Здравствуйте!
Задача, наверное, не самая сложная, но, к сожалению, не могу реализовать.
Опыта с микротиком не очень много, просьба сильно не пинать
Есть mikrotik 2011uias. Есть 2 линии от одного провайдера (статика), есть две локальные сети. Необходимо "разделить" линии провайдера по локальным сетям. Чтобы с WAN1 интернет ходил туда-сюда через LAN1, с WAN2 через LAN2. Также необходимо, чтобы dst-nat корректно работал по внешним адресам провайдера и ссылался только на нужную локальную сеть.
Исходные данные от провайдера (цифры чуть изменены, но суть такая):
WAN1:
ip-адрес: 90.100.0.124
маска: 255.255.255.0
шлюз: 90.100.0.1
WAN2:
ip-адрес: 90.100.0.125
маска: 255.255.255.0
шлюз: 90.100.0.1
Данные локальных сетей:
LAN1 - 192.168.1.0/24
LAN2 - 192.168.2.0/24
Мне стыдно рассказывать про свои попытки, просто скажу, что после маркировки я пробовал по-разному жёстко привязывать LAN с WAN, но успехов не было (адрес WAN одинаковый на обоих LAN сетях; проброс работал только с определенного WAN, при этом LAN1, LAN2 получали корректные адреса WAN; через Routing-rules тоже пробовал lookup only in table; куча другого ещё было, сразу не вспомню даже).
Текущие настройки таковы (откатил настройки до всех тестов с попытками привязки LAN-WAN, WAN-LAN):
Я признаю, что не очень силён не только с микротиком, но и в целом с сетями. Но если кто-то из форума скажет, что "вот ты дурак, а как же это..." и пнёт в нужную сторону, то я буду очень благодарен. Мне бы вот только пинок)
Два WAN, два LAN
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 4
- Зарегистрирован: 26 сен 2023, 21:43
Проблема была в маркировке линий от провайдера, тк шлюз одинаковый.
На просторах интернета нашёл решение: И два правила Mangle: Локальные сети получились полностью изолированы друг от друга. Как в целом и нужно было, но...понадобился доступ с сети 192.168.1.0/24 на компьютер(RDP) в сети 192.168.2.0/24.
Может кто-то подскажет как реализовать? Идеально, если бы это был просто проброс (Hairpin NAT не работает, но не уверен, что он и должен работать).
На просторах интернета нашёл решение: И два правила Mangle: Локальные сети получились полностью изолированы друг от друга. Как в целом и нужно было, но...понадобился доступ с сети 192.168.1.0/24 на компьютер(RDP) в сети 192.168.2.0/24.
Может кто-то подскажет как реализовать? Идеально, если бы это был просто проброс (Hairpin NAT не работает, но не уверен, что он и должен работать).
Последний раз редактировалось SERJ_lebedev 15 ноя 2023, 13:49, всего редактировалось 1 раз.
-
- Сообщения: 189
- Зарегистрирован: 13 окт 2018, 20:53
- Откуда: Беларусь
У Вас каша какая-то получилась...
у вас почему то весь "внешний" трафик, в том числе и между локальными сетями, маркируется... и изоляция достигается не "православным" файрволом, а маркировкой и отсутствием маршрутов...
Сделайте все так как положено...
лично я бы сделал так:
1. Маркировку и соответственно использование соответствующей таблицы маршрутизации привязал бы к src-address и out-interface.
2. Все остальное оставил бы в основной таблице маршрутизации.
3. На уровне файрвола таблицы Filter запретил-разрешил трафик между сетями и т.д. (доступ к RDP-серверу и обратные пакеты)
ну вот как-то так - если совсем кратенько...
у вас почему то весь "внешний" трафик, в том числе и между локальными сетями, маркируется... и изоляция достигается не "православным" файрволом, а маркировкой и отсутствием маршрутов...
Сделайте все так как положено...
лично я бы сделал так:
1. Маркировку и соответственно использование соответствующей таблицы маршрутизации привязал бы к src-address и out-interface.
2. Все остальное оставил бы в основной таблице маршрутизации.
3. На уровне файрвола таблицы Filter запретил-разрешил трафик между сетями и т.д. (доступ к RDP-серверу и обратные пакеты)
ну вот как-то так - если совсем кратенько...
RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
-
- Сообщения: 4
- Зарегистрирован: 26 сен 2023, 21:43
можно 100% скидку для тупых)?bst-botsman писал(а): ↑15 ноя 2023, 12:45 1. Маркировку и соответственно использование соответствующей таблицы маршрутизации привязал бы к src-address и out-interface.
можете пальцем тыкнуть в теоретический материал по данному пункту?
-
- Сообщения: 189
- Зарегистрирован: 13 окт 2018, 20:53
- Откуда: Беларусь
Самая лучшая теория - это все-таки WIKI от микротикаSERJ_lebedev писал(а): ↑15 ноя 2023, 16:32 можете пальцем тыкнуть в теоретический материал по данному пункту?
А ссылку на 100%-но рабочую инструкцию - вам врядли выдадут - тут все индивидуально - ищите по форуму и в инете похожие темы, изучайте их и подстраивайте под свои условия...
лиюо обратитесь в раздел платных услуг - возможно кого-нить заинтересует ваше предложение и вам настроят все... и тогда уже по своей конфигурации и посмотрите как на инструкцию...
RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
-
- Сообщения: 4
- Зарегистрирован: 26 сен 2023, 21:43