Страница 1 из 1
[РЕШЕНО] Доступ к LAN второго (верхнего) маршрутизатора
Добавлено: 08 ноя 2019, 05:39
overseerua
Приветствую,
есть два маршрутизатора MikroTik, которые подключены к третьему, EdgeRouter X (схема подключения на изображении). EdgeRouter X настроен на балансировку WAN-портов, с него доступны обе серые сетки МикроТиков, а вот с них не доступна сетка EdgeRouter X.
Нужен доступ к его сети или, хотя бы, первому адресу.
Спасибо.
Re: Доступ к LAN второго (верхнего) маршрутизатора
Добавлено: 08 ноя 2019, 10:39
xvo
NAT на UBNT выключен?
Предполагаю, что нет, раз в одну сторону работает без всякой настройки маршрутов на микротиках.
Re: Доступ к LAN второго (верхнего) маршрутизатора
Добавлено: 08 ноя 2019, 19:48
overseerua
xvo писал(а): ↑08 ноя 2019, 10:39
NAT на UBNT выключен?
Предполагаю, что нет, раз в одну сторону работает без всякой настройки маршрутов на микротиках.
Вот более полная схема. На EdgeRouter X включен НАТ:
Код: Выделить всё
:~$ show nat rules
Type Codes: SRC - source, DST - destination, MASQ - masquerade
X at the front of rule implies rule is excluded
rule type intf translation
---- ---- ---- -----------
5000 MASQ eth1 saddr ANY to 192.168.3.55
proto-all sport ANY
5002 MASQ eth4 saddr ANY to 192.168.2.87
proto-all sport ANY
192.168.2.87 и 192.168.3.55 - рандомно выданные микротиками, но я в настройках микротиков активировал, чтобы они были статическими (т.е. не менялись)
Мне нужно, чтобы с микротиков можно было достучаться до LAN маршрутизатора EdgeRouter X (если это возможно).
К Микротикам по WiFi и кабелю подключены пользователи. К EdgeRouter X подключены ПК, для которых важна доступность Интернет (один провайдер умер - сеть работает через второго).
В данном случае, я хочу получить доступ с РС2 к EdgeRouter X (192.168.1.1).
Re: Доступ к LAN второго (верхнего) маршрутизатора
Добавлено: 08 ноя 2019, 22:38
xvo
Значит вариантов два:
1) Либо отключить NAT на UBNT вообще, пусть этим микротики занимаются.
2) Либо сделать в нем исключения для обращения к подсетям микротиков.
Как вам проще и как это вообще сделать, это вы уже сами смотрите.
В обоих случаях надо будет прописать на микротиках маршрут в ту сеть, что за UBNT через тот адрес, который данный микротик ему выдает.
Re: Доступ к LAN второго (верхнего) маршрутизатора
Добавлено: 09 ноя 2019, 00:32
overseerua
xvo писал(а): ↑08 ноя 2019, 22:38
В обоих случаях надо будет прописать на микротиках маршрут в ту сеть, что за UBNT через тот адрес, который данный микротик ему выдает.
Как?
Пробовал так:
/ip route add dst-address=192.168.1.0/24 gateway=192.168.7.87
192.168.1.1 не пингуется.
Отключение НАТа на UBNT не вариант, т.к. тогда пропадет(?) доступ для РС1 к подсетям на микротиках...
Re: Доступ к LAN второго (верхнего) маршрутизатора
Добавлено: 09 ноя 2019, 01:02
xvo
overseerua писал(а): ↑09 ноя 2019, 00:32
Как?
Пробовал так:
/ip route add dst-address=192.168.1.0/24 gateway=192.168.7.87
192.168.1.1 не пингуется.
Да, именно так.
Но только без того, чтобы что-то сделать с NATом, оно не заработает.
overseerua писал(а): ↑09 ноя 2019, 00:32
Отключение НАТа на UBNT не вариант, т.к. тогда пропадет(?) доступ для РС1 к подсетям на микротиках...
С чего бы?
При добавленных на микротики машрутах это то как раз должно работать и без NAT'а.
Вот по поводу балансировки и выхода наружу, там да, не уверен, что ничего не поломается, если NAT отключить. Возможно надо будет переделывать.
Но попробовать то вам ничто не мешает.
Либо делать тогда избирательный NAT: то, что наружу - NATить, то, что в микротиковские подсети - нет.
И ещё такой момент, если вдруг на EdgeRouter'e firewall работает, то там тоже надо его настаивать, чтобы он пропускал трафик из микротиковских подсетей внутрь.
Re: Доступ к LAN второго (верхнего) маршрутизатора
Добавлено: 13 ноя 2019, 01:52
overseerua
SOLUTION
MT1 (R2):
Add route 192.168.1.0/24 192.168.2.87
MT2 (R3):
Add route 192.168.1.0/24 192.168.3.55
ERX (R1): Firewall/NAT -> Firewall Policies
WAN_IN drop --> accept
WAN_LOCAL drop --> accept