Страница 1 из 1
Помогите с настройкой сети
Добавлено: 18 фев 2022, 17:08
shadow_step
Добрый день.
Имеются 15 сетей с одинаковыми IP-адресами (сетевые HMI панели и PLC) - каждая сеть подключена к микротику, все микротики соединяются простым сетевым концентратором в один узел, необходимо сделать чтобы PLC видели друг друга и Не имели доступ к другим устройствам не своей сети.
Пробовал на 2-х сетях с подменой на несуществующие сети - идея прикольная но в условиях 15 одинаковых сетей, возникают сложности с кол-вом routs и firewalls.
Подскажите чем лучше воспользоваться для решения такой масштабной задачи.
Re: Помогите с настройкой сети
Добавлено: 18 фев 2022, 21:33
podarok66
Наверное, лучше всего сделать 15 сетей с разными пулами всё же. Вы же в правилах утонете сами и маршрутизаторы утопите. Да и вообще вы пытаетесь упереться в ограничения во всём. И в объёмах работ и в железе. Подумайте о смене адресации...
Re: Помогите с настройкой сети
Добавлено: 20 фев 2022, 20:37
shadow_step
podarok66 писал(а): ↑18 фев 2022, 21:33
Наверное, лучше всего сделать 15 сетей с разными пулами всё же. Вы же в правилах утонете сами и маршрутизаторы утопите. Да и вообще вы пытаетесь упереться в ограничения во всём. И в объёмах работ и в железе. Подумайте о смене адресации...
Если делать чтобы все видели друг друга, с 2-я сетями все просто, всего 2 маршрута на каждом + 1 NAT (мануалов достаточно по этому вопросу).
Но если будет очень много сетей тогда правила будут увеличиваться в геометрической прогрессии.
Можно сократить задачу до следующего: получение доступа к одинаковому 1 IP. (В каждой сети получить доступ только к 1 устройству.) Я так понимаю что лучше это сделать так: сделать роутинг с внешней сети (ether1) на 1 адрес.
Или есть более "правильные" решения вопроса?
Re: Помогите с настройкой сети
Добавлено: 20 фев 2022, 20:41
mafijs
shadow_step писал(а): ↑20 фев 2022, 20:37
Или есть более "правильные" решения вопроса?
Да, есть, конечно, более "правильное" решение. Изменить адресацию сетей, чтобы не было двух одинаковых. Как выше уже сказали.
Re: Помогите с настройкой сети
Добавлено: 21 фев 2022, 10:47
shadow_step
mafijs писал(а): ↑20 фев 2022, 20:41
shadow_step писал(а): ↑20 фев 2022, 20:37
Или есть более "правильные" решения вопроса?
Да, есть, конечно, более "правильное" решение. Изменить адресацию сетей, чтобы не было двух одинаковых. Как выше уже сказали.
Адресация не может быть изменена. =(
Если бы можно было всё получилось бы быстро. а тут нестандартное решение надо.
Самый просто способ это сделать уникальные IP но это невозможно сделать.
Re: Помогите с настройкой сети
Добавлено: 21 фев 2022, 21:09
podarok66
Микротики для общения имеют свою сеть, отличную от локалки ваших устройств. Например 10.10.0.0/24. Локалка устройств 192.168.0.0/24
Пример для двух микротов.
Маршрут микротика 1 (10.10.0.3)
Код: Выделить всё
/ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.0.2
Маршрут микротика 2 (10.10.0.2)
Код: Выделить всё
/ip route add distance=1 dst-address=192.168.3.0/24 gateway=10.10.0.3
Правила NAT для микротика 1
Код: Выделить всё
/ip firewall nat add action=netmap chain=dstnat dst-address=192.168.3.0/24 to-addresses=192.168.0.0/24
/ip firewall nat add action=netmap chain=srcnat src-address=192.168.0.0/24 out-interface=ether1 to-addresses=192.168.3.0/24
Правила NAT для микротика 2
Код: Выделить всё
/ip firewall nat add action=netmap chain=dstnat dst-address=192.168.2.0/24 to-addresses=192.168.0.0/24
/ip firewall nat add action=netmap chain=srcnat src-address=192.168.0.0/24 out-interface=ether1 to-addresses=192.168.2.0/24
Как видим, для 15 Микротиков понадобится 14 маршрутов и 28 правил NAT в каждом. Очень серьезная нагрузка. Да и ошибок напороть можно как здрасьте сказать.
Писал просто не проверяя, поэтому могут быть чудовищные ляпы. Старожилов прошу проверить на косяки. Особенные сомнения в назначении out-interface. Всё же я плохо могу представить эту сеть без схемы.
Никаких других схем решения этой задачи я не видел. Может и есть ещё какие-то.
Re: Помогите с настройкой сети
Добавлено: 22 фев 2022, 09:59
shadow_step
Прошу прощения что не выложил схему сети:
Описание:
все микротики объединены физически в 1 сеть через один и тот же порт (Eth-1).
Требуется получить доступ к 1 устройству во внутренней сети (192.168.0.50) по "внешнему" адресу микротика (eth-1).
Так же чтобы все внутренние сети обращаясь на внешние адреса микротиков попадали на адрес 192.168.0.50.
В Вашем примере podarok66, указана несуществующая сеть чтобы сделать развязку, да это отличная идея, когда сеть не более 3-5 подсетей. Можно заморочиться и прописать всё.
Я пробую сузить задачу до простого проброса.
Код: Выделить всё
/interface bridge
add arp=local-proxy-arp name=bridge1
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
/ip address
add address=192.168.10.10/24 interface=ether1 network=192.168.10.0
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
/ip firewall nat
add action=masquerade chain=srcnat
add action=netmap chain=dstnat in-interface=ether1 to-addresses=192.168.0.70
/ip route
add distance=1 dst-address=192.168.0.70/32 gateway=ether1
/system identity
set name=Router-1
В данной конфигурации получается находясь во внешней сети получить доступ к внутреннему адресу. Но когда пробую с внутренней сети достучаться до внешних других адресов, где то сталкиваюсь с запретом.
Re: Помогите с настройкой сети
Добавлено: 22 фев 2022, 10:51
Ca6ko
/interface bridge
add arp=local-proxy-arp name=bridge1
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
/ip address
add address=192.168.10.10/24 interface=ether1 network=192.168.10.0
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.0.50
/ip route
add distance=1 dst-address=0.0.0.0/0 gateway=ether1
/system identity
set name=Router-1
Попробуйте так
Re: Помогите с настройкой сети
Добавлено: 22 фев 2022, 11:17
shadow_step
Ca6ko писал(а): ↑22 фев 2022, 10:51
/interface bridge
add arp=local-proxy-arp name=bridge1
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
/ip address
add address=192.168.10.10/24 interface=ether1 network=192.168.10.0
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.0.50
/ip route
add distance=1 dst-address=0.0.0.0/0 gateway=ether1
/system identity
set name=Router-1
Попробуйте так
ping c адреса .50 не проходят на другие микротики которые подключены и имеюсь адресацию 192.168.10.11-....
сейчас буду изучать дальше.
Подскажите а VLAN сможет помощь в решении данной задачи?
Re: Помогите с настройкой сети
Добавлено: 22 фев 2022, 16:03
Ca6ko
shadow_step писал(а): ↑22 фев 2022, 11:17
VLAN сможет помощь в решении данной задачи?
Каким образом?
У Вас простая задача NAT и проброс порта до нужного адреса.
Что показывает tracert?
Что показывает Torch?
На 192.168.0.50 сетевые настройки прописаны правильно?
С самих микротиков пинги проходят?