Страница 2 из 3
Re: 2 изолированные сети на одном микротике + доступ к ПК в 2 сетях
Добавлено: 18 май 2021, 21:52
xvo
А что именно не работает?
А то есть подозрение, что вы адрес источника и адрес назначения перепутали в этих новых правилах.
Re: 2 изолированные сети на одном микротике + доступ к ПК в 2 сетях
Добавлено: 18 май 2021, 22:19
wolodyawggu
xvo писал(а): ↑18 май 2021, 21:52
А что именно не работает?
А то есть подозрение, что вы адрес источника и адрес назначения перепутали в этих новых правилах.
Пробовал и наоборот, тоже не выходит. Неработает например общие папки, хотя по логике должен. Сетевой принтер 96, не хочет работать из сети 4.0/24. Не пингуется хотя брандмауэры успокоены не из 4.0/24 в 1.0/24 не обратно.
Re: 2 изолированные сети на одном микротике + доступ к ПК в 2 сетях
Добавлено: 18 май 2021, 22:53
xvo
Ну в общем чего тут пробовать - если вам нужен доступ к камере, то её адрес должен быть в качестве назначения.
В таком виде в firewall'е у вас ничего этому доступу препятствовать не будет.
Хотя куча других вопросов к нему имеется: например на сам роутер у вас доступ открыт отовсюду - хоть из любой внутренней сети, хоть из WAN.
Ну а все ваши drop правила из цепочки forward можно по смыслу заменить на:
Код: Выделить всё
add action=accept chain=forward out-interface-list=WAN
add action=drop chain=forward
Re: 2 изолированные сети на одном микротике + доступ к ПК в 2 сетях
Добавлено: 18 май 2021, 23:01
wolodyawggu
xvo писал(а): ↑18 май 2021, 22:53
Ну в общем чего тут пробовать - если вам нужен доступ к камере, то её адрес должен быть в качестве назначения.
В таком виде в firewall'е у вас ничего этому доступу препятствовать не будет.
Хотя куча других вопросов к нему имеется: например на сам роутер у вас доступ открыт отовсюду - хоть из любой внутренней сети, хоть из WAN.
Ну а все ваши drop правила из цепочки forward можно по смыслу заменить на:
Код: Выделить всё
add action=accept chain=forward out-interface-list=WAN
add action=drop chain=forward
Мы подключены через прокси, там чисто физически закрыты винбокс порты (ну по крайней мере я не могу попасть из дома), в Сервисе я выставил только локальные адреса для подключения к роутеру через винбокс.
Правила которые у меня под дропом, я надыбыл на этом же форуме что то там с 3 сетями, там чувак так же закрывал доступ.
Код: Выделить всё
add action=accept chain=forward out-interface-list=WAN
add action=drop chain=forward
[/quote]
При таком правиле обмен внутри сетях останется?
Re: 2 изолированные сети на одном микротике + доступ к ПК в 2 сетях
Добавлено: 18 май 2021, 23:10
xvo
wolodyawggu писал(а): ↑18 май 2021, 23:01
При таком правиле обмен внутри сетях останется?
При таком подходе все, что вы в явном виде не разрешите выше - будет запрещено.
А все что ходит внутри каждой из сетей в firewall вообще не попадает.
Re: 2 изолированные сети на одном микротике + доступ к ПК в 2 сетях
Добавлено: 20 май 2021, 15:17
wolodyawggu
xvo писал(а): ↑18 май 2021, 23:10
wolodyawggu писал(а): ↑18 май 2021, 23:01
При таком правиле обмен внутри сетях останется?
При таком подходе все, что вы в явном виде не разрешите выше - будет запрещено.
А все что ходит внутри каждой из сетей в firewall вообще не попадает.
Ввел которые вы рекомендовали правила. Внес комп к которому хочу получить доступ в сети 4.0 из сети 1.0. Ни доступа нет ни пинга. Код прилагаю.
Код: Выделить всё
add action=accept chain=forward comment="Network Router" src-address=\
192.168.1.54
add action=accept chain=forward dst-address=192.168.1.0/24 src-address=\
192.168.4.130
add action=accept chain=forward dst-address=192.168.4.130 src-address=\
192.168.1.0/24
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward out-interface-list=WAN
add action=drop chain=forward
Re: 2 изолированные сети на одном микротике + доступ к ПК в 2 сетях
Добавлено: 20 май 2021, 15:57
xvo
Во-первых, accept established,related желательно размещать самым верхним.
Во-вторых, на самом то компе firewall отключен или в нем разрешен доступ из других подсетей?
Re: 2 изолированные сети на одном микротике + доступ к ПК в 2 сетях
Добавлено: 20 май 2021, 16:39
wolodyawggu
xvo писал(а): ↑20 май 2021, 15:57
Во-первых, accept established,related желательно размещать самым верхним.
Во-вторых, на самом то компе firewall отключен или в нем разрешен доступ из других подсетей?
1. Переместил вверх.
2. Брандмауэр выключен. Поменял на частную, презагрузил. Внутри 4.0 доступ к нему есть, а вот из 1.0 нет, и наоброт. Добавил еще так же 1.101 тоже 0
Re: 2 изолированные сети на одном микротике + доступ к ПК в 2 сетях
Добавлено: 20 май 2021, 18:11
xvo
Запускайте torch на обоих интерфейсах и смотрите на каком этапе пакеты теряются - внутри самого микротика в одну сторону / где-то на компе назначения / на микротике в другую сторону.
Еще раз проверьте, нет ли где-нибудь "лишнего" NAT'а между внутренними интерфейсами.
Re: 2 изолированные сети на одном микротике + доступ к ПК в 2 сетях
Добавлено: 20 май 2021, 21:14
wolodyawggu
xvo писал(а): ↑20 май 2021, 18:11
Запускайте torch на обоих интерфейсах и смотрите на каком этапе пакеты теряются - внутри самого микротика в одну сторону / где-то на компе назначения / на микротике в другую сторону.
Еще раз проверьте, нет ли где-нибудь "лишнего" NAT'а между внутренними интерфейсами.
Что то там по 0, пусто.