Маршрутизация между Bridge и Bridge

Обсуждение оборудования и его настройки
marcos71
Сообщения: 18
Зарегистрирован: 21 апр 2020, 12:46

Доброго времени, уважаемые форумчане.
Прошу помощи в решении следующей интересной задачи.
Условия следующие:

Имеется:
1.1 RouterBOARD RB-2011iL-IN.
1.2. Доступ к интернет (витая пара) из сети 10.1.1.0/24. В ней шлюз 10.1.1.1, доступа к его настройкам нет. Можем использовать все доступные адреса из пространства 10.1.1.0/24, DHCP отсутствует.
1.3. Локальная сеть lan1 - хосты должны получать адреса из диапазона 10.1.1.0/24.
1.4. Локальная сеть lan2 - хосты должны получать адреса из диапазона 10.1.2.0/24

Требуется:
2.1. Обеспечить доступ к сети интернет для хостов из lan1
2.2. Обеспечить доступ к сети интернет для хостов из lan2
2.3. Обеспечить доступ из сети lan1 в lan2 и наоборот.

Как я вижу решение:
3.1. В роутере объединяем порты 1 и 2 в бридж br1. Присваиваем бриджу ip 10.1.1.2/24. Поднимаем на нем сервер DHCP, выдающий адреса из диапазона 10.1.1.0/24, шлюзом указываем 10.1.1.1. В порт 1 подключаем кабель от сети из п. 1.2, в порт 2 коммутатор сети lan1. Хосты, подключенные к данному коммутатору, получают IP адрес от DHCP, интернет есть, п. 2.1 выполнен.
3.2. В роутере создаем бридж br2, заводим в него порт 3. Присваиваем бриджу ip 10.1.2.1/24. На бридже br2 поднимаем сервер DHCP, выдающий адреса из диапазона 10.1.2.0/24, шлюзом указываем 10.1.2.1. Маршрут к сети 10.1.2.0/24 создается автоматически. В порт 3 подключаем коммутатор сети lan2. Хосты, подключенные к данному коммутатору, получают IP-адрес от DHCP-сервера, а вот как правильно прописать маршрут из сети 10.1.2.0 в интернет (0.0.0.0/0), а также в сеть 10.1.1.0 никак не могу сообразить. Соответственно, как настроить маскарадинг из сети 10.1.2.0/24 тоже не могу понять.

Понимаю, что проблема в настройках маршрутов, но где именно и как правильно сделать - понимания нет. Прошу пнуть в правильном направлении.


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

Никаких маршрутов и прочего не нужно, сети "вголую" общаются между собой если не запертили руками.


marcos71
Сообщения: 18
Зарегистрирован: 21 апр 2020, 12:46

Доброе утро.
Спасибо за ответ, но он не верный.
По условию задачи, в vlan1 указан шлюз 10.1.1.1, который является шлюзом провайдера, доступа у меня к нему нет.
Соответственно, данный шлюз понятия не имеет о существовании сети vlan2 с адресацией 10.1.2.0/24.
Поэтому данная схема не работает.
Вот такая закавыка.
Шел третий день...


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge2 src-address=10.1.1.0/24


marcos71
Сообщения: 18
Зарегистрирован: 21 апр 2020, 12:46

Большое спасибо, вечером попробую


marcos71
Сообщения: 18
Зарегистрирован: 21 апр 2020, 12:46

Добрый вечер.
Попробовал решение, предложенное KaNelam.
К сожалению - не работает, в колонках Bytes и Packets - 0.
По аналогии создал правило:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=br1 src-address=10.1.2.0/24

Появился доступ из сети vlan2 (10.1.2.0/24) в сеть vlan1 (10.1.1.0/24)

Никак не соображу, как сформулировать обратное правило, чтобы был доступ из сети vlan1 (10.1.1.0/24) в сеть vlan2 (10.1.2.0/24)


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

marcos71 писал(а): 24 мар 2022, 22:31 Добрый вечер.
Попробовал решение, предложенное KaNelam.
К сожалению - не работает, в колонках Bytes и Packets - 0.
По аналогии создал правило:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=br1 src-address=10.1.2.0/24

Появился доступ из сети vlan2 (10.1.2.0/24) в сеть vlan1 (10.1.1.0/24)

Никак не соображу, как сформулировать обратное правило, чтобы был доступ из сети vlan1 (10.1.1.0/24) в сеть vlan2 (10.1.2.0/24)

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface=br2 src-address=10.1.1.0/24
vlan у вас нет, только бриджи и сети


marcos71
Сообщения: 18
Зарегистрирован: 21 апр 2020, 12:46

Прошу прощения, по поводу vlan - в голове уже каша, конечно, Вы правы, бриджи.
Правило почему-то не работает.
Сейчас дома полностью смоделировал топологию сети и оборудование.
И все равно пакеты из сети 10.1.1.0/24 в сеть 10.1.2.0/24 не идут.
Также недоступен ip адрес 10.1.2.1 (адрес бриджа соответствующей сети на роутере)

На прицепленной картинке используется 10.1.11.0/24 вместо 10.1.1.0/24. Не хотел перестраивать домашний роутер.
Изображение


marcos71
Сообщения: 18
Зарегистрирован: 21 апр 2020, 12:46

Конфигурация пустая, только созданы бриджи, в них заведены интерфейсы и присвоены адреса.
Правил фаервола нет, список пуст.
Правила NAT - только 2 вышеописанных.
Ради чистоты эксперимента была сброшена конфигурация и заново настроена.
Если это поможет и Вы не против - могу выгрузить конфигурацию сюда для детального разбора.


marcos71
Сообщения: 18
Зарегистрирован: 21 апр 2020, 12:46

Вот конфигурация:

# jan/02/1970 01:34:46 by RouterOS 7.1.3
# software id = 8M42-LQCL
#
# model = RB952Ui-5ac2nD
# serial number = F0DB0E3B412C
/interface bridge
add name=br1
add name=br2
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=dhcp_pool0 ranges=10.1.2.100-10.1.2.110
/ip dhcp-server
add address-pool=dhcp_pool0 interface=br2 name=dhcp1
/interface bridge port
add bridge=br1 interface=ether1
add bridge=br1 interface=ether2
add bridge=br2 interface=ether3
/ip address
add address=10.1.11.2/24 interface=br1 network=10.1.11.0
add address=10.1.2.1/24 interface=br2 network=10.1.2.0
/ip dhcp-server network
add address=10.1.2.0/24 dns-server=212.12.0.2,212.12.0.3 gateway=10.1.2.1
/ip firewall nat
add action=masquerade chain=srcnat comment="\CC\E0\F1\EA\E0\F0\E0\E4\E8\ED\E3 \
\E4\EB\FF \E4\EE\F1\F2\F3\EF\E0 \E8\E7 \EF\EE\E4\F1\E5\F2\E8 10.1.2.0/24 \
\E2 \EF\EE\E4\F1\E5\F2\FC 10.1.11.0/24" out-interface=br1 src-address=\
10.1.2.0/24
add action=masquerade chain=srcnat comment="\CC\E0\F1\EA\E0\E4\E0\E4\E8\ED\E3 \
\E4\EB\FF \E4\EE\F1\F2\F3\EF\E0 \E8\E7 \EF\EE\E4\F1\E5\F2\E8 10.1.11.0/24 \
\E2 \EF\EE\E4\F1\E5\F2\FC 10.1.2.0/24" out-interface=br2 src-address=\
10.1.11.0/24


Ответить