Страница 1 из 2
Проблема маршрутизации
Добавлено: 14 дек 2016, 14:41
Andrey5
У меня есть 2 офиса, в каждом стоит микротик и я поднял между ними тунель ipsec.
Проблема заключается в том, что в первом офисе у компьютеров настроен другой шлюз (не микротик) и из за это компьютеры не могут видеть друг друга.
Можно настроить маршрутизацию на микротике таким образом, чтобы компьютеры могли видеть друг друга?
Пример моей сети:
1 офис локальная сеть 1.1.1.0/24. Ip mikrotik 1.1.1.1, на всех компьютерах прописан шлюз 1.1.1.5
2 офис локальная сеть 2.2.2.0/24. Ip mikrotik 2.2.2.2, на всех компьютерах прописан шлюз 2.2.2.2
Для меня это нестандартная ситуация, ни как не могу найти решения.
Прошу помочь!
Re: Проблема маршрутизации
Добавлено: 14 дек 2016, 14:46
Vladimir22
A 1.1.1.5
Это кто ?!
как вариант прописать на компьютерах (или передать по DHCP) маршрут до удаленного офиса, где шлюз микротик.
Но это я считаю костыль
Re: Проблема маршрутизации
Добавлено: 14 дек 2016, 14:55
Andrey5
Компьютер, который должен оставаться шлюзом....
Я тоже так считаю, вот думаю возможно ли средствами микротика решить данный вопрос?
Re: Проблема маршрутизации
Добавлено: 14 дек 2016, 15:04
DmNuts
Так пропишите на 1.1.1.5 маршрут до 2.2.2.0/24 через 1.1.1.1.
Re: Проблема маршрутизации
Добавлено: 14 дек 2016, 15:15
Andrey5
Это я уже сделал, но локальная сеть 2.2.2.0/24 не видит сеть 1.1.1.0/24
Вот эту проблему я не знаю как решить.
Re: Проблема маршрутизации
Добавлено: 14 дек 2016, 15:23
DmNuts
Отлично, теперь на шлюзе 2.2.2.2 пропишите обратный маршрут в сеть 1.1.1.0/24 через 1.1.1.5.
Сразу не подумал, что обратный у вас не прописан...
Re: Проблема маршрутизации
Добавлено: 14 дек 2016, 15:25
Vladimir22
]я не знаю как на микротике , и как в терминологии микротика это называется, но на Dlink DFL это называется Forward-Fast
У вас возникала проблема из-за stafull, приведу пример для понимания "как это работает" на примере tcp handshake. ПК из сети 192.168.3.0/24 пытается получить доступ через DFL в 30 сесть. Первый пакет TCP SYN проходит через DFL (DFL его перенаправляет на шлюз), ответ же TCP SYN ACK согласно CIDR, идет напрямую на компьютер минуя DFL. Следующий пакет TCP ACK опять отправляет через DFL, а DFL его блокирует, потому что не видел пакета SYN ACK который не прошел через DFL. Как видите все логично, в таких случаях рекомендуем применять правило forward fast, которое не контролирует состояние и "тупо" пробрасывает трафик.
Re: Проблема маршрутизации
Добавлено: 14 дек 2016, 15:39
Andrey5
DmNuts, подскажи, как прописать на микротике (2.2.2.2) обратный маршрут на 1.1.1.5?
Re: Проблема маршрутизации
Добавлено: 14 дек 2016, 15:55
DmNuts
Andrey5 писал(а):DmNuts, подскажи, как прописать на микротике (2.2.2.2) обратный маршрут на 1.1.1.5?
Так же, как и обычный:
/ip route add distance=1 dst-address=1.1.1.0/24 gateway=3.3.3.3
Вместо 3.3.3.3 подставьте IP адрес первого роутера, который виден второму через туннель.
Vladimir22 писал(а):]я не знаю как на микротике , и как в терминологии микротика это называется, но на Dlink DFL это называется Forward-Fast
У вас возникала проблема из-за stafull, приведу пример для понимания "как это работает" на примере tcp handshake. ПК из сети 192.168.3.0/24 пытается получить доступ через DFL в 30 сесть. Первый пакет TCP SYN проходит через DFL (DFL его перенаправляет на шлюз), ответ же TCP SYN ACK согласно CIDR, идет напрямую на компьютер минуя DFL. Следующий пакет TCP ACK опять отправляет через DFL, а DFL его блокирует, потому что не видел пакета SYN ACK который не прошел через DFL. Как видите все логично, в таких случаях рекомендуем применять правило forward fast, которое не контролирует состояние и "тупо" пробрасывает трафик.
Занятно! Вживую не сталкивался, попробую смоделировать.
Re: Проблема маршрутизации
Добавлено: 14 дек 2016, 16:43
Vladimir22
очень частый вопрос . и решается он только так