Jump to content
Калькуляторы

Разделить сеть на под сети. Mikrotik CRS226-24G-2S+RM

Добрый день. Помогите пожалуйста улучшить работу сети, знаний не хватает хоть и закончил успешно курс CCNA Маршрутизация и коммутация. Введение в сетевые технологии (маршрутизации в курсе нет) и продолжаю изучение сетевых технологий. Исходные данные вот какие:

1. Есть сеть 10.169.169.0/24 в 1 здании, сеть 10.169.185.0/24 во 2 здании.

2. К маршрутизатору в синем треугольничке у меня доступа нет, он опечатан в шкафу и принадлежит нашей вышестоящей организации, за ним есть кое какие сервисы, которые доступны только для сетей 10.169.169.0/24 и 10.169.185.0/24

3. Сеть 10.169.169.0/24 разрослась до такого размера что стало не хватать ip адресов.

4. Mikrotik CRS226-24G-2S+RM в данный момент работает как простой коммутатор, ip адрес ether1-master 10.169.169.211

5. Контроллер домена с ролями DHCP, DNS ip 10.169.169.50/24

6. Kerio Control 10.169.169.51

 

Вывел 24 порт из master, назначил ему адрес 192.168.10.1/24, настроил DHCP Server на этом порту с основным шлюзом 192.168.10.1 и днс 10.169.169.50 подключил к нему ноутбук адрес он получил. Пинг идет до 10.169.169.211 но до сервера 10.169.169.50, интернет шлюза 10.169.169.51 и шлюза 10.169.169.1 не идет. Вот думаю как настроить маршрутизацию. Или я не по тому пути иду? Знаю что надо нарезать сеть на под сети.

 

Без названия.jpg

Share this post


Link to post
Share on other sites

1 час назад, marat-209 сказал:

до сервера 10.169.169.50, интернет шлюза 10.169.169.51 и шлюза 10.169.169.1 не идет

Они ничего не знают о 192.168.10.0/24. Раз ничего с корпоративным шлюзом сделать не можете/хотите - на 10.169.169.51 добавляйте маршрут до 192.168.10.0, а в сторону 10.169.169.1 на CRS включайте NAT.

Share this post


Link to post
Share on other sites

1 hour ago, DRiVen said:

Они ничего не знают о 192.168.10.0/24. Раз ничего с корпоративным шлюзом сделать не можете/хотите - на 10.169.169.51 добавляйте маршрут до 192.168.10.0, а в сторону 10.169.169.1 на CRS включайте NAT.

В принципе некоторым подсетям шлюз с интернетом не нужен. Нужен только шлюз 10.169.169.1 и ДНС 10.169.169.50 на котором я могу прописать маршрут в 192.168.10.0. Как я понял мне надо выделить свободный ip адрес из сети 10.169.169.0 например 10.169.169.254 и за ним разместить сеть 192.168.10.0?

Share this post


Link to post
Share on other sites

@korsakik , во-первых CRS такой же коммутатор, как я архиерей, а во-вторых - уверены, что там серьезная нагрузка? Без файрвола он занатит пару сотен мегабит, для примера: у нас с подсети в >200 машин и полностью вынесенными в удаленный ЦОД серверами трафик не поднимается выше 50мбит.

 

@marat-209 , да.

Share this post


Link to post
Share on other sites

Либо делать роутинг т.е. есть прямой маршрут и обратный.

 

У вас клиент из сети 192.168.10.0/24 знает о только маршут 0.0.0.0/0  но сети 10.169.169.0/24 и 10.169.185.0/24 не знают, что за 10.169.169.211 есть сеть 192.168.10.0/24.

 

Есть 2 варианта либо на сервисах прописывать маршут 192.168.10.0/24 находится за 10.169.169.211

Либо на пограничном маршутизаторе который для этих сервисов является шлюзом по умолчанию прописывать маршут. 

 

Либо как писали выше использовать нат, но если вы включите нат, у вас весь трафик будет ходить через IP->Firewall->Connections Tracking(трансляции ната).

Share this post


Link to post
Share on other sites

@pingz , роутинг? Вы стартовый пост читали?

5 часов назад, marat-209 сказал:

К маршрутизатору в синем треугольничке у меня доступа нет, он опечатан в шкафу и принадлежит нашей вышестоящей организации

И с чего вдруг

1 час назад, pingz сказал:

если вы включите нат, у вас весь трафик будет ходить через IP->Firewall->Connections Tracking(трансляции ната).

?

Share this post


Link to post
Share on other sites

настроил нат ip firewall nat add chain=srcnat  out-interface=ether24 action=masquerade

пинги не идут до 10.169.169.1

 

команда ip route print 

 0 A S  0.0.0.0/0                          10.169.169.1              1
 1 ADC  10.169.169.0/24    10.169.169.211  ether1-master             0
 2 ADC  192.168.10.0/24    192.168.10.1    ether24                   0
 

Share this post


Link to post
Share on other sites

@DRiVen Я читал этот пост, у нас религия не позволяет написать служебную записку руководству, у них голова большая пусть думают. Если вы привыкли удалять гланды через ухо и это норма то извините. 

 

По поводу весь трафик будет ходить через нат.

 

Если человек настроит нат то, то весь трафик и роуты в том числе у него буду ходить через конекшен трекинг, чем он загрузит железку. 

Share this post


Link to post
Share on other sites

1 час назад, pingz сказал:

у нас религия не позволяет написать служебную записку руководству

Судя по выбранной адресации вряд ли это согласованное подключение.

 

1 час назад, pingz сказал:

Если человек настроит нат то, то весь трафик и роуты в том числе у него буду ходить через конекшен трекинг, чем он загрузит железку.

Совсем не обязательно натить все.

/ip firewall nat add action=src-nat chain=srcnat dst-address=[сети за 10.169.169.1] src-address=192.168.10.0/24 to-address 10.169.169.211

/ip route add distance=1 dst-address=[сети за 10.169.169.1] gateway=10.169.169.1

/ip route add distance=1 dst-address=0.0.0.0/0 gateway=10.169.169.51

 

ну и на Kerio маршрут до 192.168.10.0/24 и ее же в пул ната.

Share this post


Link to post
Share on other sites

3 минуты назад, DRiVen сказал:

Судя по выбранной адресации вряд ли это согласованное подключение.

 

Совсем не обязательно натить все.

/ip firewall nat add action=src-nat chain=srcnat dst-address=[сети за 10.169.169.1] src-address=192.168.10.0/24 to-address 10.169.169.211

/ip route add distance=1 dst-address=0.0.0.0/0 gateway=10.169.169.51

 

Если включаешь на микротике конекшен трекинг(он нужен для ната) нат трансляций и маршутизация записывается в эту таблицу. 

Если он будет гонять 50-100 мб\с то думаю, будет норм, но если больше?

 

У человека уже есть пул, пул из серой сети. Я не вижу проблемы согласовать хоть 2-6 подсетей с маской /24

 

Городить нат это последнее дело особенно на коммутаторе. 

Share this post


Link to post
Share on other sites

33 минуты назад, pingz сказал:

Я не вижу проблемы согласовать хоть 2-6 подсетей с маской /24. Городить нат это последнее дело особенно на коммутаторе.

Я не знаю, что движет ТС, предположение о причине вы прочли. Исходя из опыта работы в очень крупной конторе скажу, что иной раз, как говорят дамы, "проще дать, чем объяснить почему нет", поскольку порой даже самый простой запрос встречает отказ из-за нежелания прямого начальства разбираться в необходимости и хоть на йоту отступить от принятой костной схемы. "Исполняться должно прямо сейчас, вы там как-нибудь извернитесь, но помогать мы ничем не будем, или возможно будем, но как-нибудь потом". Можно конечно итальянскую забастовку, но пользователи будут страдать. В итоге имеем окаменелые регламенты и костыли от исполнителей.

 

P.S>Фактически это не коммутатор, как бы его не обозвал МТ, хотя костыля это конечно не отменяет.

Share this post


Link to post
Share on other sites

9 часов назад, DRiVen сказал:

Я не знаю, что движет ТС, предположение о причине вы прочли. Исходя из опыта работы в очень крупной конторе скажу, что иной раз, как говорят дамы, "проще дать, чем объяснить почему нет", поскольку порой даже самый простой запрос встречает отказ из-за нежелания прямого начальства разбираться в необходимости и хоть на йоту отступить от принятой костной схемы. "Исполняться должно прямо сейчас, вы там как-нибудь извернитесь, но помогать мы ничем не будем, или возможно будем, но как-нибудь потом". Можно конечно итальянскую забастовку, но пользователи будут страдать. В итоге имеем окаменелые регламенты и костыли от исполнителей.

 

P.S>Фактически это не коммутатор, как бы его не обозвал МТ, хотя костыля это конечно не отменяет.

Прям здесь и сейчас можно собрать нат, но всё же на будущее нужно, договариваться на более оптимальные схемы. 

Share this post


Link to post
Share on other sites

Правильно ли будет написать в выше стоящую контору и сказать - ребята выделите еще одно адресное пространство например 10.190.190.0/24 т.к. то что вы дали я израсходовал?

Share this post


Link to post
Share on other sites

В 29.03.2018 в 22:50, DRiVen сказал:

И с чего вдруг

?

Любое правило ната и firewall включает connection tracking.

 

В 29.03.2018 в 20:04, DRiVen сказал:

@korsakik , во-первых CRS такой же коммутатор, как я архиерей

 

@marat-209

а что это тогда, роутер или вафельница может быть??????

 

Цитата

а во-вторых - уверены, что там серьезная нагрузка? Без файрвола он занатит пару сотен мегабит

в роутерос с маршрутизацией и попутными примочками он умрёт и раньше 200 мбит, по крайней мере будет работать нестабильно. Нельзя использовать железку которая предназначена для другого в этих целях. И потом начинается бунД на тему "тик решето, тик говно" и подобное.

 

 

В коммутаторе есть "железные функции", такие как vlan, lag и что-то ещё, вы всё это отсекаете прочь, включете роутерос и всё работает через слабый процессор предназначенный для банального управления железкой и некоторых функций коммутатора. И тут вы ещё хотите этот чип добить окончательно натом.

Господи, позвоните и договоритесь по-нормальному с коллегой.

 

Буквально вчера была схожая (по маразму) ситуация у коллеги с ржд, надо в отдел ВЧС сделать 40м от узла, говорю кинь витую, ему говорят "нет, только дсл и модемы zyxel по 12к за шт" почему? "если в кабель попадёт молния, то сгорят только модемы".

Edited by korsakik

Share this post


Link to post
Share on other sites

23 часа назад, korsakik сказал:

Буквально вчера была схожая (по маразму) ситуация у коллеги с ржд, надо в отдел ВЧС сделать 40м от узла, говорю кинь витую, ему говорят "нет, только дсл и модемы zyxel по 12к за шт" почему? "если в кабель попадёт молния, то сгорят только модемы".

Если в кабель попадет молния, могут сгореть модемы, все устройства подключенные к ним и компьютеры и экраны могут посинеть или позеленеть.

 

Была как то сетка в школьном прошлом молния ударила в кабель выгорело почти всё, что не сгорело позже получалось и умерло. 

Share this post


Link to post
Share on other sites

В 31.03.2018 в 03:13, korsakik сказал:

Любое правило ната и firewall включает connection tracking.

И что? По вашему после этого железка умирает? )

 

В 31.03.2018 в 03:13, korsakik сказал:

а что это тогда, роутер или вафельница может быть??????

Это фактически роутер с многопортовым коммутатором, на борту RouterOS, не SwitchOS

 

В 31.03.2018 в 03:13, korsakik сказал:

В коммутаторе есть "железные функции", такие как vlan, lag и что-то ещё, вы всё это отсекаете прочь, включете роутерос и всё работает через слабый процессор предназначенный для банального управления железкой и некоторых функций коммутатора.

Для ТС не нужны vlan, вы стартовый пост вообще читали?

 

В 31.03.2018 в 03:13, korsakik сказал:

в роутерос с маршрутизацией и попутными примочками он умрёт и раньше 200 мбит

Какими примочками? Железка внутри ЛКС стоит. И я уже писал о средней загрузке каналов, если все хосты не гоняют поголовно гигагбитные файлы - там не будет и сотки.

 

В 01.04.2018 в 02:46, pingz сказал:

Если в кабель попадет молния, могут сгореть модемы, все устройства подключенные к ним и компьютеры и экраны могут посинеть или позеленеть.

Это происходит, даже если она попадает рядом. Удар в 50 метрах вывел из строя коммутатор и все, что с него подключено, кроме этого еще кучу бытовой электроники, просто включенной в силовую сеть. Но DSL менее чувствительна, в вот слаботочный Ethernet "летит" много чаще, даже от статики, не говоря уж о разряде. В обслуге имеется куча DSL на воздушках и выходы из строя нечасты, несмотря на довольно сильную атмосферную активность.

 

ТС, простите за оффтоп.

Share this post


Link to post
Share on other sites

On 3/31/2018 at 2:13 AM, korsakik said:

Любое правило ната и firewall включает connection tracking.

Можно убрать ненужные подсети из connection tracking прописав no track в RAW таблице.

 

Share this post


Link to post
Share on other sites

Получил адресное пространство 10.169.99.0/24 шлюз 10.169.99.1

 

Присвоил 24 порту адрес 10.169.99.2/24, настроил DHCP на нем. Пинги не идут почему то. но 10.169.99.2 пингуется. В чем может быть проблема?

Share this post


Link to post
Share on other sites

4 hours ago, marat-209 said:

Получил адресное пространство 10.169.99.0/24 шлюз 10.169.99.1

 

Присвоил 24 порту адрес 10.169.99.2/24, настроил DHCP на нем. Пинги не идут почему то. но 10.169.99.2 пингуется. В чем может быть проблема?

С микротика вашего шлюз 10.169.99.1 не пингается ? 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.