я с микротика не могу пропинговать с порта 3 192.168.3.1KARaS'b писал(а): ↑06 апр 2019, 19:30Как вы это проверяли? Пинг по имени и последующий отказ в доступе? Пинг по адресу проходит? На пингуемом и пингующем хосте в этот момент фаерволы часом не включены? Есть большая вероятность, что блокирует доступ не микротик, а непосредственно ваши хосты, видя что к ним обращаются из сети отличной от их.
Возьмите два хоста, отключите на них фаерволы и проверьте доступность по адресу, а не по имени.
Маршрутизация подсетей.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
lorddemon
- Сообщения: 41
- Зарегистрирован: 05 дек 2017, 12:01
-
KARaS'b
- Сообщения: 1197
- Зарегистрирован: 29 сен 2011, 09:16
Вот тут у меня пожалуй недостаточно знаний, но могу сказать, что это нормально, потому что у вас 3я сеть висит на 5м порту, у себя я точно так же не могу пропинговать нечто, что находится где-то за тоннелем, с внутреннего порта, так как за этим портом нет этого тоннеля, но доступ между сетями при этом есть. Почему так происходит, может нам обоим объяснят более просветленные товарищи, мне этот момент тоже интересен с токи зрения логики.
И на всякий случай проделайте то, что я просил, т.к. есть подозрение, что доступ между сетями у вас и так есть.
-
Erik_U
- Сообщения: 2002
- Зарегистрирован: 09 июл 2014, 12:33
динамические в таблицу "майн" добавляются.KARaS'b писал(а): ↑06 апр 2019, 19:34
Динамические маршруты, а таковыми будут маршруты при добавлении адреса с маской на интерфейс тика, через экспорт не выгружаются и имеют по умолчанию дистанс 0, который "перебьет" любой другой, созданный в ручную, маршрут.
Но если человек сейчас проделает то, что я попросил и результата\доступа не окажется, то я тоже склоняюсь к какому-то косяку в конфиге.
З.Ы. Да и косяков там больше, чего стоит только полностью разрезающее правило фаервола в цепочке форвард, после которого уже идет блокировка на инвалид в этой же цепочке.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
А я слегка о другом:
1) зачем в микротике все порты под каждую сеть сделали? (превратили микротик в какой-то
магистральный свитч)
2) опять же, если все виланы(или даже их часть) приходят/и-или/уходят на циски, зачем опять делать то,
что я описал в пункте 1, проще на одному порту сделать его транковым(на микротике и на циске),
и загнать на микротик все виланы по одному порту/кабелю, и схема проще была и логика.
3) для ТС - чтобы пинговать с микротика, но "чужое", выберите в утилите пинг тот интерфейс
который смотрит в сторону нужного Вам клиента (которого хотите попробовать пинговать),
и включите(галочку) ARP-ping и попробуйте.
Обычно пинг надо проверять не с роутера, а с других компов/клиентов. Так правильно
формируется откуда пакет пришёл (адрес источника с нужной сетью) и
куда надо (адрес назначения с нужной сетью).
Напоминаю, что по-умолчанию(чистый роутер), связь между сетями (не важно как они приходят на микротик,
через порт(ы) или через виланы), связь между ними (на уровне L3) есть.
1) зачем в микротике все порты под каждую сеть сделали? (превратили микротик в какой-то
магистральный свитч)
2) опять же, если все виланы(или даже их часть) приходят/и-или/уходят на циски, зачем опять делать то,
что я описал в пункте 1, проще на одному порту сделать его транковым(на микротике и на циске),
и загнать на микротик все виланы по одному порту/кабелю, и схема проще была и логика.
3) для ТС - чтобы пинговать с микротика, но "чужое", выберите в утилите пинг тот интерфейс
который смотрит в сторону нужного Вам клиента (которого хотите попробовать пинговать),
и включите(галочку) ARP-ping и попробуйте.
Обычно пинг надо проверять не с роутера, а с других компов/клиентов. Так правильно
формируется откуда пакет пришёл (адрес источника с нужной сетью) и
куда надо (адрес назначения с нужной сетью).
Напоминаю, что по-умолчанию(чистый роутер), связь между сетями (не важно как они приходят на микротик,
через порт(ы) или через виланы), связь между ними (на уровне L3) есть.
-
KARaS'b
- Сообщения: 1197
- Зарегистрирован: 29 сен 2011, 09:16
Да, согласен, недодумал. Это кстати действительно блокирует доступ между сетями, поверил только что на собственной шкуре. И считаю, что это не правильно.
Исходя из этого, одним правилом топикстартеру не отделаться, нужно как-то конкретизировать маркировки, что бы они не маркировали межсетевой трафик. После уже заблокировать этот межсетевой трафик самому и разрешить то, что можно.
-
Erik_U
- Сообщения: 2002
- Зарегистрирован: 09 июл 2014, 12:33
Если вы все виланы на циску приземляете, вы там и разрешайте взаимодействие между виланами.lorddemon писал(а): ↑06 апр 2019, 19:33
все VLAN транслируются на 2 cisco с 13 порта и все нормально работает
но вот как я выше говорил появилась необходимость поставить сервера в сеть *.*.3.0/24
и эти сервера должы быть доступны со всех сетей
но вы мне хотябы скажите как сделать доступ с сети *.*.1.0/24 в *.*.3.0/24
Чтобы получился доступ пропишите в таблицу маргрутизации статикой динамические маршруты, которые создались на микротике до сетей на его интерфейсах, только для таблицы "MixUp1Up2"
Или уберите манглы, само заработает.
-
lorddemon
- Сообщения: 41
- Зарегистрирован: 05 дек 2017, 12:01
отвечу на все сразу по очереди
порт 1 и 2 это два провайдера т-е 2 выхода в инет
с 3 до 12 это разные подсети которые между собой не общаются
порт 13 это порт который ретранслирует вланы на 1 cisco и она в свою очередь на 2 cisco.
на данный момент у меня 19 подсетей которые между собой не общаются
я честно говоря уже не знаю как проверить еще так как проверял это на этапе разработки данной схемы.
не пингуются компы из разных сетей и не видят друг друга и нет тут речи о фаирволах.
на многих компах есть шара которая должна быть и присутствовать именно внутри этой подсети и не более.
препод должен видеть только класс в котором он работает а не все 8.
также администрация отделена и т д ....
вланы все нормально транслируются и работают.
принг с apr или без не проходит с одного порта на шлюз другого порта.
маркировка сделана для балансировка трафика на 2 выхода
чтоб все стала еще раз понятно все работает на данный момент отлично но вот появилась новая задача дать доступ всем подсетям в подсеть 192.168.3.0/24
именно поэтому я и пытался обрисовать схему проще дабы небыло необходимости комуто разбираться в моих конфигах.
порт 1 и 2 это два провайдера т-е 2 выхода в инет
с 3 до 12 это разные подсети которые между собой не общаются
порт 13 это порт который ретранслирует вланы на 1 cisco и она в свою очередь на 2 cisco.
на данный момент у меня 19 подсетей которые между собой не общаются
я честно говоря уже не знаю как проверить еще так как проверял это на этапе разработки данной схемы.
не пингуются компы из разных сетей и не видят друг друга и нет тут речи о фаирволах.
на многих компах есть шара которая должна быть и присутствовать именно внутри этой подсети и не более.
препод должен видеть только класс в котором он работает а не все 8.
также администрация отделена и т д ....
вланы все нормально транслируются и работают.
принг с apr или без не проходит с одного порта на шлюз другого порта.
маркировка сделана для балансировка трафика на 2 выхода
чтоб все стала еще раз понятно все работает на данный момент отлично но вот появилась новая задача дать доступ всем подсетям в подсеть 192.168.3.0/24
именно поэтому я и пытался обрисовать схему проще дабы небыло необходимости комуто разбираться в моих конфигах.
-
lorddemon
- Сообщения: 41
- Зарегистрирован: 05 дек 2017, 12:01
