Здравствуйте, уважаемые эксперты. Прошу помощи в настройке. Есть 2 сети:
1) 192.168.88.0/24 - сеть микротика. В ней работают два ПК по ethernet, подключенные к портам 1,2 и по необходимости подключаются устройства по wifi для свободного доступа в интернет. Порт 5 (wlan1) служит для доступа в интернет, на нем статический ip от провайдера 46.18.***.***. Порты 1,2,3,wlan1 объединены в бридж bridge_lan, на нем настроен dhcp.
Порт 4 предполагается для связи со второй сетью 192.168.10.0/24, имеет присвоенный адрес 192.168.10.253. Подключен к коммутатору второй сети.
Вторая сеть:
192.168.10.0/24. - основная офисная сеть со своим маршрутизатором на linux, роутером с интернетом от другого провайдера, dhcp. Нужно, чтобы был доступ из сети 192.168.88.0 в сеть 192.168.10.0. Сейчас доступа нет. Если добавить порт 4 в bridge_lan, то доступ появляется, но тогда нарушается работа сети 192.168.10.0, так как там свой интернет с рядом vpn туннелей для связи с другими филиалами.
Также на микротике настроено l2tp подключение для доступа к 192.168.88.0 извне. Настроен ряд правил firewall для защиты микротика от взлома.
Как настроить доступ из 192.168.88.0 в 192.168.10.0, не меняя конфигурацию 192.168.10.0 ?
Прилагаю конфиг:
# jun/22/2023 14:56:34 by RouterOS 6.49.8
# software id = E6GY-IL2R
#
# model = 951G-2HnD
/interface bridge
add arp=proxy-arp name=bridge_lan
/interface ethernet
set [ find default-name=ether4 ] name=ether4-work
set [ find default-name=ether5 ] name=ether5-wan
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=ap_security supplicant-identity="" \
wpa2-pre-shared-key=*********
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 basic-rates-a/g="" \
basic-rates-b="" country=no_country_set disabled=no frequency-mode=\
manual-txpower mode=ap-bridge rate-set=configured security-profile=\
ap_security ssid=Space station-roaming=enabled tx-power=18 tx-power-mode=\
all-rates-fixed
/ip ipsec profile
set [ find default=yes ] dh-group=ecp256,ecp384,modp2048,modp1024 \
enc-algorithm=aes-256,3des
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 pfs-group=ecp384
/ip pool
add name=dhcp_pool5 ranges=192.168.88.2-192.168.88.254
add name=vpn_pool1 ranges=192.168.88.100-192.168.88.110
/ip dhcp-server
add address-pool=dhcp_pool5 disabled=no interface=bridge_lan name=dhcp1
/ppp profile
add dns-server=192.168.88.1 local-address=192.168.88.1 name=l2tp \
remote-address=vpn_pool1 use-encryption=yes
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge_lan interface=ether1
add bridge=bridge_lan interface=ether2
add bridge=bridge_lan interface=ether3
add bridge=bridge_lan interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=*******
use-ipsec=required
/ip address
add address=46.18.***.***/24 interface=ether5-wan network=46.18.***.***
add address=192.168.88.1/24 interface=bridge_lan network=192.168.88.0
add address=192.168.10.253/24 interface=ether4-work network=192.168.10.0
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
add address=192.168.88.0/24 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=46.18.***.***,46.18.***.***
/ip firewall filter
add action=accept chain=input dst-port=500,1701,4500 in-interface=ether5-wan \
protocol=udp
add action=accept chain=input in-interface=ether5-wan protocol=ipsec-esp
add action=drop chain=input dst-port=53 log=yes log-prefix=DNS protocol=udp
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=1w3d chain=input comment=blacklist connection-state=\
new dst-port=22 log=yes protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input comment=ssh-stage3 connection-state=\
new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 log=\
yes protocol=tcp
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=1w3d chain=input comment=blacklist connection-state=\
new dst-port=23 log=yes protocol=tcp src-address-list=tel_stage3
add action=add-src-to-address-list address-list=tel_stage3 \
address-list-timeout=1m chain=input comment=tel-stage3 connection-state=\
new dst-port=23 protocol=tcp src-address-list=tel_stage2
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=1w3d chain=input comment=blacklist connection-state=\
new dst-port=1723 log=yes protocol=tcp src-address-list=pptp_stage3
add action=add-src-to-address-list address-list=tel_stage2 \
address-list-timeout=1m chain=input comment=tel-stage2 connection-state=\
new dst-port=23 protocol=tcp src-address-list=tel_stage1
add action=add-src-to-address-list address-list=tel_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=23 \
protocol=tcp
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input comment=ssh-stage2 connection-state=\
new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=pptp_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=1723 \
protocol=tcp
add action=add-src-to-address-list address-list=pptp_stage3 \
address-list-timeout=1m chain=input comment=pptp-stage3 connection-state=\
new dst-port=1723 protocol=tcp src-address-list=pptp_stage2
add action=add-src-to-address-list address-list=pptp_stage2 \
address-list-timeout=1m chain=input comment=pptp-stage2 connection-state=\
new dst-port=1723 protocol=tcp src-address-list=pptp_stage1
add action=drop chain=prerouting comment="drop brute forcers" \
src-address-list=blacklist
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether5-wan
/ip route
add distance=1 gateway=46.18.***.***
add distance=1 dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip service
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add name=work password=******* profile=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system package update
set channel=upgrade
Доступ к сети вне микротика
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Вынести порт в сторону другой сети из бриджа.
Повесить на него адрес из второй сети (либо dhcp-клиент, но без добавления дефолтного маршрута).
Добавить маскарад на трафик уходящий в этот порт.
Все, из сети микротика в другую доступ должен быть.
Если нужно и в обратную сторону, то без настройки второго маршрутизатора нормально это не сделать.
Повесить на него адрес из второй сети (либо dhcp-клиент, но без добавления дефолтного маршрута).
Добавить маскарад на трафик уходящий в этот порт.
Все, из сети микротика в другую доступ должен быть.
Если нужно и в обратную сторону, то без настройки второго маршрутизатора нормально это не сделать.
Telegram: @thexvo
-
serg2023
- Сообщения: 4
- Зарегистрирован: 22 июн 2023, 13:42
Порт 4 не в бридже. Повесил на него адрес 192.168.10.253:
add address=192.168.10.253 interface=ether4-work network=192.168.10.0
Сделал маскарад:
add action=masquerade chain=srcnat out-interface=ether4-work
Вроде должно работать, но не работает, доступа нет.
А вот результат tracert на 192.168.10.1 (это шлюз второй сети):
tracert 192.168.10.1
Трассировка маршрута к 192.168.10.1 с максимальным числом прыжков 30
1 1 ms 1 ms 1 ms 192.168.88.1
2 1 ms 1 ms 1 ms 46.18.***.***
3 2 ms 1 ms 1 ms 10.29.***.***
4 5 ms 6 ms 5 ms 10.29.***.***
5 2 ms 1 ms 2 ms 10.29.***.***
6 * * * Превышен интервал ожидания для запроса.
7 * * 10.29.***.*** сообщает: Заданная сеть недоступна.
Почему-то пошло в шлюз интернета 46.18.***.***, который на микротике
add address=192.168.10.253 interface=ether4-work network=192.168.10.0
Сделал маскарад:
add action=masquerade chain=srcnat out-interface=ether4-work
Вроде должно работать, но не работает, доступа нет.
А вот результат tracert на 192.168.10.1 (это шлюз второй сети):
tracert 192.168.10.1
Трассировка маршрута к 192.168.10.1 с максимальным числом прыжков 30
1 1 ms 1 ms 1 ms 192.168.88.1
2 1 ms 1 ms 1 ms 46.18.***.***
3 2 ms 1 ms 1 ms 10.29.***.***
4 5 ms 6 ms 5 ms 10.29.***.***
5 2 ms 1 ms 2 ms 10.29.***.***
6 * * * Превышен интервал ожидания для запроса.
7 * * 10.29.***.*** сообщает: Заданная сеть недоступна.
Почему-то пошло в шлюз интернета 46.18.***.***, который на микротике
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
add address=192.168.10.253/24 interface=ether4-work network=192.168.10.0
Telegram: @thexvo
-
serg2023
- Сообщения: 4
- Зарегистрирован: 22 июн 2023, 13:42
Поправил, доступа нет, теперь так:
tracert 192.168.10.1
Трассировка маршрута к 192.168.10.1 с максимальным числом прыжков 30
1 1 ms <1 мс <1 мс 192.168.88.1
2 192.168.10.253 сообщает: Заданный узел недоступен.
Трассировка завершена.
Маршрут 192.168.10.0/24 не активный в списке Routes
tracert 192.168.10.1
Трассировка маршрута к 192.168.10.1 с максимальным числом прыжков 30
1 1 ms <1 мс <1 мс 192.168.88.1
2 192.168.10.253 сообщает: Заданный узел недоступен.
Трассировка завершена.
Маршрут 192.168.10.0/24 не активный в списке Routes
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Маршрут и не нужен, он же и так есть.
Firewall дальше смотреть.
С самого микротика 192.168.10.1 пингуется?
Firewall дальше смотреть.
С самого микротика 192.168.10.1 пингуется?
Telegram: @thexvo
-
serg2023
- Сообщения: 4
- Зарегистрирован: 22 июн 2023, 13:42
Firewall отключал все правила. С самого микротика тоже не пингуется.
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Тогда все вопросы ко второму роутеру.
Telegram: @thexvo