Не работаю две подсети на одном бридже

[Stvan]

Есть две подсети, основная со всеми компами - 192.168.0.0/24 и дополнительная с телефонией, камерами и другими устройствами - 192.168.1.0/24. Обе подключены в один порт микротика. Разделить пока нельзя, может быть позже. Один провайдер через ppp.
DHCP нет, все адреса статические.
Проблема в том, что все из основной сети работает, а из второй как-то странно. Такое ощущение, что все идет мимо файрвола, ни одно правило, которое касается второй подсетки не показывает пакеты, все по нулям. Однако телефония работает. Зато сигналка из этой же подсети не проходит наружу.
Где-то что-то надо донастроить.

Код: Выделить всё

/ip/address
0   192.168.1.1/24     192.168.1.0      bridge
1   192.168.0.160/24   192.168.0.0      bridge
2 D --------------/32 ----------------  pppoe-out1

Код: Выделить всё

/ip/firewall/nat
0    ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN
ipsec-policy=out,none

[Erik_U]

Не понятно ничего из вашего рассказа.

Опишите подробно, что вы хотели настроить. Какую задачу решаете.
Опишите, как настроили (конфиг приложите).

А пока только "повесил 2 адреса, а счетчик на правилах не идет". Если счетчик не идет, значит обрабатываемые пакеты не соответствуют вашему правилу.

[Stvan]

Конфиг чего? Файрвола? Так в том то и дело, что даже при минимальном конфиге я не вижу, чтобы из второй сети что-то шло.

Вот два правила самых первых:

Код: Выделить всё

add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked log-prefix=Un1
add action=accept chain=forward src-address-list=192.168.1.27/24

Второе из них для проверки и по нему пусто. Хотя на этом адресе телефон висит и он работает.

Задача, чтобы из обоих сетей был доступ в интернет и им можно было управлять правилами файрвола.
Я в настройке микротика совсем чайник, так что даже не уверен, где именно не работает. Буду благодарен, если кто-то ткнет куда копать.

[Erik_U]

Прочтите здесь то, что написано красным.
viewforum.php?f=15

Двух строк конфигурации и ваших ярких эмоций не достаточно для оценки ситуации.
Не будет выполнена красная рекомендация, вы скорее всего не получите помощи.
Настроить микротик так, чтобы он не работал можно миллионом способов. Заниматься угадыванием ваших "достижений" скучно.
Я доступно объяснил?

[Stvan]

Вы доступно объяснили, но пока не очень помогает. Я прочитал что написано красным и это все сделано. Единственно я не вывалил полный конфиг, но если вы считаете, что это необходимо, могу выгрузить завтра. Предположил, что весь конфиг никто читать не будет сходу и попросят конкретную часть, если нужно.

По поводу эмоций не понял. Ну да ладно.

[Erik_U]

Почему вас уговаривать приходится?

Если счетчик не идет, значит обрабатываемые пакеты не соответствуют вашему правилу.

Вот ваше правило.

Код: Выделить всё

add action=accept chain=forward src-address-list=192.168.1.27/24

Вы уверены, что у вас есть пакеты, которые ему соответствуют?
Что есть адрес лист, который именно так и называется?
Что этот адрес-лист содержит тот источник, пакеты от которого вы пытаетесь обработать?
Вы уверены, что это единственный косяк?

Здесь никто не сможет вам ответить на эти вопросы без полного конфига.

Вы уж выберете, вы "в настройке микротика совсем чайник", или вы достаточно компетентны, чтобы решать, будут читать весь конфиг, или нет. А то не ясно, вам помощь нужна, или вы у нас тут экзамен принимаете? :)

[bst-botsman]

Код: Выделить всё

add action=accept chain=forward src-address-list=192.168.1.27/24

Ну и что Вы хотите увидеть??? У Вас вместо адрес-листа указан IP-адрес... Будьте плиз внимательнее...

[Stvan]

Почему вас уговаривать приходится?

Да где? Вы дали ссылку на FAQ, я его прочитал и сразу написал, что выложу конфиг завтра. Объяснил почему не выложил сразу.

Вы уверены, что у вас есть пакеты, которые ему соответствуют?
Что есть адрес лист, который именно так и называется?
Что этот адрес-лист содержит тот источник, пакеты от которого вы пытаетесь обработать?
Вы уверены, что это единственный косяк?

Ну и что Вы хотите увидеть??? У Вас вместо адрес-листа указан IP-адрес... Будьте плиз внимательнее...

Нет, Нет, Нет, Не уверен.
Понял косяк, поправил. Спасибо.

Вы уж выберете, вы "в настройке микротика совсем чайник", или вы достаточно компетентны, чтобы решать, будут читать весь конфиг, или нет. А то не ясно, вам помощь нужна, или вы у нас тут экзамен принимаете? :)

Да не принимаю я экзамен. Жаль, что так показалось.

Полный конфиг:

 

Код: Выделить всё

# 2025-04-08 08:09:09 by RouterOS 7.15.3
#
# model = RB3011UiAS
# serial number = NUMBER
/interface bridge
add admin-mac=MAC auto-mac=no comment=defconf name=bridge \
    port-cost-mode=short
/interface ethernet
set [ find default-name=sfp1 ] disabled=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 user=\
    USER
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2 \
    internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3 \
    internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4 \
    internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5 \
    internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether6 \
    internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether7 \
    internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether8 \
    internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether9 \
    internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether10 \
    internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp1 \
    internal-path-cost=10 path-cost=10
add bridge=bridge disabled=yes ingress-filtering=no interface=ether1 \
    internal-path-cost=10 path-cost=10
/ip firewall connection tracking
set udp-timeout=10s
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=ether1 list=WAN
add interface=bridge list=LAN
add interface=pppoe-out1 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=192.168.0.160/24 interface=bridge network=192.168.0.0
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1 use-peer-dns=no
/ip dhcp-server
add address-pool=default-dhcp disabled=yes interface=bridge lease-time=10m \
    name=defconf
/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf gateway=192.168.0.160 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.168.0.160 comment=defconf name=router.lan
/ip firewall address-list
add address=192.168.0.93 list=Servers
add address=192.168.0.180 list=Servers
add address=192.168.0.91 list=Site
add address=192.168.0.190 list="DNS server"
add address=192.168.0.200 list="Server 1C"
add address=10.10.10.10 list="Signalka server"
add address=npchk.nalog.ru list=Nalog
add address=api.orgregister.1c.ru list=Nalog
add address=10.10.10.10 list="Kassa server"
add address=192.168.0.108 list=Kassa
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward src-address=192.168.1.0/24
add action=accept chain=forward dst-address-list=\
    "Signalka server" src-address=192.168.1.50
add action=accept chain=forward dst-address=\
    192.168.1.50 src-address-list="Signalka server"
add action=accept chain=forward \
    src-address-list="Server 1C"
add action=accept chain=forward dst-address-list="Kassa server" \
    src-address-list=Kassa
add action=accept chain=forward dst-address-list=Kassa \
    src-address-list="Kassa server"
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid log-prefix="Drop invalid"
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="DNS server accept input udp" protocol=\
    udp src-address-list="DNS server"
add action=accept chain=output comment="DNS server accept output udp" \
    dst-address-list="DNS server" protocol=udp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN log-prefix="Drop not from LAN"
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid log-prefix="Drop invalid forward"
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=input comment="Servers drop input" disabled=yes \
    log-prefix="Drop input servers" src-address-list=Servers
add action=drop chain=output comment="Servers drop output" dst-address-list=\
    Servers
add action=drop chain=forward comment="Servers drop forward" \
    src-address-list=Servers
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=80 \
/ip proxy
set enabled=yes port=3128
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/lcd
set time-interval=hour
/routing bfd configuration
add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5
/system clock
set time-zone-name=Zone
/system identity
set name=Gateway
/system logging
add disabled=yes topics=debug
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[Stvan]

После исправления правила add action=accept chain=forward src-address=192.168.1.0/24
пакеты пошли.

Я его отрубаю и смотрю правила
add action=accept chain=forward dst-address-list="Signalka server" src-address=192.168.1.50
add action=accept chain=forward dst-address=192.168.1.50 src-address-list="Signalka server"

Все по нулям, хотя сниффером я вижу, что сигналка 192.168.1.50 стучится на микротик.

[Erik_U]

у вас
на 1 порту PPPOE, с выходом наружу. Какой IP получает клиент информации нет. И порт и клиент включены в лист WAN
Остальные порты собраны в бридж. Бридж включен в лист LAN
На бридже 2 адреса - 192.168.1.1/24 и 192.168.0.160/24
Поднят НАТ наружу через интерфес-лист WAN.


адрес лист у вас такой
add address=10.10.10.10 list="Signalka server"

Т.е. это не локальная сеть, этот адрес где-то снаружи за натом. В сторону "Signalka server" пакеты от вас улетают через НАТ и PPPOE-клиент.
Чтобы от него прилетали пакеты, нужно, чтобы в этой чужой сети 10.хх.хх.хх был маршрут до ваших сетей 92.168.1. и 92.168.0. Иначе пакеты не придут.

Эту строку я не понял.
add action=dst-nat chain=dstnat dst-port=80 \
что она делает? Слеш стоит, а продолжения нет.
Много мусора в конфиге.