Вводные данные:
На входе в квартиру размещён Mikrotik hAP ac с фиксированным ip-адресом от провайдера. На hAP ac подняты две подсети 192.168.10.0/24 (сеть умного дома с wlan 2.4Ghz) и 192.168.30.0/24 (локальная, проводная домашняя сеть, где располагается сервер, NAS и рабочие станции). На этом же hAP ac работают два DHCP сервера, которые выдают ip-адреса на соответствующие подсети. За Mikrotik hAP ac располагается Mikrotik CRS309-1G-8S+ (подключен к hAP ac посредством SFP), на котором все порты объединены в bridge (bridge присвоен ip-адрес 192.168.30.10). В свою очередь, Mikrotik CRS309-1G-8S+ раздаёт всем проводным абонентам подключенным к нему через 10G SFP+ соответствуюшие ip-адреса с DHCP сервера hAP ac.
С логики построения сети, всё работает идеально, в смысле, как и задумывалось. Все устройства получают свои ip-адреса из назначенных им пулов, устройства в подсетях доступны друг-другу и отвечают на пинги (все соответствующие правила со стороны firewall настроены), выход в интернет доступен абонентам всех подсетей. Каких-то явных конфликтов и проблем нет.
Резолюция проблемы:
Отсутствует возможность подключиться к CRS309-1G-8S+ со стороны hAP ac (если точнее, из подсети 192.168.10.0/24). Невозможно подключиться как по ip-адресу из подсети 192.168.10.0/24, так и по MAC-адресу. В дополнении, службы по типу API и SSH также недоступны из подсети 192.168.10.0/24. Если добавить новое, дублирующее правило, на forward трафика из подсети 192.168.10.0/24 до 192.168.30.10 (ip-адрес bride CRS309-1G-8S+) то видно, что пакеты попадают в сеть и находят свой адрес назначения.
Однако, если подключиться к домашней сети со стороны CRS309-1G-8S+ (DHCP автоматически выдаёт за CRS309-1G-8S+ ip-адрес из подсети 192.168.30.0/24), то оба устройства (CRS309-1G-8S+ и hAP ac) становятся доступны друг-другу. Под "доступно" подразумевается доступ как по SSH, API, так и через Winbox.
Подскажите, в чём заключается проблема и какие потенциальные векторы её решения.
Дополнительная информация для встречных вопрос:
- Да, пробовал отключать firewall.
- Да, Routes со стороны hAP ac настроены.
- Службы по типу SSH, API и Winbox на стороне CRS309-1G-8S+ не заблокированы
- В log отсутвует какая-то информация о попытке подключения
Проблема с подключением к CRS309 за hAP ac
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Поумолчанию общение между подсетями не запрещено. Смотрите фревол и roue rules.Meta-Cooler писал(а): ↑20 янв 2022, 22:06 Вводные данные:
На входе в квартиру размещён Mikrotik hAP ac с фиксированным ip-адресом от провайдера. На hAP ac подняты две подсети 192.168.10.0/24 (сеть умного дома с wlan 2.4Ghz) и 192.168.30.0/24 (локальная, проводная домашняя сеть, где располагается сервер, NAS и рабочие станции). На этом же hAP ac работают два DHCP сервера, которые выдают ip-адреса на соответствующие подсети. За Mikrotik hAP ac располагается Mikrotik CRS309-1G-8S+ (подключен к hAP ac посредством SFP), на котором все порты объединены в bridge (bridge присвоен ip-адрес 192.168.30.10). В свою очередь, Mikrotik CRS309-1G-8S+ раздаёт всем проводным абонентам подключенным к нему через 10G SFP+ соответствуюшие ip-адреса с DHCP сервера hAP ac.
С логики построения сети, всё работает идеально, в смысле, как и задумывалось. Все устройства получают свои ip-адреса из назначенных им пулов, устройства в подсетях доступны друг-другу и отвечают на пинги (все соответствующие правила со стороны firewall настроены), выход в интернет доступен абонентам всех подсетей. Каких-то явных конфликтов и проблем нет.
Резолюция проблемы:
Отсутствует возможность подключиться к CRS309-1G-8S+ со стороны hAP ac (если точнее, из подсети 192.168.10.0/24). Невозможно подключиться как по ip-адресу из подсети 192.168.10.0/24, так и по MAC-адресу. В дополнении, службы по типу API и SSH также недоступны из подсети 192.168.10.0/24. Если добавить новое, дублирующее правило, на forward трафика из подсети 192.168.10.0/24 до 192.168.30.10 (ip-адрес bride CRS309-1G-8S+) то видно, что пакеты попадают в сеть и находят свой адрес назначения.
Однако, если подключиться к домашней сети со стороны CRS309-1G-8S+ (DHCP автоматически выдаёт за CRS309-1G-8S+ ip-адрес из подсети 192.168.30.0/24), то оба устройства (CRS309-1G-8S+ и hAP ac) становятся доступны друг-другу. Под "доступно" подразумевается доступ как по SSH, API, так и через Winbox.
Подскажите, в чём заключается проблема и какие потенциальные векторы её решения.
Дополнительная информация для встречных вопрос:
- Да, пробовал отключать firewall.
- Да, Routes со стороны hAP ac настроены.
- Службы по типу SSH, API и Winbox на стороне CRS309-1G-8S+ не заблокированы
- В log отсутвует какая-то информация о попытке подключения
И да, l3 это тольео ip.
П.с. показывайте конфиг(и).
-
- Сообщения: 5
- Зарегистрирован: 20 янв 2022, 21:10
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Выключить правила фаера на вермя теста, выключить правила ната (вообще не понял для чего часть правил) кроме интернета, сбросить конешны, на CRS пописать маршрутMeta-Cooler писал(а): ↑20 янв 2022, 22:26 К сожалению, сейчас нахожусь со стороны hAP ac, и пробиться до CRS309 нет возможности
до сети асистанта или поднять dhcp-client на бридже с галкой дефроута.
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
У Вас Romon включен, через него тоже не получается добраться?
Судя по всему на CRS309 нет маршрута 0.0.0.0/0 Gw192.168.30.1
Поэтому он не может работать по L3
Судя по всему на CRS309 нет маршрута 0.0.0.0/0 Gw192.168.30.1
Поэтому он не может работать по L3
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 5
- Зарегистрирован: 20 янв 2022, 21:10
Часть правил осталось с "тестового полигона", так пробовал самые различные варианты.
К сожалению, да. Думал он станет панацеей, не помогло.
Спасибо за советы! Завтра утром перед работой обязательно попробую.
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Странно, он должен работать. Если конечно на CRS правильно настроен и сикрет одинаковый
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 5
- Зарегистрирован: 20 янв 2022, 21:10
-
- Сообщения: 5
- Зарегистрирован: 20 янв 2022, 21:10
Большое спасибо, получилось! Отключил ручные настройки ip-адреса на bridge CRS309, удалил все записи из Route list, включил dhcp client с default route. После перезагрузки устройств и атоматического получения ip-адреса CRS309 от hAP AC, всё заработало.