Russian Users MikroTik | Форум пользователей MikroTik

Всем привет.
При помощи данного форума был настроен Микротик для небольшой организации.
1 и 2 порт это два провайдера (с переключением между ними в случае проблем),
3 порт подсеть 192.168.1.0
5 порт подсеть 192.168.2.0

И во встала задача дать доступ НЕКОТОРЫМ компам из подсети 1.0 в сеть 2.0 и наоборот.

Поиск ничего не дал - или варианты дать доступ всем, или наоборот запретить всем.

На данный момент эти две сети друг друга не видят.

Собсно вопрос как реализовать такой вариант?

что значит "Две сети не видят друг друга" ?

На данный момент эти две сети друг друга не видят.

Если у Вас сети НАТятся вот такими правилами

/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.2.0/24

то естественно, что они не видят друг-друга. Так как для сети 1.0 сеть 2.0 является внешней и пакеты минуя маршрут до сети 2.0 отправляются вместо 5 порта в порт WAN, где естественно дропаются провайдером, соответственно и на оборот.

WhiteWolf писал(а):то естественно, что они не видят друг-друга. Так как для сети 1.0 сеть 2.0 является внешней и пакеты минуя маршрут до сети 2.0 отправляются вместо 5 порта в порт WAN, где естественно дропаются провайдером, соответственно и на оборот.

неверное замечание ибо НАТ ничего никуда не направляет.
Эти правила стоит читать так:

ЕСЛИ адрес источника из сети 192.168.1.0/24 и исходящий интерфейс WAN то преобразовать адрес

А направить соединение принудительно вы можете в прироутинге, в НАТ уже исходящий интерфейс определен

Ну не знаю. По факту стоит только в правиле ната указать исходящий интерфейс и источник сети, то эта сеть перестает маршрутизироватся в другие сети.
Сейчас собрал тестовый стенд на RB433и два ПК 192.168.0.3 во второй порт и 192.168.1.15 в третий. Шлюзом и DNS соответственно IP микротикаю
На микротике следующий конфиг (остальное все в дефолте после сброса)
Так оба ПК видят друг друга, даже нетбиос имена в сетевом окружении видны.

Меняем конфиг на
Все, ПК даже не могут пинговать друг-друга.

это лишь говорит о том что сети не знают друг друга

Можете еще попробовать ))

В случае если у вас происходит преобразование адресов из сети А в сеть Б то на сетевых устройствах в сети Б обращения происходят с адреса маршрутизатора в сети Б.

Это есть костыль но помогает победить всякие там фаерволы и антивирусы ибо они эти соеденения считают своими.

При прямой маршрутизации устройства общаются напрямую но в 99% случаев есть одна и та же ошибка. Народ ставит антивирусы, фаерволы и т.п. но соседние сети не добавляет

Конкретно если рассматривать
/ip address
add address=192.168.0.1/24 interface=ether2 network=192.168.0.0
add address=192.168.1.1/24 interface=ether3 network=192.168.1.0

То тушим вообще все наты (оставляем только наружу)

Дальше на ПК гасим антивирусы, фаерволы и пинги начинают ходить замечательно, при этом если на самом ПК вы посмотрите входящие соединения то там будет прямой адрес ПК из соседней сети, в случае с нат адрес маршрутизатора.

WhiteWolf писал(а):Если у Вас сети НАТятся вот такими правилами

/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.2.0/24

то естественно, что они не видят друг-друга. Так как для сети 1.0 сеть 2.0 является внешней и пакеты минуя маршрут до сети 2.0 отправляются вместо 5 порта в порт WAN, где естественно дропаются провайдером, соответственно и на оборот.

У меня прописано так:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1
add action=masquerade chain=srcnat out-interface=WAN2

vqd писал(а):
Дальше на ПК гасим антивирусы, фаерволы и пинги начинают ходить замечательно, при этом если на самом ПК вы посмотрите входящие соединения то там будет прямой адрес ПК из соседней сети, в случае с нат адрес маршрутизатора.

Мне не нужен доступ всем.
Нужно только определённым компьютерам ать возможность доступа к сетевым папкам из другой сети.

Ну так в чем проблемма то???
Создаем фильтр + аддресс лист

Кроме криво настроенных антивирусов и фаерволлов на компах, там и на самом микротике могут быть всякие ненужные правила фаерволла.
Почему-то их туда суют по принципу: все, что нашел в интернете, то и засуну.

Повыключайте там все. Включите потом, как все остальное будет работать.

gmx писал(а):Почему-то их туда суют по принципу: все, что нашел в интернете, то и засуну.

О это да. Буквально вчера был клиент такой. Я когда увидел конфиг минут 20 пытался понять как оно вообще работает. В результате выкатил 2 ценника, первый за разгрести, второй за настройку с нуля.
Человек выбрал второй вариант ибо он дешевле