Страница 2 из 2
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 15 фев 2018, 09:40
Jewe
нужно что-то примерно вот такое, не могу объединить офисную подсеть с подсеть точек mikrotik так как нужны будут правила по обрезке скорости для клиентов точки, офисной сети они касаться не должны, да и совмещать офисную сеть с клиентской не особо хочется
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 15 фев 2018, 10:12
algerka
Вы ни конфиг не показали, ни написали что сделали и в чем проблема. С таким подходом Вам в
Платные услуги 
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 15 фев 2018, 10:34
Jewe
в первом же посте написано что в конфигах ничего нет, по рекомендации kt72ru были добавлены следующие правила
Код: Выделить всё
/ip firewall filter
add action=accept chain=forward comment="Accept from 1 to 10 if established" dst-address=192.168.10.0/24 src-address=192.168.1.0/24 connection-state=established,related
add action=drop chain=forward dst-address=192.168.10.0/24 src-address=192.168.1.0/24
В результате получил то, что нужно - пинги ходят из 192.168.10.Х в 192.168.1.Х а обратно - нет. Открытым остается вопрос как поступить: оставить 5й порт с подсетью 192.168.Х.1 для тп-линков, а к примеру на 4ом порту поднять ещё одну подсеть конкретно для точек микротика или же удастся подключить всё через один. Хотелось бы конечно всё это организовать через один порт, чтобы не тянуть лишние кабеля, но как крайняя мера - кину ещё один конкретно для микротиковских точек.
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 15 фев 2018, 15:49
algerka
Jewe писал(а): ↑15 фев 2018, 10:34
в первом же посте написано что в конфигах ничего нет
Извините, не внимательно посмотрел.
Re: Проблемы с настройкой маршрутизации между несколькими сетями
Добавлено: 15 фев 2018, 17:57
Jewe
Огромный плюс в карму товарищу kt72ru за совет с файрволом, все микротиковские точки подключились и прекрасно работают по CAPsMAN'у, так же свободно могу к ним подключиться по IP через winbox из другой подсети. В силу слабой осведомленности в данном вопросе нужен ещё один совет: как правильно зарезать всевозможный доступ к настройке данных точек из их же подсети, но оставить доступ из другой. Приведу пример дабы было понятно: пусть точка имеет IP 192.168.1.2и подключена к свичу, который в свою очередь подключен к 5му порту роутера, с которого и раздается эта подсеть. Если подключу к примеру ПК к этому же свичу, то я явно смогу зайти на точку через винбокс или браузер (понятно что на ней будет стоять пароль, но всё же хотелось бы даже попытки коннекта заглушить) одновременно с этим к 4му порту роутера тоже подключен компьютер, имеет IP к примеру 192.168.10.200 и на данный момент я спокойно могу с него подключиться к точке. В IP->Services можно указать с какой подсети разрешить доступ по тому или иному порту и если я там укажу available from 192.168.10.0/24 то не потеряю ли я к ней доступ из этой сети? Вопрос связан с тем, что я не понимаю микрготик маркирует трафик, если он идёт из сети 192.168.10.0, доходит до роутера, тот его направляет на нужную точку ( в данном случае 192.168.1.2), то эта самая точка будет уже считать его трафикам своей подсети( и соответственно не пропустит если я добавлю правило которое написал выше) или же всё тем же трафиком с 10й подсети ( и тогда раз в правиле явно написано давать доступ к портам этой подсети то всё будет работать)?
Получилось очень много букв, не уверен что меня правильно поймут, но надежда умирает последней) Как по другому изложить свой вопрос я увы не знаю...
P.S. если существую варианты более простого способа ограничить возможность доступа к морде точки рад буду их услышать.