Не работаю две подсети на одном бридже

Обсуждение ПО и его настройки
Ответить
Erik_U
Сообщения: 1995
Зарегистрирован: 09 июл 2014, 12:33

Т.е. это не локальная сеть, этот адрес где-то снаружи за натом. В сторону "Signalka server" пакеты от вас улетают через НАТ и PPPOE-клиент.
Чтобы от него прилетали пакеты, нужно, чтобы в этой чужой сети 10.хх.хх.хх был маршрут до ваших сетей 92.168.1. и 92.168.0. Иначе пакеты не придут.
Дополню.
Или чтобы PPPOE клиент присоединялся к этой сети 10.10.10., и на нем был адрес из именно этой сети. Не хватает данных.

Красным написано
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.

Очень не хватает информации о том, что вы пытаетесь настроить. Приходится фантазировать и строить догадки. Вам точно нужны советы, построенные на фантазиях о ваших целях?
Куда впн подулючается? Что к портам микротика подключено? Конечные устройства, или коммутаторы?


Вернуться к началу
Stvan
Сообщения: 10
Зарегистрирован: 03 апр 2025, 05:13

Куда впн подулючается? Что к портам микротика подключено? Конечные устройства, или коммутаторы?
Я в первом сообщении написал, что обе сети подключены в один порт микротика. Одним шнурком, если не понятно.
ВПН у меня нет. Почему вы решили, что он у меня есть?

Неважно что там за конечные устройства, меня интересует настройка микротика. Чтобы вы опять не подумали, что я вас экзаменую или еще что-то, поясню. Сейчас вместо микротика стоит настроенный и рабочий шлюз на FreeBSD(ipfirewall). На нем две сетевухи, одна внутрь, другая наружу. И эти два шнурка я перетыкаю в микротик и хочу его настроить, так же как фрю, для ее замены. Там нету VLANов и прочих сложностей, на фре все прекрасно работает. Поэтому я предлагаю не заморачиваться тем, какие конечные устройства у меня работают.

По этой же причине не рисую схему, она будет предельно проста. Три квадратика: интернет, микротик, локальная сеть, соединенные линиями.
И задача максимально простая: выпустить две подсетки в интернет, микротик выступает шлюзом для обоих, файрволлом на нем все разруливается. Усложнять буду позже, когда этот минимум будет работать.
Эту строку я не понял.
add action=dst-nat chain=dstnat dst-port=80 \
что она делает? Слеш стоит, а продолжения нет.
Это проброс 80 порта внутрь на сайт.
add action=dst-nat chain=dstnat dst-port=80 in-interface=all-ppp protocol=tcp to-addresses=192.168.0.1
Т.е. это не локальная сеть, этот адрес где-то снаружи за натом. В сторону "Signalka server" пакеты от вас улетают через НАТ и PPPOE-клиент.
Вот этот момент я не понял. Улетают мимо файрвола? Потому что в правилах по нулям и соединения нет.
Вот это правило не должно срабатывать?
add action=accept chain=forward comment=Signalka dst-address-list="Signalka server" src-address=192.168.1.50


Вернуться к началу
Erik_U
Сообщения: 1995
Зарегистрирован: 09 июл 2014, 12:33

Stvan писал(а): 08 апр 2025, 09:48 ВПН у меня нет. Почему вы решили, что он у меня есть?
PPPOE клиент - это ВПН. Он у вас есть. И именно в него настроен маршрут по умолчанию для всех пакетов. Других маршрутов не настроено.

Код: Выделить всё

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 user=USER
Сеть 10.10.10. находится за РРРOE клиентом? Тут нет ошибки?
Stvan писал(а): 08 апр 2025, 09:48 Вот этот момент я не понял. Улетают мимо файрвола? Потому что в правилах по нулям и соединения нет.
Вот это правило не должно срабатывать?
add action=accept chain=forward comment=Signalka dst-address-list="Signalka server" src-address=192.168.1.50
PPPOE интерфейс поднят?
обратный маршрут есть?
сервер 10.10.10.10 действительно находится за PPPOE клиентом? Я опять задаю вопросы про то, что должно быть нарисовано на схеме.


Вернуться к началу
Stvan
Сообщения: 10
Зарегистрирован: 03 апр 2025, 05:13

PPPOE клиент - это ВПН. Он у вас есть. И именно в него настроен маршрут по умолчанию для всех пакетов.
Ах в этом смысле. Тогда да. Это соединение с провайдером интернета, воткнуто в первый порт. Ростелеком.
Работает, поднят. Белый IP.
PPPOE интерфейс поднят?
обратный маршрут есть?
сервер 10.10.10.10 действительно находится за PPPOE клиентом? Я опять задаю вопросы про то, что должно быть нарисовано на схеме.
10.10.10.10 это адрес снаружи, оператор сигнализации.
192.168.1.50 это пульт сигналки внутри, сам соединяется с сервером.

Я думал, что у меня вообще подсетка 192.168.1.0/24 пролетает мимо файрвола, но:
После исправления правила add action=accept chain=forward src-address=192.168.1.0/24
пакеты пошли.

Я его отрубаю и смотрю правила
add action=accept chain=forward dst-address-list="Signalka server" src-address=192.168.1.50
add action=accept chain=forward dst-address=192.168.1.50 src-address-list="Signalka server"

Все по нулям, хотя сниффером я вижу, что сигналка 192.168.1.50 стучится на микротик.


Вернуться к началу
Erik_U
Сообщения: 1995
Зарегистрирован: 09 июл 2014, 12:33

Stvan писал(а): 08 апр 2025, 10:30 Ах в этом смысле. Тогда да. Это соединение с провайдером интернета, воткнуто в первый порт. Ростелеком.
Работает, поднят. Белый IP.

10.10.10.10 это адрес снаружи, оператор сигнализации.
значит у вас нет маршрута до этой сети, поэтому и пакеты не ходят.

У вас на ПК видимо есть еще один ВПН клиент до оператора сигнализации? Опять вопрос про нарисованную схему.


Вернуться к началу
Stvan
Сообщения: 10
Зарегистрирован: 03 апр 2025, 05:13

Это не ПК, это приток сигнализации. И там нет никакого впн.
Он (192.168.1.50) через шлюз(FreeBSD или микротик) выходит в интернет (PPPOE Ростелеком) и обращается к своему серваку (10.10.10.10). Тот ему что-то отвечает. Все.

Так вот я не вижу, чтобы правило на выход срабатывало, там по нулям. Хотя сниффером я вижу, что 192.168.1.50 стучится в микротик.


Вернуться к началу
Erik_U
Сообщения: 1995
Зарегистрирован: 09 июл 2014, 12:33

Stvan писал(а): 08 апр 2025, 10:54 Это не ПК,
у вас сейчас ПК вместо микротика, на котором все работает. Исследуйте его. Какие порты открыты, какие ВПН кленты установлены. И нарисуйте полную целевую схему.

Чудес не бывает.
сеть 10.х.х.х - серые адреса. К ним нет и не может быть маршрута из интернета.
Если доступ к ним (впн клиент) реализован непосредственно на 192.168.1.50, значит вы должны:
1. знать с каким белым IP он должен взаимодействовать для установки связи
2. порты открыть на микротике в нужные стороны от 192.168.1.50 до этого белого IP оператора сигнализации.

Это мое последнее сообщение в этой теме без нарисованной целевой схемы. Надоело угадывать мелодию по 3 нотам.


Вернуться к началу
Stvan
Сообщения: 10
Зарегистрирован: 03 апр 2025, 05:13

Блин )
Я же реальный адрес перебил десятками просто чтобы его не светить. Там конечно белый. ВПН туннеля нет, это адрес в интернет.


Вернуться к началу
Stvan
Сообщения: 10
Зарегистрирован: 03 апр 2025, 05:13

Это мое последнее сообщение в этой теме без нарисованной целевой схемы. Надоело угадывать мелодию по 3 нотам.
Жаль. Вы просто усложняете и пытаетесь искать черную кошку в темной комнате. Я пишу уже в который раз, что все проще некуда и схема будет такая же.
Мне кажется у меня какая-то тупая ошибка прям в базе.


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»