Russian Users MikroTik | Форум пользователей MikroTik

нужна помощь в настройке двух сетей.
Есть два mikrotik routeros 6.41
1. CCR 1009
интерфейс lan1 (172.30.40.25) смотрит в локалку 172.30.40.0/21
интерфейс byfly - в интернет
интерфейс wan2 - в интернет
интерфейс ether6 (10.10.10.1) соединен витой парой с интерфейсом ether6(10.10.10.2) второго mikrotika RB3011 (сделано для тестов)
route
/ip route
add check-gateway=ping distance=2 gateway=хх.хх.хх.хх routing-mark=to_MTC
add check-gateway=ping distance=1 gateway=byfly
add check-gateway=ping distance=2 gateway=хх.хх.хх.хх
add distance=1 dst-address=172.30.30.0/24 gateway=10.10.10.2 pref-src=10.10.10.1
+ еще четыре динамических для каждого из интерфейсов
nat
/ip firewall nat
add action=masquerade chain=srcnat out-interface=byfly
add action=masquerade chain=srcnat out-interface=wan2
правила Filter Rules и Mangle отключаю
2. RB 3011 (тестовый)
интерфейс ether6 (10.10.10.2)
интерфейс ether8 (172.30.30.25) смотрит в локалку 172.30.30.0/24
route
/ip route
add distance=1 gateway=ether6
add distance=1 dst-address=172.30.40.0/21 gateway=10.10.10.1 pref-src=10.10.10.2
+ еще два динамических для каждого из интерфейсов
Filter Rules, Nat и Mangle нет.

Mikrotik CCR1009 видит RB3011 и сеть за ним ( и наоборот).
Устройства из 172.30.40.0/21 видят RB3011(10.10.10.2), а сеть 172.30.30.0/24 недоступна.
Устройства из 172.30.30.0/24 видят CCR1009(10.10.10.1), а сеть 172.30.40.0/21 недоступна.
HELP!!!

witalikS писал(а):Mikrotik CCR1009 видит RB3011 и сеть за ним ( и наоборот).
Устройства из 172.30.40.0/21 видят RB3011(10.10.10.2), а сеть 172.30.30.0/24 недоступна.
Устройства из 172.30.30.0/24 видят CCR1009(10.10.10.1), а сеть 172.30.40.0/21 недоступна.
HELP!!!

Ну если я булыжника не увидел, то Вам надо просто описать, что сеть за одним роутером доступна
через второй роутер (указываете его IP), и потом также и сделать зеркально,
другую сеть "чужую" для второго роутера описывать.
Обычная маршрутизация....

Как Вы проверяете доступность?

1. Удалите параметр pref-src из обоих маршрутов.
2. На время настройки отключите все правила файервола.

Vlad-2 писал(а):

witalikS писал(а):Mikrotik CCR1009 видит RB3011 и сеть за ним ( и наоборот).
Устройства из 172.30.40.0/21 видят RB3011(10.10.10.2), а сеть 172.30.30.0/24 недоступна.
Устройства из 172.30.30.0/24 видят CCR1009(10.10.10.1), а сеть 172.30.40.0/21 недоступна.
HELP!!!

Ну если я булыжника не увидел, то Вам надо просто описать, что сеть за одним роутером доступна
через второй роутер (указываете его IP), и потом также и сделать зеркально,
другую сеть "чужую" для второго роутера описывать.
Обычная маршрутизация....

Поправочка(уточнение):
маршруты вроде у Вас есть, но они какие то странные, особенно на тестовом роутере.

witalikS писал(а):/ip route
add distance=1 gateway=ether6

Вот и "булыжник" увидел (жирным выделил).
Маршрутизация делается, явно задавая адрес шлюза IP-адресом, а не имя порта.
Мы работает в рамках L3-уровня.

1. Удалил параметр pref-src из обоих маршрутов.
На CCR add distance=1 dst-address=172.30.30.0/24 gateway=10.10.10.2
На RB add distance=1 dst-address=172.30.40.0/21 gateway=10.10.10.1
2. На время настройки отключил все правила файервола.
РЕЗУЛЬТАТ ТОТ ЖЕ.

witalikS писал(а):1. Удалил параметр pref-src из обоих маршрутов.
На CCR add distance=1 dst-address=172.30.30.0/24 gateway=10.10.10.2
На RB add distance=1 dst-address=172.30.40.0/21 gateway=10.10.10.1
2. На время настройки отключил все правила файервола.
РЕЗУЛЬТАТ ТОТ ЖЕ.

1) запустите трасерт(с одного роутера), ловите утилитой Torch пакеты на другом, смотрите, анализируйте.
1.2) лучше делать это не с роутера, а с компа. Так местами точнее будет и проще.
2) При обращении запросов ( с одной сети в другою сеть), случайно не попадают эти пакеты под общий НАТ?

Пингую с хоста сети 172.30.40.0/21 хост в сети 172.30.30.0/24. С помощью torch вижу ping только на интерфейсе lan1 и все. Tracert тоже заканчивается на lan1 (172.30.40.25)

witalikS писал(а):Пингую с хоста сети 172.30.40.0/21 хост в сети 172.30.30.0/24. С помощью torch вижу ping только на интерфейсе lan1 и все. Tracert тоже заканчивается на lan1 (172.30.40.25)

Меня нолики не устраивают в Вашем примере. Это грубая ошибка!
Задайте компьютерам адреса 1 или 2 или 10. НЕ НОЛЬ!
При маски /24 , 0 - это сеть, а 255 - это бродкаст. Служебные значения если кратко.

пингую с хоста 172.30.42.10 хост 172.30.30.1

witalikS писал(а):пингую с хоста 172.30.42.10 хост 172.30.30.1

1) трасертом делайте, а не пингом. И лучше если из под винды то tracert -d xx.xx.xx.xx
Пакет должен уйти с компа на роутер, с роутера своего на соседний роутер,
с того роутера уже на комп.

2) также чтобы это всё ыполнялось, у компов должен быть установлен шлюз,это
локальный айпи ближайшего к ним роутера. Чтобы система на компе знала куда слать пакеты и
откуда их и получать при ответе. При трассировке и будет видно где затык.