Объединить или маршрутизировать 2 микротика

Обсуждение оборудования и его настройки
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Код: Выделить всё

/ip address print
/ip route print

на обоих и результат сюда


leshik
Сообщения: 27
Зарегистрирован: 27 ноя 2012, 09:22

ага все удалил я.
Пожалуйста напиши как настроить с нуля, и я сделаю эти команды!


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

ага все удалил я.

то что я вам написал, было для того чтобы я увидел, что у вас там настроено.

всё что до этого и есть с нуля.
настраиваете интернет, и все что писал я. переписывать одно и тоже как то не хочется.

могу еще на документацию ссылок дать:
http://wiki.mikrotik.com/wiki/Manual:Interface/Gre
http://wiki.mikrotik.com/wiki/Simple_St ... es_Example


Bit
Сообщения: 9
Зарегистрирован: 27 ноя 2012, 14:32

по схеме удалённые микротики 450-е, подключённые по PPTP работают, про них пока забываем.
2 микротика - центральный 1200 и один из клиентов 450g, 2-е порты соединены напрямую.
сделано следующее:
порт 2 1200-го назначен ip 10.128.0.1 (так же такой адрес на "своей" стороне всех pptp-туннелей)
порт 2 450-го назначен ip 10.128.0.2
gre на 1200 remote address 10.128.0.2
gre на 450 remote address 10.128.0.1
автоматически созданы маршруты вида 10.128.0.0/ port2
добавил вручную маршруты :
на 450 сеть1200/gre
на 1200 сеть450/gre

в итоге всё это не работает, ping не идёт, traceroute спотыкается после ip своего шлюза.
пробовал так же назначать на порты 2 адреса, отличные от внутренней сети pptp-туннелей, 10.129.0.x - ничего не изменилось.

разве что не пробовал пока pptp поднимать между 2-ми портами
что я не так сделал?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

нене, как это так?
нельзя делать одинаковые сети на разных интерфейсах одной железки. для этого есть бридж.
ладно, давайте с начала:
1200 мтик
задаем адреса для интерфейсов:

Код: Выделить всё

/ip address add address=1.1.1.2/30 interface=eth1 comment="UPLINK INTERNET"
/ip address add address=10.0.0.2/30 interface=eth2 comment="LINK TO 450-1"
/ip address add address=192.168.4.1/22 interface=eth3 comment="LOCAL NETWORK"

обозначаем свои серые сети:

Код: Выделить всё

/ip firewall address-list add list=MY_NETS address=192.168.0.0/16

делаем маскард для интернета и роутинг для своих серых сетей:

Код: Выделить всё

/ip firewall nat add chain=srcnat src-address-list=MY_NETS dst-address-list=MY_NETS action=accept
/ip firewall nat add chain=srcnat action=masquerade

разрешаем хождение между своими сетями

Код: Выделить всё

/ip firewall filter add src-address-list=MY_NETS dst-address-list=MY_NETS action=accept chain=forward

дальше, задаем маршруты на 450-1 мтик:

Код: Выделить всё

/ip route add dst-address=0.0.0.0/0 gateway=1.1.1.1 comment="DEFAULT ROUTE"
/ip route add dst-address=192.168.0.0/22 gateway=10.0.0.1 comment="ROUTE TO 450-1"


после этого на 1200 мтике должен появится интернет (dns только добавьте =)) и он должен узнать что через eth2 можно попасть к сети 192.168.0.0/22 минуя 450 мтик с адресом 1.1.1.1

дальше, берем мтик 450 и делаем обсолютно такие же манипуляции, со сноской на адреса и аплинки.

Код: Выделить всё

/ip address add address=2.2.2.2/30 interface=eth1 comment="UPLINK INTERNET"
/ip address add address=10.0.0.1/30 interface=eth2 comment="LINK TO 1200"
/ip address add address=192.168.0.1/22 interface=eth3 comment="LOCAL NETWORK"

обозначаем свои серые сети:

Код: Выделить всё

/ip firewall address-list add list=MY_NETS address=192.168.0.0/16

делаем маскард для интернета и роутинг для своих серых сетей:

Код: Выделить всё

/ip firewall nat add chain=srcnat src-address-list=MY_NETS dst-address-list=MY_NETS action=accept
/ip firewall nat add chain=srcnat action=masquerade

разрешаем хождение между своими сетями

Код: Выделить всё

/ip firewall filter add src-address-list=MY_NETS dst-address-list=MY_NETS action=accept chain=forward

дальше, задаем маршруты на 450-1 мтик:

Код: Выделить всё

/ip route add dst-address=0.0.0.0/0 gateway=2.2.2.1 comment="DEFAULT ROUTE"
/ip route add dst-address=192.168.0.0/16 gateway=10.0.0.2 comment="ROUTE TO 1200"


в итоге у вас работает интернет на обоих железка, и сети 192.168.0.0/22 и 192.168.4.0/22 знают друг о друге.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Дальше, с учётом того что у нас уже все выше сделано:

Удаленный 450-2
создаем gre тунель:

Код: Выделить всё

/interface gre add remote-address=1.1.1.2 local-address=3.3.3.2 name=gre_1200


Код: Выделить всё

/ip address add address=3.3.3.2/30 interface=eth1 comment="UPLINK INTERNET"
/ip address add address=10.0.0.5/30 interface=gre_1200 comment="LINK TO 1200"
/ip address add address=192.168.8.1/22 interface=eth3 comment="LOCAL NETWORK"

Код: Выделить всё

/ip firewall address-list add list=MY_NETS address=192.168.0.0/16

Код: Выделить всё

/ip firewall nat add chain=srcnat src-address-list=MY_NETS dst-address-list=MY_NETS action=accept
/ip firewall nat add chain=srcnat action=masquerade

Код: Выделить всё

/ip firewall filter add src-address-list=MY_NETS dst-address-list=MY_NETS action=accept chain=forward

Код: Выделить всё

/ip route add dst-address=0.0.0.0/0 gateway=3.3.3.1 comment="DEFAULT ROUTE"
/ip route add dst-address=192.168.0.0/16 gateway=10.0.0.6 comment="ROUTE TO 1200"


возвращаемся на 1200

Код: Выделить всё

/interface gre add remote-address=3.3.3.2 local-address=1.1.1.2 name=gre_450_2

Код: Выделить всё

/ip address add address=10.0.0.6/30 interface=gre_450_2 comment="LINK TO 450_2"

Код: Выделить всё

/ip route add dst-address=192.168.8.0/22 gateway=10.0.0.5 comment="ROUTE TO 450_2"

в итоге, должно работать как вы хотите: 192.168.0.0/22, 192.168.4.0/22, 192.168.8.0/22 видят друг друга
если не работает, выкладывайте сюда свои настройки, в копи-паст не хочется играть.


leshik
Сообщения: 27
Зарегистрирован: 27 ноя 2012, 09:22

сейчас мы вместе с bit будем пробовать!
спасибо громадное за то что помогаете....


leshik
Сообщения: 27
Зарегистрирован: 27 ноя 2012, 09:22

simpl3x писал(а):

Код: Выделить всё

/ip address print
/ip route print

на обоих и результат сюда




1------------
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; Shol network
192.168.4.1/22 192.168.4.0 3 eth master
1 ;;; DON
8xxx.xxx.xxx.xxx/xx 8xx.xxx.xxx.xxx 1 ISP
2 ;;; Connected to Dovatora 20mBit
10.0.0.1/30 10.0.0.0 2 VLAN
3 D 10.128.0.1/32 10.128.0.3 <ppxx-xxxxxxxx>
4 D 10.128.0.1/32 10.128.0.4 <ppxx-xxxxxxxx>
5 D 192.168.4.250/32 192.168.4.251 <ppxxe-xxxxxxxxx>
6 X 192.168.0.22/32 192.168.0.22 3 eth master
-------------------------------------------------------------

Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; Shol network
192.168.4.1/22 192.168.4.0 3 eth master
1 ;;; DON
8xxx.xxx.xxx.xxx/xx 8xx.xxx.xxx.xxx 1 ISP
2 ;;; Connected to Dovatora 20mBit
10.0.0.1/30 10.0.0.0 2 VLAN
3 D 10.128.0.1/32 10.128.0.3 <pxxp-xxxx>
4 D 10.128.0.1/32 10.128.0.4 <pxxx-2xxxxxxx2>
5 D 192.168.4.250/32 192.168.4.251 <pxx-xxxxxx>
6 X 192.168.0.22/32 192.168.0.22 3 eth master
---------------------------------------------------------

все заработало спасибо!


leshik
Сообщения: 27
Зарегистрирован: 27 ноя 2012, 09:22

делали с нуля как ты написал!
Большое спасибо


leshik
Сообщения: 27
Зарегистрирован: 27 ноя 2012, 09:22

теперь стоит еще сложнее задача!

Возможно ли сделать так
Мик 1 - RADIUS сервер (получается в нем будут забиты все пользователи и т.д.)
а остальные Микротики ссылаются на первый как на Radius

т.е. для чего это надо!!!
Например чтобы ограничить доступ в интернет всем, чтобы в интернет выходили только через пароль, чтобы была единая база пользователей!
???


Ответить