Страница 1 из 3
Объединение двух сетей
Добавлено: 07 май 2020, 15:20
mic44
Добрый день !
Имеем:
1. Сеть 192.168.0.0/23, c kerio control (192.168.0.160) в качестве межсетевого экрана.
2. Сеть 192.168.10.0/24 - основная сеть за Mikritik, 192.168.11.0/24 - сеть для видео наблюдения за Mikritik.
Что сделано:
1. Mikrotik первым портом (ether1-WAN) подключен в сеть 192.168.0.0/23 и имеет адрес 192.168.1.100
2. Порты со 2 по 4 в bridge1-LAN, имеет адрес 192.168.10.1/24, на этом порту поднят DHCP Server
3. Порт 5 для видеонаблюдения 192.168.11.1/24
4. NAT всего трафика из сети 192.168.10.0/24 за ether1-WAN.
5. Шлюз по умолчанию 192.168.0.160 (Kerio)
На Kerio маршрут прописан в сеть 192.168.10.0/24 c шлюзом 192.168.1.100 (микротик)
Как сделать так чтоб трафик между 192.168.0.0/23 и 192.168.10.0/24 ходил без NAT, чтоб правилами доступа рулить на Kerio а не на микротике.
Отключаю NAT доступ из 192.168.10.0/24 в 192.168.0.0/23 перестает работать, хотя в другую сторону все ок.
# may/07/2020 14:40:16 by RouterOS 6.42.12
# software id = 7DF9-WS2W
#
# model = RB750Gr3
# serial number =
/interface bridge
add name=bridge1-LAN
add name=bridge2-VIDEO
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=DHCP-LAN-POOL ranges=192.168.10.100-192.168.10.254
/ip dhcp-server
add address-pool=DHCP-LAN-POOL disabled=no interface=bridge1-LAN lease-time=1w name=DHCP-LAN
/interface bridge port
add bridge=bridge1-LAN interface=ether2
add bridge=bridge1-LAN interface=ether3
add bridge=bridge1-LAN interface=ether4
add bridge=bridge2-VIDEO interface=ether5
/ip address
add address=192.168.1.100/23 interface=ether1-WAN network=192.168.0.0
add address=192.168.10.1/24 interface=bridge1-LAN network=192.168.10.0
add address=192.168.11.1/24 interface=bridge2-VIDEO network=192.168.11.0
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.0.203,192.168.0.210
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN src-address=192.168.10.0/24
/ip route
add distance=1 gateway=192.168.0.160
/system clock
set time-zone-name=Europe/Moscow
Re: Объединение двух сетей
Добавлено: 08 май 2020, 02:22
Vlad-2
mic44 писал(а): ↑07 май 2020, 15:20
На Kerio маршрут прописан в сеть 192.168.10.0/24 c шлюзом 192.168.1.100 (микротик)
Так на микротике тоже маршрут укажите, что если надо обратиться к сети
192.168.0.0/23, то шлюз 192.168.0.160 (айпи Керио, такой кажется), и естественно надо НАТ отключить.
А если у микротика других сетей и выходов нет, маршрут можно такой не создавать, а
сделать маршрут по-умолчанию (нули), где указать что
0,0,0,0,/0 через 192.168.0.160
и всё.
P.S.
А вообще 5 раз тут писал, при объединении сетей, рабочий инструмент
админа = это трассеровка.
Делайте трасерт с компов разных сетей и смотрите где затык, зачем гадать???
Re: Объединение двух сетей
Добавлено: 08 май 2020, 08:53
mic44
а на микротике указан маршрут тоже
/ip route
add distance=1 gateway=192.168.0.160
Нат отключаю tracert c компа из сети 192.168.10.0/24 обрывается на 192.168.10.1, т.е. на интерфейсе микротика
в обратную сторону tracert проходит
X:\>tracert 192.168.10.253
Трассировка маршрута к X-POSX [192.168.10.253]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс 192.168.1.100
2 1 ms <1 мс <1 мс X-POSX [192.168.10.253]
X:\>tracert 192.168.0.20
Трассировка маршрута к 192.168.0.20
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс 192.168.10.1
2 * * *
Самое интересное что до kerio все ок, на керио правило есть от 192.168.10.0/24 до 192.168.0.0/23 разрешить
X:\>tracert 192.168.0.160
Трассировка маршрута к 192.168.0.160
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс 192.168.10.1
2 <1 мс <1 мс <1 мс 192.168.0.160
Re: Объединение двух сетей
Добавлено: 08 май 2020, 15:13
Vlad-2
1) отключить НАТ и подождать 2-5 минут
2) сделать трасерт скажем 192.168.0.160, а потом 192.168.0.150 и так далее,
возможно что когда Вы трассировали адрес (до выключения НАТ), сессия
это ещё в памяти, поэтому надо пробовать с другими адресами
2.1) а лучше отрассировать и отпинговать шлюзы, то есть 10.1 и 0.160 должны пинговаться точно.
3) (ГЛАВНОЕ правило): ни раз тут такое было, пишем пишем, и на 3-й странице темы
топикстартер вдруг говорит что у него файрвол мешал.
Поэтому пробовать с 2-3х разных компьютеров, на компе убрать отключить файрволы,
и советую (так как роутер идёт как просто шлюз) отключить на нём тоже на 5-10 мин
все правила в закладке Filter Rules
4) когда будете делать трасеровку, откройте файрвол, закладка Коннекшины, и там поищите,
Вашу трассировку, если минимум правильно всё настроено, то по протоколу ICMP Вы должны
увидеть адрес компа с кого запустили трассировку и адрес компа куда она идёт.
5) совет: я так понял, на микротике интернета нету (прямого)? Если так,
что советую порт1 оставить в резерве, он для интернета, подключить микротик
к основной сети по порту2 и через порт2 настраивать маршрутизацию
Порт1 оставить в резерве, и если вдруг чего, то потом просто поднимаете адрес на порту1
или поднимаете рррое сессию на порту1 и выходите на прямую, при этом связку между
сетями переделывать не придётся.
Так красиво и так логично правильно.
Re: Объединение двух сетей
Добавлено: 12 май 2020, 09:52
mic44
Я кажется понял в чем проблема:
1. Сеть 192.168.0.0/23 со стороны микротика доступна только с интерфейса который соответственно смотрит в эту сеть.
2. В локальной сети за микротиком 192.168.10.0/24 поднят DHCP и шлюзом является интерфейс микротика 192.168.10.1, на нем и обрывается tracert.
3. Пакеты из сети 192.168.10.0/24 направленные в 192.168.0.0/23 передаются шлюзу 192.168.10.1 и на этом все.
Хотя по таблице маршрутизации они должны передаваться дальше в интерефейс, который смотрит в 192.168.0.0/23, т.е. 192.168.1.100
Re: Объединение двух сетей
Добавлено: 12 май 2020, 10:20
Vlad-2
Процитирую Вам мои же слова из первого сообщения:
Vlad-2 писал(а): ↑08 май 2020, 02:22
Делайте трасерт с компов разных сетей и смотрите где затык, зачем гадать???
Что вверху написано ? Откуда делать трассерт? С КОМПОВ...!!!!!!!!
(НЕ с роутера)
Берёте компьютер с отключенным файрволом, например 192.168.10.20
и берёте компьютер (тоже с отключенным файрволом) например 192.168.0.15
и между ними проверяете, с одного компьютера трасерт должен дойти до другова,
и наоборот.
После этого проверяете ещё и пингами, и если они работают, в целом задача
выполнена.
Re: Объединение двух сетей
Добавлено: 12 май 2020, 11:45
mic44
Vlad-2 писал(а): ↑12 май 2020, 10:20
Процитирую Вам мои же слова из первого сообщения:
Vlad-2 писал(а): ↑08 май 2020, 02:22
Делайте трасерт с компов разных сетей и смотрите где затык, зачем гадать???
Что вверху написано ? Откуда делать трассерт? С КОМПОВ...!!!!!!!!
(НЕ с роутера)
Берёте компьютер с отключенным файрволом, например 192.168.10.20
и берёте компьютер (тоже с отключенным файрволом) например 192.168.0.15
и между ними проверяете, с одного компьютера трасерт должен дойти до другова,
и наоборот.
После этого проверяете ещё и пингами, и если они работают, в целом задача
выполнена.
С сети 192.168.0.0/23 все проходит (пинг, трасерт) в сеть 192.168.10.0/24
С сети 192.168.10.0/24 в сеть 192.168.0.0/23 пинг не идет, трасерт затыкается на 192.168.10.1 - т.е. на интерфейсе микротика, почему он его отдает интерфейсу который смотрит в сеть 192.168.0.0/23
Все делалось с компов
Re: Объединение двух сетей
Добавлено: 12 май 2020, 11:52
Vlad-2
mic44 писал(а): ↑12 май 2020, 11:45
С сети 192.168.0.0/23 все проходит (пинг, трасерт) в сеть 192.168.10.0/24
С сети 192.168.10.0/24 в сеть 192.168.0.0/23 пинг не идет, трасерт затыкается на 192.168.10.1 - т.е. на интерфейсе микротика, почему он его отдает интерфейсу который смотрит в сеть 192.168.0.0/23
Все делалось с компов
1) Файрвол на микротике
2) Файрвол на Керио
3) Файрвол на компах (винда не любит чужие сети)
4) Ещё давал Вам совет - найти в закладке Коннекшионс (Файрвол) Вашу
трассировку и посмотреть адрес источника и адрес назначения.
Где-то что-то Вы не учли или забыли сделать.
Re: Объединение двух сетей
Добавлено: 12 май 2020, 15:57
mic44
Микротик
КЕРИО
Connection микротика последняя строчка.
Я не могу понять одного почему когда включаешь NAT все работает.
Re: Объединение двух сетей
Добавлено: 12 май 2020, 16:04
Vlad-2
mic44 писал(а): ↑12 май 2020, 15:57
Я не могу понять одного почему когда включаешь NAT все работает.
Так НАТ надо отключать с обеих сторон.
То есть Вы не должны на КЕРИО натить чужую сеть, и на Микротике
натить чужую для него сеть.
Вы сети должны подружить, а Вы НАТите всё равно.