Проблема с настройкой NAT и Firewall

[rasdore404]

Доброго времени суток, Hарод, подскажите пожалуйста.
У меня сеть из двух микротиков:
1. eth1 - интернет, eth2 - vlan4, eth3 - vlan5 , eth4 - trunk
2. eth1 - trunk, eth2 - vlan4, eth3 - vlan5, eth4 - vlan6
Все вланы создал на 1-ом микротике(с соответсвующими id), кинул их в bridge1(включил vlan filtering), для моста указал порты eth2, eth3, eth4 на bridge1 (в настройках vlan указал для портов - для eth2, eth3 указал pvid 4 и 5 и отправлять только нетегированные пакеты. Для eth4(trunk) указал pvid - 1 - только тегированные. Во вкладке VLANs сделал следующее:
bridge1 VLAN ID - 4 Tagged - eth4, bridge1 Untagged - eth2
bridge1 VLAN ID - 5 Tagged - eth4, bridge1 Untagged - eth3
bridge1 VLAN ID - 6 Tagged - eth4, bridge1

Добавил списки адрессов в Address List для каждой подсети (192.168.4.1/24 192.168.4.0 vlan4, соответсвенно для двух остальных)
Задал пуллы адрессов для всех подсетей, настроил DHCP(не буду рассказывать подробно т.к. работает исправно) и добавил nat для 4 и 6 подсетей(masquerade scrnat 192.168.24.0/24 Outupt int. - eth1).
Далее настроил подобным образом свой второй микротик, тоже не буду писать т.к. там все аналогично и даже меньше шагов.
Собственно проблема: При подключении 1-ого микротик к провайдеру в eth1, при подключении Пк в eth2 NAT не работает также как и любые правила которые я прописываю в firewall rules, аналогично не работает ни один другой порт, Но в какой бы порт я не подключился DHCP присваивает правильные адреса для устройств из заданного пулла адрессов и по правильным подсетям (допустим при подкл. в eth2 на первом микротик я получаю ip - 192.168.4.254). Не судите строго! Если кто либо поможет, буду очень благодарен, спасибо!

[karton]

А куда назначали адреса 192.168.4.1 и т.п.? Я на CHR сейчас проверил как это можно реализовать, получилась примерно такая схема: Создаём бридж и в нём вланы с портами и VLANs (как вы и сделали), а потом во вкладке Interfaces создаём VLAN, указываем VLAN ID и в качестве интерфейса выбираем тот самый bridge, после в IP - Addresses добавляем на этот интерфейс нужный IP, к примеру 192.168.4.1, ну и на компах проверяем пинг до этого адреса

[rasdore404]

Назначил 192.168.4.1 на vlan4, 192.168.5.1 на vlan5, 192.168.6.1 на vlan6.
Т.е. если брать по Вашим словам "в IP - Addresses добавляем на этот интерфейс нужный IP" - я именно назначал вланы для айпишников.

[rasdore404]

Проблема как раз таки в том что я не могу пингануть пк допустим из 4 сети к пк 5 сети, а в 4-ой сети настроен nat для компов, но я опять же не могу даже 8.8.8.8 пингануть.

[karton]

А узлы из vlan пингуют интерфейсы микротика который должен быть их шлюзом? К примеру пк из сети 4 адрес 192.168.4.1 который должен быть на микротике

[rasdore404]

Да, пк из подсетей (н.п. из 6ой) пингуют свои шлюзы(192.168.6.1). Т.е. как я понимаю - транк у меня точно настроен правильно.

[karton]

Отправьте конфигурацию первого микротика, думаю там будет более понятно как и что настроено и в чём проблема

[rasdore404]

https://cloud.mail.ru/public/vggK/FGce6d75m

[karton]

У вас вот такое правило в firewall filter внизу, оно и не давало пинговать 8.8.8.8 и всё остальное.

Код: Выделить всё

chain=forward action=drop log=no log-prefix=""

У вас согласно ему ответы от внешних узлов не проходили, под первое правило они не подходили потому что у них адрес источника был уже не 192.168.24.0/24, а 8.8.8.8 (к примеру). Трафик между vlan вы ограничили сами в правилах 1-4, поэтому между ними тоже ничего нет, там по такой же логике, если отправитель был 192.168.24.0/24 то запросы доходили до узлов, но ответы не приходили из-за правил ниже, т.к. не попадали под первое из-за смены адреса источника. В общем если убрать последнее правило то сеть 192.168.24.0/24 получает доступ в интернет, остальные нет, тут уже какие у вас задачи стоят, смотрите сами.

[rasdore404]

В том то и дело что даже без последнего правила доступа в интернет нет (я не утверждаю что у Вас аналогично). В этом вся проблема что даже при настройке без drop forward и с правильным nat узел подключенный в eth2 в сеть 24 не получает доступ в интернет. А при пинге двух узлов из 24 в 25, из 25 в 24 получаю вот такой результат. Нормально ли это с учетом моих правил?