две независимые сети на RB951-2n

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
dkarapetian
Сообщения: 0
Зарегистрирован: 03 янв 2013, 19:48

03 янв 2013, 20:00

Добрый день!
У есть вопрос по поводу того как создать две независимые сети на RB951-2n.
Задача такая:
1. WAN порт в него заходит Интернет
2. Порт 1 сеть 192.168.0.0/24
3. Порт 2 сеть 192.168.1.0/24
Задача в том что нужно их так разделит чтоб две сети друг друга не виделибы и не пинговались бы, но при этом на каждом из них был бы интернет.

Я долго сучаюсь и чтот не получается, не могли бы помочь?


Аватара пользователя
podarok66
Модератор
Сообщения: 3874
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

03 янв 2013, 21:25



Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
dkarapetian
Сообщения: 0
Зарегистрирован: 03 янв 2013, 19:48

03 янв 2013, 22:55

podarok66 писал(а):http://mikrotik.ru/forum/viewtopic.php?f=1&t=2165
viewtopic.php?f=1&t=2073



Спасибо за ответ , я все посмотрел но мой вариант не вышел
может есть другие варианты?? Пакеты все равно бегают


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

03 янв 2013, 23:02

вы не верно указали chain,
input - это то что обращено к самому микротику, к его сервисам и прочему.
в случае если вы хотите ограничить передачу между сетями вам надо использоваться chain=forward


dkarapetian
Сообщения: 0
Зарегистрирован: 03 янв 2013, 19:48

03 янв 2013, 23:12

simpl3x писал(а):вы не верно указали chain,
input - это то что обращено к самому микротику, к его сервисам и прочему.
в случае если вы хотите ограничить передачу между сетями вам надо использоваться chain=forward



Ок вышло! при попытке отправить запрос: Я получаю что надо

Pinging 192.168.0.4 with 32 bytes of data:
Request timed out.

НО при отправке запроса на

Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64


задача в том что даже на главный ИП адрес но должен идти сигнал


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

03 янв 2013, 23:22

ну значит надо добавить два правила:

Код: Выделить всё

chain=input src-address=192.168.0.0/24 dst-address=192.168.1.1 action=drop
chain=input src-address=192.168.1.0/24 dst-address=192.168.0.1 action=drop


и прочитать для начала http://wiki.mikrotik.com/wiki/Firewall чтобы отбить 99% вопросов.


dkarapetian
Сообщения: 0
Зарегистрирован: 03 янв 2013, 19:48

03 янв 2013, 23:34

simpl3x писал(а):ну значит надо добавить два правила:

Код: Выделить всё

chain=input src-address=192.168.0.0/24 dst-address=192.168.1.1 action=drop
chain=input src-address=192.168.1.0/24 dst-address=192.168.0.1 action=drop


и прочитать для начала http://wiki.mikrotik.com/wiki/Firewall чтобы отбить 99% вопросов.


Не вышло все равно основные адреса видят друг друга не заботает остальная сеть
Может чтото у меня нетак настроенно?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

03 янв 2013, 23:41

dkarapetian писал(а):Не вышло все равно основные адреса видят друг друга не заботает остальная сеть
Может чтото у меня нетак настроенно?

не понял, что значит основные адреса видят друг друга?
откуда и что вы пингуете?
идите в New Terminal, там команду

Код: Выделить всё

 ip firewall filter print

и выход сюда.


dkarapetian
Сообщения: 0
Зарегистрирован: 03 янв 2013, 19:48

03 янв 2013, 23:51

simpl3x писал(а):
dkarapetian писал(а):Не вышло все равно основные адреса видят друг друга не заботает остальная сеть
Может чтото у меня нетак настроенно?

не понял, что значит основные адреса видят друг друга?
откуда и что вы пингуете?
идите в New Terminal, там команду

Код: Выделить всё

 ip firewall filter print

и выход сюда.



[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp

1 ;;; default configuration
chain=input action=accept connection-state=established

2 ;;; default configuration
chain=input action=accept connection-state=related

3 ;;; WinBox Remote Access
chain=input action=accept protocol=tcp dst-port=8291

4 ;;; default configuration
chain=input action=drop in-interface=Internet

5 chain=forward action=drop src-address-list=Wi-Fi dst-address-list=LAN

6 chain=forward action=drop src-address-list=LAN dst-address-list=Wi-Fi
[admin@MikroTik] >


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

03 янв 2013, 23:58

Код: Выделить всё

0 ;;; default configuration
chain=input action=accept protocol=icmp

у вас самым первым правилом стоит разрешение на протокол icmp (ping и т.п.) входящие к самому микротику отовсюду. так что чтобы вы не запрещали ниже, ему на это откровенно все равно.
запомните самое главное правило, во всех фаерволах правила читаются сверху вниз, как только пакет попадающий в мтик находит соответствие в этом списке, в этом порядке, он из него вылетает и дальше соответствие не ищется (в общем случае, без использования jump). так и у вас, первым же правилом у вас разрешен пинг к любому из адресов мтика, и запрещаться дальше оно не будет.

и это все что у вас там?

и что откуда вы пингуете?
настраживает фраза "основные адреса видят друг друга"!


Ответить