Страница 1 из 1
Несколько подсетей
Добавлено: 18 окт 2018, 14:27
vkhacker
Здравствуйте!
Пытаюсь настроить несколько подсетей. На первом порту одна подсеть, на втором - вторая.
Конфиг:
Код: Выделить всё
/ip address
add address=192.168.10.1/27 interface=ether2 network=192.168.10.0
add address=192.168.1.40/24 interface=ether1 network=192.168.1.0
/ip dns
set allow-remote-requests=yes servers=192.168.1.1
/ip firewall mangle
add action=mark-routing chain=prerouting connection-state=established,related,new \
dst-address=192.168.1.0/24 in-interface=ether2 new-routing-mark=\
routing_network_adm passthrough=no src-address=192.168.10.0/27
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=ether1 routing-mark=\
routing_network_adm
На данный момент мне требуется получить доступ из подсети 192.168.10.0/27 в подсеть 192.168.1.0/24 (видны только 192.168.1.1 и 192.168.1.40).
У подсети 192.168.1.0/24 данный микротик не является основным шлюзом. А у подсети 192.168.10.0/27 - является.
Что-то делаю неправильно, подскажите.
Re: Несколько подсетей
Добавлено: 18 окт 2018, 15:06
denibeer
Вам нет необходимости писать в ip firewall mangle какие либо правила, после добавления ip адресов в микротик, он сам добавляет маршруты на интерфейсы. Чтобы компьютеры из разных подсетей видели друг друга, вам необходимо прописать маршруты на самих компьютерах, где шлюзом будет адрес микротика из то же подсети в которой находится компьютер. Есть несколько вариантов решения этой задачи. Первый на всех копмпьютерах установлен шлюз по умолчанию адрес микротика. Второй прописать маршрут в другую сеть отдельно. Можно настроив на микротике DHCP сервер передавать маршруты компьютерам, например через опцию 249
Re: Несколько подсетей
Добавлено: 18 окт 2018, 15:31
vkhacker
Для подсети 192.168.10.0/27 - основной шлюз 192.168.10.1 (то есть этот микротик).
DHCP обязательно будет организован.
И хотелось чтобы только выборочные клиенты из подсети 192.168.10.0/27 имели доступ к определенным хостам из подсети 192.168.1.0/24 С опцией 249 это возможно? Или лучше как-то иначе?
Re: Несколько подсетей
Добавлено: 18 окт 2018, 15:48
denibeer
vkhacker писал(а): ↑18 окт 2018, 15:31
И хотелось чтобы только выборочные клиенты из подсети 192.168.10.0/27 имели доступ к определенным хостам из подсети 192.168.1.0/24
Правильнее разрешить форвард в ip firewall filrer только тем адресам с которых можно и запретить всем остальным
Re: Несколько подсетей
Добавлено: 18 окт 2018, 16:39
vkhacker
С опцией 249 поразбирался, но не получилось пока что ничего хорошего. По сути она разве сейчас нужна?
Клиент: 192.168.10.30/27, основной шлюз 192.168.10.1 (это микротик)
Сервер: 192.168.1.68
С сервера к клиенту пинг есть (прописан маршрут на основном шлюзе сервера 192.168.1.1)
А с клиента на сервер нет пинга (вернее иногда первый пакет пинга проходит успешно) и через telnet на порт тоже нет связи. Статический маршрут до 192.168.1.0/24 прописался после установки адреса на порт ether1. Вот собственно вся суть вопроса данной темы.
Re: Несколько подсетей
Добавлено: 18 окт 2018, 17:51
denibeer
Покажите /ip firewall filter export
И ip firewall nat export
В mangie и raw в вашем случае ничего быть не должно
Re: Несколько подсетей
Добавлено: 19 окт 2018, 08:17
vkhacker
Я ничего пока туда не добавлял. NAT не нужен вовсе. mangle пуст.
Re: Несколько подсетей
Добавлено: 19 окт 2018, 08:37
denibeer
vkhacker писал(а): ↑19 окт 2018, 08:17
Я ничего пока туда не добавлял. NAT не нужен вовсе. mangle пуст.
Значит у вас все правильно, проверяйте настройки брадмауэра на сервере, скорее всего это он блокирует пакеты из других сетей. Попробуйте его пока отключить
Re: Несколько подсетей
Добавлено: 19 окт 2018, 09:00
vkhacker
Я попробовал на Windows 7 отключить брандмауер и Службу базовой фильтрации. Проверял связь 192.168.10.30 -> 192.168.1.70 (не соединяется, не пингуется)
192.168.1.70 -> 192.168.10.30 (соединяется, пингуется)
В общем проблема не связана с брандмауером. Устройства на Linux пингуются, Windows server 2003/2008R2 и Windows 7 - нет. Некоторые роутеры пингуются, некоторые нет. Проблема уже и не касается Микротика. Нашел проблему (скажем так), но пока не знаю в чем она заключается. Спасибо за комментарии. Хотя бы от mangle избавлюсь.
Если включить NAT, то связь появится, но увы, мне это не подходит.
Re: Несколько подсетей
Добавлено: 19 окт 2018, 10:03
vkhacker
Решил проблему!
У микротика на интерфейсе ether1 установил новый IP 192.168.20.2/30, сеть 192.168.20.0
У шлюза на интерфейсе, идущего к микротику установил IP 192.168.20.1/30, сеть 192.168.20.0
Прописал маршрут на микротике:
Код: Выделить всё
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.1
Также добавил обратный маршрут на шлюзе 192.168.20.1
И всё работает!