маскарадинг
-
Sertik
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Спасибо большое за проделанную работу. Странно, может у меня с правилами что-то не так ? Проверю, напишу.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Sertik писал(а):Спасибо большое за проделанную работу. Странно, может у меня с правилами что-то не так ? Проверю, напишу.
Рад был помочь.
Ну и вот, как бонус, тестовые (!!! тестовые !!!) конфиги.
Роутер R1:
Код: Выделить всё
/interface bridge
add name=bridge1-LAN-N0
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment="to-R2(eth1)"
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1-LAN-N0 interface=ether2
add bridge=bridge1-LAN-N0 interface=ether3
/interface bridge settings
set allow-fast-path=no use-ip-firewall=yes use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
/ip address
add address=1.1.1.1/30 interface=ether1 network=1.1.1.0
add address=192.168.0.1/24 interface=bridge1-LAN-N0 network=192.168.0.0
/ip cloud
set ddns-enabled=yes
/ip dns
set allow-remote-requests=yes servers=1.1.1.2
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add check-gateway=ping distance=1 gateway=1.1.1.2 pref-src=1.1.1.1
add distance=1 dst-address=192.168.89.0/24 gateway=192.168.0.9 pref-src=192.168.0.1
/system clock
set time-zone-autod
/system identity
set name=R1-N0
Роутер R2:
Код: Выделить всё
/interface bridge
add name=bridge1-LAN-N89
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] comment="to R1"
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1-LAN-N89 interface=ether2
add bridge=bridge1-LAN-N89 interface=ether3
/ip address
add address=192.168.0.9/24 interface=ether1 network=192.168.0.0
add address=192.168.89.1/24 interface=bridge1-LAN-N89 network=192.168.89.0
/ip dns
set allow-remote-requests=yes servers=192.168.0.1
/ip route
add distance=1 gateway=192.168.0.1 pref-src=192.168.0.9
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Kamchatka
/system identity
set name=R2-N89
-
Erik_U
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
Sertik писал(а):В моих высказываниях была неточность. Сам роутер 2 пингуется. То есть от 192.168.89.1 ответ есть. Без маскарадинга не пингуется сеть за ним (т.е. все устройства с 192.168.89.2 и дальше ...)
Ноут попробую поставлю, но смысла не вижу, т.к. из интернет через VPN пинга тоже нет.
Вы второму роутеру поставили как маршрут по умолчанию адрес первого - 192.168.0.1
Первому роутеру вы маршрут по умолчанию поставили в сеть оператора - 1.1.1.х
Что происходит.
Когда на втором роутере нет маскарадинга, и вы посылаете пинг из сети 192.168.89.х в сеть 192.168.0.х или в интернет, то пакет в сторону адресата дорогу находит, т.к. эта дорога лежит в маршрутах по умолчанию.
Но когда цель в сети 192.168.0.х, или первый роутер, получивший ответ на пинг от ресурса в интернете пытаются найти отправителя в сети 192.168.89.х, они смотрят свою таблицу маршрутизации, и не находят в ней описанного маргрута в эту сеть. И поэтому посылают ответ роутеру по умолчаниу - у вас это роутер1, а он отправляет в соответствити с той же логикой ответный пакет в интернет.
Чтобы ответы долетали до отправителя, на роутер 1 нужно добавить обратный маршрут.
Объявить, что сеть 192.168.89.0/24 находится за 192.168.0.9.
И все заработает. Добавить 192.168.89.0 в правила маскарадинга роутера1 не достаточно.
С маскарадингом на роутере2 работает потому, что пинги от отправителя в сети 192.168.89.х долетают до адресата как от 192.168.0.х. А про нее роутеру1 известно, и ответы от отправляет в нужное место - роутеру 2.
-
Sertik
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Erik_U, спасибо !
Но не понял, что Вы имеете ввиду. На роутере 1 у меня маршрут в 89 сеть роутера 2 прописан.
Напишите, пожалуйса, что надо добавить в виде командной строки, чтобы я понял.
Еще раз спасибо, жду Вашего ответа.
Но не понял, что Вы имеете ввиду. На роутере 1 у меня маршрут в 89 сеть роутера 2 прописан.
Напишите, пожалуйса, что надо добавить в виде командной строки, чтобы я понял.
Еще раз спасибо, жду Вашего ответа.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
Erik_U
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
То, что вы описываете здесь
бывает, когда первый не знает маршрута в сеть 192.168.89.0.х
добавить
Ну или на втором включен FireWall. Зачем-то.
Sertik писал(а):Первый R1 допустим имеет статический адрес от провайдера 1.1.1.1 И свою локальную подсеть 192.168.0.0/24. Адрес R1 в локальной сети 192.168.0.1 Второй (R2) имеет статически адрес от первого 192.168.0.9, R1 для него шлюз в интернет и в локальную сеть 192.168.0.0/24. Сам R2 имеет локальный адрес 192.168.89.1 и свою локальную сеть 192.168.89.0.24.
Так вот. Если я не использую маскарадинг на втором роутере для своей локальной сети 192.168.89.0/24 то нет пингов с первого на второй и все устройства в сети второго.
Как это обойти без маскарадинга ?
бывает, когда первый не знает маршрута в сеть 192.168.89.0.х
добавить
Код: Выделить всё
add distance=1 dst-address=192.168.89.0/24 gateway=192.168.0.9 pref-src=192.168.0.1Ну или на втором включен FireWall. Зачем-то.
-
Sertik
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
У меня такое было только без pref-scr. Исправил точно как у Вас - без маскарадинга все равно не работает.
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
Erik_U
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
Значит включен FireWall.
-
Sertik
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Выключал все запрещающие правила ФаерВола на втором - та же песня.
Ставил вообще на втором все разрешить и инпут и оутпут и форфард - без результата. Без маскарада - накак
Ставил вообще на втором все разрешить и инпут и оутпут и форфард - без результата. Без маскарада - накак
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
Erik_U
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
Вы невнимательно смотрели.
Если у вас простой роутинг не работает, значит он или не настроен, или запрещен.
Если у вас простой роутинг не работает, значит он или не настроен, или запрещен.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
ТС, а Вы пробовали как я и просил - с компьютеров делать тесты?
Ставить комп в локальную адресацию того роутера, куда он подключен,
ну и делать трасеррты и пинги....
На крайняк, я же Вам конфиги Выложил, даже сети так Ваши,
главное проверить чтобы совпадали названия интерфейсов...
И НАТа на втором роутере ВОООБще быть не должно быть!
Ставить комп в локальную адресацию того роутера, куда он подключен,
ну и делать трасеррты и пинги....
На крайняк, я же Вам конфиги Выложил, даже сети так Ваши,
главное проверить чтобы совпадали названия интерфейсов...
И НАТа на втором роутере ВОООБще быть не должно быть!