасибо, лучше понятно стало и мои советы выше стали более предметно.
Но ещё дам совет: у роутера 2011 - первые порты гигабитные, если у Вашего роутера порт 100мбит,
то проще его подключить в порты роутера которые 100мбит, а уже какой-то компьютер переподключить
в гигабитный разъём.
И второй совет: у роутера два блока портов, первые 5 по 1г, и второе 5 по 100мб, кроме выше совета,
лучше ещё сделать так: те компы которые чаще, активнее общаются между собой, поместить рядом (в
рамках одной группы портов), для чего это = между группой портов = общение трафика идёт через
процессор микротика, а это нагрузка. Поэтому трафик с порта 5 до порта 6 пойдёт уже программно.
Поэтому постарайтесь логически ещё раз продумать, нагруженные сервера, активные компы засунуть
в первую гигабитную группу, а во вторую группу более простые сервера и туда же подключить роутер 155.17,
думаю всё равно гигабитного Интернета у Вас нету, да и роутер 2011 не выжмет и 200мбит даже если будет.
P.S.
Писал Вам ответ, получился сложным, хотя и правильным. Но я бы наверно
схему переделал. Я бы роутер 155.17 вывел из 155 сети, для сети
155.16/28 и для сети 88.0/24 шлюзом был бы микротик, тогда
обе сети приходили на микротик, общались между собой 1-к-1,
а уже между микротиком и роутером сделать сетку 192.168.30.0/30
(два адреса, поставить на роутер и на микротик) и уже только тех,
кто хочет уйти в глобал, на выходе прятать за 192.168.30.1 (адрес роутера)
и отдавать наружу...
-
- Сообщения: 4
- Зарегистрирован: 11 янв 2019, 11:43
Большое спасибо, все понял.
Буду пробовать как Вы подсказали.
Чуть позже отпишусь о результатах и опубликую рабочую конфигу, возможно кому нибудь пригодится как пример.
Буду пробовать как Вы подсказали.
Чуть позже отпишусь о результатах и опубликую рабочую конфигу, возможно кому нибудь пригодится как пример.