Russian Users MikroTik | Форум пользователей MikroTik

lorddemon писал(а): ↑06 апр 2019, 22:37 у меня получают

Чудес не бывает. Вы или не полный конфиг показали или у вас есть другие dhcp сервера.
Ну сами подумайте, от куда компьютеры узнают шлюз и сеть в которой они работают? в вашем конфиге эта информация отсутствует.

Проверьте настройки сети на хостах, проверьте трейс между хостами, и тогда поймете где затык.

lorddemon если вы внимательно перечитаете тему, то увидите, что в конкретно вашем данном случае, вы "одним правилом" не отделаетесь. В данный момент вы маркируете трафик и на основе этой метки маршрутизируете, т.е. у вас есть две таблицы маршрутизации, стандартная - main (которая содержит все автоматически созданные маршруты и которая позволяла бы общаться сетям, если бы вы не маркировали трафик так, как делаете это сейчас) и та, которая создалась в результате маркировки - MixUp1Up2. В данный момент ваши сети не общаются между собой, не потому, что вы запретили им это делать, а потом что для таблицы MixUp1Up2 нет маршрутов между сетями, т.е. это побочное проявление вашей маркировки.
Выходов у вас всего два.
Первый - каким-то образом для таблицы MixUp1Up2 добавить маршруты ко всем сетям, что бы они начали общаться и уже потом или фаерволом, или в route rules заблокировать общение между всеми сетями кроме 3.0/24, что лично я считаю костылем.
Второй - начать маркировать трафик так, что бы межсетевое общение не подпадало под маркировку. т.е. как-то конкретизировать правила маркировки. Например создать один адрес лист который будет содержать все ваши подсети и вместо кучи ваших правил маркировки создать одно, которое будет выглядеть примерно вот так Одно это правило будет выполнять роль всех тех что вы "навертели" в мангле и при этом под него не будет подпадать межсетевой трафик, т.е. после того, как вы замените свое нагромождением этим, у вас сразу появится доступ между сетями и дальше, вам надо только их разграничить так, как надо, т.е. запретить общение всех со всеми кроме 3й подсети.

KARaS'b писал(а): ↑06 апр 2019, 23:23 вам надо только их разграничить так, как надо, т.е. запретить общение всех со всеми кроме 3й подсети.

и как это сделать?

Они и так у меня адрес листе local есть смысл это еще раз делать?

Или сделать
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=!Local new-routing-mark=MixUp1Up2 passthrough=no src-address-list=Local

а остальные манглы убрать кроме ответа на входящий канал

Да, можно на основе вашего адреслиста, если он содержит абсолютно все ваши подсети.
А по поводу блокировки и разрешений, вот шикарная тема - viewtopic.php?f=15&t=6572
Там на 5й странице от нашего многоуважаемого vqd шикарный пример, как использовать фаервол для вашей задачи.

KARaS'b писал(а): ↑06 апр 2019, 23:59 Да, можно на основе вашего адреслиста, если он содержит абсолютно все ваши подсети.
А по поводу блокировки и разрешений, вот шикарная тема - viewtopic.php?f=15&t=6572
Там на 5й странице от нашего многоуважаемого vqd шикарный пример, как использовать фаервол для вашей задачи.

Спасибо за ваши старания вникнуть в проблему
буду завтра пробовать, отпишусь о результатах.

так понимаю что должно сработать (чтоб не писать много правил): хотя

ну или так (не совсем корректное решение)

Код: Выделить всё

add action=drop chain=forward dst-address=192.168.0.0/16 src-address=192.168.0.0/16

По сути, все ваши хотелки касаемо блокировки и разрешения 3й подсети можно уместить всего в одно правило. Но я напомню, тут у нас форум, а не платная поддержка, а это только примерный пример, я его проверил у себя и оно работало, но как оно поведет себя у вас и к чему приведет в дальнейшем сказать не могу, как говорится, все на свой страх и риск.
И главное не забывайте, очередность правил играет большую роль, говорю это потому что в вашем фаерволе вижу "ляпы" и из-за них возможно вам придется повозиться.

KARaS'b писал(а): ↑07 апр 2019, 12:00 По сути, все ваши хотелки касаемо блокировки и разрешения 3й подсети можно уместить всего в одно правило.

Код: Выделить всё

add action=drop chain=forward connection-state=new dst-address=!192.168.3.0/24 dst-address-list=Local src-address-list=Local

Но я напомню, тут у нас форум, а не платная поддержка, а это только примерный пример, я его проверил у себя и оно работало, но как оно поведет себя у вас и к чему приведет в дальнейшем сказать не могу, как говорится, все на свой страх и риск.
И главное не забывайте, очередность правил играет большую роль, говорю это потому что в вашем фаерволе вижу "ляпы" и из-за них возможно вам придется повозиться.

Большое спасибо ВАМ за помощь, также всем кто также подключился к помощи.
Послушай всех и выбери свой вариант...

Вот как я в итоге решил вопрос

Как и что решать дело ваше, но вот в этом моменте вы не совсем правы Достаточно оставить только одно правило, потому что второе бесполезно и не забывайте, чем больше правил фаервола, ната и мангла, тем сложнее вашей железке, она "переваривает" весь ваш трафик согласно спискам правил пока не наткнется на правило подходящее в данный конкретный момент или пока не пройдет весь список, если трафик не подпадает ни под одно из правил. В вашем случае будет дважды выполнено одно и то же действие, что бессмысленно. Ужаса не случится, но и хорошего тоже, т.к. правила абсолютно идентичны и не несут никакой смысловой и практической нагрузки и у второго правила скорее всего даже счетчик не будет "накручиваться" т.к. на себя все возьмет первое.