Russian Users MikroTik | Форум пользователей MikroTik

KARaS'b писал(а): ↑06 апр 2019, 19:30

lorddemon писал(а): ↑06 апр 2019, 19:11 уверен
компы видят друг друга только внутри своей подсети

Как вы это проверяли? Пинг по имени и последующий отказ в доступе? Пинг по адресу проходит? На пингуемом и пингующем хосте в этот момент фаерволы часом не включены? Есть большая вероятность, что блокирует доступ не микротик, а непосредственно ваши хосты, видя что к ним обращаются из сети отличной от их.
Возьмите два хоста, отключите на них фаерволы и проверьте доступность по адресу, а не по имени.

я с микротика не могу пропинговать с порта 3 192.168.3.1

lorddemon писал(а): ↑06 апр 2019, 19:35 я с микротика не могу пропинговать с порта 3 192.168.3.1

Вот тут у меня пожалуй недостаточно знаний, но могу сказать, что это нормально, потому что у вас 3я сеть висит на 5м порту, у себя я точно так же не могу пропинговать нечто, что находится где-то за тоннелем, с внутреннего порта, так как за этим портом нет этого тоннеля, но доступ между сетями при этом есть. Почему так происходит, может нам обоим объяснят более просветленные товарищи, мне этот момент тоже интересен с токи зрения логики.
И на всякий случай проделайте то, что я просил, т.к. есть подозрение, что доступ между сетями у вас и так есть.

KARaS'b писал(а): ↑06 апр 2019, 19:34
Динамические маршруты, а таковыми будут маршруты при добавлении адреса с маской на интерфейс тика, через экспорт не выгружаются и имеют по умолчанию дистанс 0, который "перебьет" любой другой, созданный в ручную, маршрут.
Но если человек сейчас проделает то, что я попросил и результата\доступа не окажется, то я тоже склоняюсь к какому-то косяку в конфиге.
З.Ы. Да и косяков там больше, чего стоит только полностью разрезающее правило фаервола в цепочке форвард, после которого уже идет блокировка на инвалид в этой же цепочке.

динамические в таблицу "майн" добавляются.

А я слегка о другом:

1) зачем в микротике все порты под каждую сеть сделали? (превратили микротик в какой-то
магистральный свитч)

2) опять же, если все виланы(или даже их часть) приходят/и-или/уходят на циски, зачем опять делать то,
что я описал в пункте 1, проще на одному порту сделать его транковым(на микротике и на циске),
и загнать на микротик все виланы по одному порту/кабелю, и схема проще была и логика.

3) для ТС - чтобы пинговать с микротика, но "чужое", выберите в утилите пинг тот интерфейс
который смотрит в сторону нужного Вам клиента (которого хотите попробовать пинговать),
и включите(галочку) ARP-ping и попробуйте.
Обычно пинг надо проверять не с роутера, а с других компов/клиентов. Так правильно
формируется откуда пакет пришёл (адрес источника с нужной сетью) и
куда надо (адрес назначения с нужной сетью).

Напоминаю, что по-умолчанию(чистый роутер), связь между сетями (не важно как они приходят на микротик,
через порт(ы) или через виланы), связь между ними (на уровне L3) есть.

Erik_U писал(а): ↑06 апр 2019, 19:51 динамические в таблицу "майн" добавляются.

Да, согласен, недодумал. Это кстати действительно блокирует доступ между сетями, поверил только что на собственной шкуре. И считаю, что это не правильно.
Исходя из этого, одним правилом топикстартеру не отделаться, нужно как-то конкретизировать маркировки, что бы они не маркировали межсетевой трафик. После уже заблокировать этот межсетевой трафик самому и разрешить то, что можно.

lorddemon писал(а): ↑06 апр 2019, 19:33
все VLAN транслируются на 2 cisco с 13 порта и все нормально работает
но вот как я выше говорил появилась необходимость поставить сервера в сеть *.*.3.0/24
и эти сервера должы быть доступны со всех сетей
но вы мне хотябы скажите как сделать доступ с сети *.*.1.0/24 в *.*.3.0/24

Если вы все виланы на циску приземляете, вы там и разрешайте взаимодействие между виланами.

Чтобы получился доступ пропишите в таблицу маргрутизации статикой динамические маршруты, которые создались на микротике до сетей на его интерфейсах, только для таблицы "MixUp1Up2"

Или уберите манглы, само заработает.

отвечу на все сразу по очереди
порт 1 и 2 это два провайдера т-е 2 выхода в инет
с 3 до 12 это разные подсети которые между собой не общаются
порт 13 это порт который ретранслирует вланы на 1 cisco и она в свою очередь на 2 cisco.

на данный момент у меня 19 подсетей которые между собой не общаются
я честно говоря уже не знаю как проверить еще так как проверял это на этапе разработки данной схемы.
не пингуются компы из разных сетей и не видят друг друга и нет тут речи о фаирволах.
на многих компах есть шара которая должна быть и присутствовать именно внутри этой подсети и не более.
препод должен видеть только класс в котором он работает а не все 8.
также администрация отделена и т д ....
вланы все нормально транслируются и работают.
принг с apr или без не проходит с одного порта на шлюз другого порта.
маркировка сделана для балансировка трафика на 2 выхода

чтоб все стала еще раз понятно все работает на данный момент отлично но вот появилась новая задача дать доступ всем подсетям в подсеть 192.168.3.0/24

именно поэтому я и пытался обрисовать схему проще дабы небыло необходимости комуто разбираться в моих конфигах.

вот самая простая конфигурация
2 сети и обе имеют свой dhcp сервер с адресами. Компы получают IP на них фаирволы отключены. Должны они друг друга видеть? и пинговатся.

lorddemon писал(а): ↑06 апр 2019, 22:25

 

/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1 ranges=192.168.1.2-192.168.1.254
add name=pool2 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=pool1 disabled=no interface=ether2 name=server1
add address-pool=pool2 disabled=no interface=ether3 name=server2
/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
add address=192.168.2.1/24 interface=ether3 network=192.168.2.0

вот самая простая конфигурация
2 сети и обе имеют свой dhcp сервер с адресами. Компы получают IP на них фаирволы отключены. Должны они друг друга видеть? и пинговатся.

При таком конфиге компьютеры не получат ip адрес по dhcp. И не понимаю для чего вы wireless показали.

algerka писал(а): ↑06 апр 2019, 22:36

lorddemon писал(а): ↑06 апр 2019, 22:25

 

/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1 ranges=192.168.1.2-192.168.1.254
add name=pool2 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=pool1 disabled=no interface=ether2 name=server1
add address-pool=pool2 disabled=no interface=ether3 name=server2
/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
add address=192.168.2.1/24 interface=ether3 network=192.168.2.0

вот самая простая конфигурация
2 сети и обе имеют свой dhcp сервер с адресами. Компы получают IP на них фаирволы отключены. Должны они друг друга видеть? и пинговатся.

При таком конфиге компьютеры не получат ip адрес по dhcp.

у меня получают