Добрый день!
У есть вопрос по поводу того как создать две независимые сети на RB951-2n.
Задача такая:
1. WAN порт в него заходит Интернет
2. Порт 1 сеть 192.168.0.0/24
3. Порт 2 сеть 192.168.1.0/24
Задача в том что нужно их так разделит чтоб две сети друг друга не виделибы и не пинговались бы, но при этом на каждом из них был бы интернет.
Я долго сучаюсь и чтот не получается, не могли бы помочь?
две независимые сети на RB951-2n
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
podarok66
- Модератор
- Сообщения: 4307
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
dkarapetian
- Сообщения: 0
- Зарегистрирован: 03 янв 2013, 19:48
podarok66 писал(а):http://mikrotik.ru/forum/viewtopic.php?f=1&t=2165
viewtopic.php?f=1&t=2073
Спасибо за ответ , я все посмотрел но мой вариант не вышел
может есть другие варианты?? Пакеты все равно бегают
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
вы не верно указали chain,
input - это то что обращено к самому микротику, к его сервисам и прочему.
в случае если вы хотите ограничить передачу между сетями вам надо использоваться chain=forward
input - это то что обращено к самому микротику, к его сервисам и прочему.
в случае если вы хотите ограничить передачу между сетями вам надо использоваться chain=forward
-
dkarapetian
- Сообщения: 0
- Зарегистрирован: 03 янв 2013, 19:48
simpl3x писал(а):вы не верно указали chain,
input - это то что обращено к самому микротику, к его сервисам и прочему.
в случае если вы хотите ограничить передачу между сетями вам надо использоваться chain=forward
Ок вышло! при попытке отправить запрос: Я получаю что надо
Pinging 192.168.0.4 with 32 bytes of data:
Request timed out.
НО при отправке запроса на
Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
задача в том что даже на главный ИП адрес но должен идти сигнал
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
ну значит надо добавить два правила:
и прочитать для начала http://wiki.mikrotik.com/wiki/Firewall чтобы отбить 99% вопросов.
Код: Выделить всё
chain=input src-address=192.168.0.0/24 dst-address=192.168.1.1 action=drop
chain=input src-address=192.168.1.0/24 dst-address=192.168.0.1 action=dropи прочитать для начала http://wiki.mikrotik.com/wiki/Firewall чтобы отбить 99% вопросов.
-
dkarapetian
- Сообщения: 0
- Зарегистрирован: 03 янв 2013, 19:48
simpl3x писал(а):ну значит надо добавить два правила:Код: Выделить всё
chain=input src-address=192.168.0.0/24 dst-address=192.168.1.1 action=drop
chain=input src-address=192.168.1.0/24 dst-address=192.168.0.1 action=drop
и прочитать для начала http://wiki.mikrotik.com/wiki/Firewall чтобы отбить 99% вопросов.
Не вышло все равно основные адреса видят друг друга не заботает остальная сеть
Может чтото у меня нетак настроенно?
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
dkarapetian писал(а):Не вышло все равно основные адреса видят друг друга не заботает остальная сеть
Может чтото у меня нетак настроенно?
не понял, что значит основные адреса видят друг друга?
откуда и что вы пингуете?
идите в New Terminal, там команду
Код: Выделить всё
ip firewall filter printи выход сюда.
-
dkarapetian
- Сообщения: 0
- Зарегистрирован: 03 янв 2013, 19:48
simpl3x писал(а):dkarapetian писал(а):Не вышло все равно основные адреса видят друг друга не заботает остальная сеть
Может чтото у меня нетак настроенно?
не понял, что значит основные адреса видят друг друга?
откуда и что вы пингуете?
идите в New Terminal, там командуКод: Выделить всё
ip firewall filter print
и выход сюда.
[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp
1 ;;; default configuration
chain=input action=accept connection-state=established
2 ;;; default configuration
chain=input action=accept connection-state=related
3 ;;; WinBox Remote Access
chain=input action=accept protocol=tcp dst-port=8291
4 ;;; default configuration
chain=input action=drop in-interface=Internet
5 chain=forward action=drop src-address-list=Wi-Fi dst-address-list=LAN
6 chain=forward action=drop src-address-list=LAN dst-address-list=Wi-Fi
[admin@MikroTik] >
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
Код: Выделить всё
0 ;;; default configuration
chain=input action=accept protocol=icmp у вас самым первым правилом стоит разрешение на протокол icmp (ping и т.п.) входящие к самому микротику отовсюду. так что чтобы вы не запрещали ниже, ему на это откровенно все равно.
запомните самое главное правило, во всех фаерволах правила читаются сверху вниз, как только пакет попадающий в мтик находит соответствие в этом списке, в этом порядке, он из него вылетает и дальше соответствие не ищется (в общем случае, без использования jump). так и у вас, первым же правилом у вас разрешен пинг к любому из адресов мтика, и запрещаться дальше оно не будет.
и это все что у вас там?
и что откуда вы пингуете?
настраживает фраза "основные адреса видят друг друга"!