маскарадинг

[Vlad-2]

Роутер №3 под "нож"...
На заводскую конфигурацию накатить манглы.....Где адресация?
Неа...ужас...это не роутер...Роутер под нож, очищать, убирать фасттраки,
делать чистый роутер, и нормально делать статическую маршрутизацию....
Маскарадинг тупой...куча правил, всё через всё...без приоритетов....без указаний подсетей...

Ну почти сочинения Вам тут исписал, объясняю, показываю, а по факту вижу:
кучу правил в Фильтрес, ну зачем так делать....

Я за 12 минут сделал Вашу конфигурацию. За 30-40 можно сделать с 3-4 роутерами,
и даже наверно ещё время и на DHCP + ещё и "косметику" по конфигурации останется.

У меня волосы дыбом стали после картинок....(сначала увидел лишь одну)...но потом....

P.S.
По поводу конвендициальной информации на роутере1,
вот такая команда с применением ключа "hide-sensitive" скрывает важные данные, пароли, ключи, и ещё что-то....

Код: Выделить всё

export file=my-config hide-sensitive

[Sertik]

Ну не ругайтесь Вы так уж ...

Насчет заводской конфигурации - нет я ее убивал. Оставил только файерволл. В нем куча правил от того что пытался просто понять через что какие-пакеты ходят, пока не было пингов между сетями. Убить то не проблема.

Адресация задана, вот она ... Насчет конкретных адресов в маршрутах - пробовал - толку нет. Что просто интерфейс даешь, что указываешь кнткретно шлюз и pref scr - результат один.

Да Вы не ругайтесь, а лучше подскажите как сделать ... Как от маскарада то на внутренней сети избавиться ?

[Vlad-2]

Да Вы не ругайтесь, а лучше подскажите как сделать ... Как от маскарада то на внутренней сети избавиться ?

Я могу лишь повторить:

1) у нас Р3 с сетью 89.0/24 работает просто, отправляя свою сеть в неизменнёном ввиде на другие роутеры.
То есть сеть 89.0/24 должна со своими адресами доходить и до Р1 и до Р2.
2) Доходить до Р1 и до Р2 требуется и в Вашем условии,чтобы сети видели друг друга.
Сделать чтобы сети видели себя и маршрутизировались, всё это можно сделать
правильно с помощью именно маршрутизации.
3) Ещё раз, пункт 1! УБЕРИТЕ НАТ(маскарадинг) на Р3. Зачем Вы прячите локальную сетку за другой?
Вы сами делаете то, чего сами и не хотите по условиям.
4) Если сделать маршрутизацию между роутерами, то есть роутер один знает где искать другую сетку,
а тот знает куда в ответ слать = всё, вот она и работает маршрутизация. Тупо, просто. НАТА тут нету.
Мы не в Интернете сейчас, нам прятать свой IP не нужно....
ПРОШУ Вас = уберите НАТ все правила и сделайте маршрутизацию по адресам.
ТО есть задаёте что 0.0.0.0/0 доступен НЕ через ethX а указываете вышестоящий роутер, например 192.168.0.1
И всё, все компы с 89 сети...пройдут ещё раз (с НЕизмменным айпи) до роутера с адресом 0.1,
а вот этот уже роутер, так как ему надо отправить уже в ИНтернет запрос = вот уже на нём,
НАТ и делайте....НО и там НАТ должен сделать с умом, если запросы от сети(сетей) идут
во внешнюю сеть, то НАТить, а если локальные запросы = то нет.

Ваш роутер3 это как смеситель, он смешивает, но он не является пограничным, поэтому там
крутить краны не надо, задача только смешивать (направлять) туда-сюда.

И делайте локальную часть в роутерах на бридже, так и интерфейс в UP'а всегда, и логика будет более прозрачна.

[Sertik]

Для vlad-2:

Хорошо, вечером попробую все как Вы рекомендуете.
А вот бридж то зачем ? Или все же без бриджа у Микротика не работает нормально ?
У меня естественно ether1 и ether5 выведены из состава внутреннего свича. Ether2 является мастер-портом, Ether3 и 4 его слэйвами.
Какое значение имеет интерфейс enable или proxy-arp ? У меня нормально на enable-ах пинги не ходили. Поставил везде proxy-arp.

[Vlad-2]

Для vlad-2:
Хорошо, вечером попробую все как Вы рекомендуете.

Буду ждать результата, но я думал что Вы и ранее делаете/применяете советы...

А вот бридж то зачем ? Или все же без бриджа у Микротика не работает нормально ?

Это как раз для упрощения схемы, когды Вы дёргаете порты, включаете, подключаете, статус портов меняется,
да и работать сразу с 3-4 портами разными сложно, без подготовки.
А так мы логику упрощаем, есть внешнка(порт1) и есть локальная сеть - это бридж (и адрес ставится на бридже, и бридж всегда доступен)
Поэтому это практично,это правильнее делать. Потом уже можно переходить на отдельные интерфейсы, но поверьте - лучше
Вам роутер видеть именно в таком разрезе: WAN (один порт) и LAN (2й и + и иные порты).

У меня естественно ether1 и ether5 выведены из состава внутреннего свича. Ether2 является мастер-портом, Ether3 и 4 его слэйвами.

При построении и логики маршрутизации, свитч-чип коммутация вот по сути она не нужна. Лучше использовать бриджы, а уже,
смотря какой трафик у нас будет бегать, уже потом что-то оставлять в свит-чип коммутации, а что-то в бриджах.
Да и скоро, мастер-порт уйдёт в небытие....с новой версией 6.41.

Какое значение имеет интерфейс enable или proxy-arp ? У меня нормально на enable-ах пинги не ходили. Поставил везде proxy-arp.

НЕ трогать значения. Оставлять как есть по-дефолту у данного интерфейса.

[Sertik]

Все сделал удаленно как Вы сказали - ноль результат. Без маскарада внутренней сети пинги не идут. В том числе бридж не помог.

[Vlad-2]

Все сделал удаленно как Вы сказали - ноль результат. Без маскарада внутренней сети пинги не идут. В том числе бридж не помог.

Хоть бы показали как сделали, что не идёт...как маршруты прописаны...трасерты делали ( с роутера(ов) и/или с компа(ов) )?

[Sertik]

Не идет все тоже: при отсутствии маскарада на внутреннюю сеть 192.168.89.0/24 на R3, с R1 не пингуется сеть за R3 (сам R3 пингуется).
Пинги делаю прямо с R1 из его /tool ping. Все остальное - без проблем. В интернет все ходят. С R3 все пингуется (в том числе 8.8.8.8, сам R1 и устройства в его локалке.

[Vlad-2]

Не идет все тоже: при отсутствии маскарада на внутреннюю сеть 192.168.89.0/24 на R3, с R1 не пингуется сеть за R3 (сам R3 пингуется).

Покажи как Вы сделали маршрут на R3

[Sertik]

Вот так, как Вы советовали ...