Перейти к содержимому
Калькуляторы

Разделить сеть на под сети. Mikrotik CRS226-24G-2S+RM

Добрый день. Помогите пожалуйста улучшить работу сети, знаний не хватает хоть и закончил успешно курс CCNA Маршрутизация и коммутация. Введение в сетевые технологии (маршрутизации в курсе нет) и продолжаю изучение сетевых технологий. Исходные данные вот какие:

1. Есть сеть 10.169.169.0/24 в 1 здании, сеть 10.169.185.0/24 во 2 здании.

2. К маршрутизатору в синем треугольничке у меня доступа нет, он опечатан в шкафу и принадлежит нашей вышестоящей организации, за ним есть кое какие сервисы, которые доступны только для сетей 10.169.169.0/24 и 10.169.185.0/24

3. Сеть 10.169.169.0/24 разрослась до такого размера что стало не хватать ip адресов.

4. Mikrotik CRS226-24G-2S+RM в данный момент работает как простой коммутатор, ip адрес ether1-master 10.169.169.211

5. Контроллер домена с ролями DHCP, DNS ip 10.169.169.50/24

6. Kerio Control 10.169.169.51

 

Вывел 24 порт из master, назначил ему адрес 192.168.10.1/24, настроил DHCP Server на этом порту с основным шлюзом 192.168.10.1 и днс 10.169.169.50 подключил к нему ноутбук адрес он получил. Пинг идет до 10.169.169.211 но до сервера 10.169.169.50, интернет шлюза 10.169.169.51 и шлюза 10.169.169.1 не идет. Вот думаю как настроить маршрутизацию. Или я не по тому пути иду? Знаю что надо нарезать сеть на под сети.

 

Без названия.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, marat-209 сказал:

до сервера 10.169.169.50, интернет шлюза 10.169.169.51 и шлюза 10.169.169.1 не идет

Они ничего не знают о 192.168.10.0/24. Раз ничего с корпоративным шлюзом сделать не можете/хотите - на 10.169.169.51 добавляйте маршрут до 192.168.10.0, а в сторону 10.169.169.1 на CRS включайте NAT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и crs (коммутатор) благополучно помрёт от ната... 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 hour ago, DRiVen said:

Они ничего не знают о 192.168.10.0/24. Раз ничего с корпоративным шлюзом сделать не можете/хотите - на 10.169.169.51 добавляйте маршрут до 192.168.10.0, а в сторону 10.169.169.1 на CRS включайте NAT.

В принципе некоторым подсетям шлюз с интернетом не нужен. Нужен только шлюз 10.169.169.1 и ДНС 10.169.169.50 на котором я могу прописать маршрут в 192.168.10.0. Как я понял мне надо выделить свободный ip адрес из сети 10.169.169.0 например 10.169.169.254 и за ним разместить сеть 192.168.10.0?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@korsakik , во-первых CRS такой же коммутатор, как я архиерей, а во-вторых - уверены, что там серьезная нагрузка? Без файрвола он занатит пару сотен мегабит, для примера: у нас с подсети в >200 машин и полностью вынесенными в удаленный ЦОД серверами трафик не поднимается выше 50мбит.

 

@marat-209 , да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Либо делать роутинг т.е. есть прямой маршрут и обратный.

 

У вас клиент из сети 192.168.10.0/24 знает о только маршут 0.0.0.0/0  но сети 10.169.169.0/24 и 10.169.185.0/24 не знают, что за 10.169.169.211 есть сеть 192.168.10.0/24.

 

Есть 2 варианта либо на сервисах прописывать маршут 192.168.10.0/24 находится за 10.169.169.211

Либо на пограничном маршутизаторе который для этих сервисов является шлюзом по умолчанию прописывать маршут. 

 

Либо как писали выше использовать нат, но если вы включите нат, у вас весь трафик будет ходить через IP->Firewall->Connections Tracking(трансляции ната).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С натом тоже пока отдаленно знаком. Подскажите пожалуйста как его включить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@pingz , роутинг? Вы стартовый пост читали?

5 часов назад, marat-209 сказал:

К маршрутизатору в синем треугольничке у меня доступа нет, он опечатан в шкафу и принадлежит нашей вышестоящей организации

И с чего вдруг

1 час назад, pingz сказал:

если вы включите нат, у вас весь трафик будет ходить через IP->Firewall->Connections Tracking(трансляции ната).

?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

настроил нат ip firewall nat add chain=srcnat  out-interface=ether24 action=masquerade

пинги не идут до 10.169.169.1

 

команда ip route print 

 0 A S  0.0.0.0/0                          10.169.169.1              1
 1 ADC  10.169.169.0/24    10.169.169.211  ether1-master             0
 2 ADC  192.168.10.0/24    192.168.10.1    ether24                   0
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@DRiVen Я читал этот пост, у нас религия не позволяет написать служебную записку руководству, у них голова большая пусть думают. Если вы привыкли удалять гланды через ухо и это норма то извините. 

 

По поводу весь трафик будет ходить через нат.

 

Если человек настроит нат то, то весь трафик и роуты в том числе у него буду ходить через конекшен трекинг, чем он загрузит железку. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, pingz сказал:

у нас религия не позволяет написать служебную записку руководству

Судя по выбранной адресации вряд ли это согласованное подключение.

 

1 час назад, pingz сказал:

Если человек настроит нат то, то весь трафик и роуты в том числе у него буду ходить через конекшен трекинг, чем он загрузит железку.

Совсем не обязательно натить все.

/ip firewall nat add action=src-nat chain=srcnat dst-address=[сети за 10.169.169.1] src-address=192.168.10.0/24 to-address 10.169.169.211

/ip route add distance=1 dst-address=[сети за 10.169.169.1] gateway=10.169.169.1

/ip route add distance=1 dst-address=0.0.0.0/0 gateway=10.169.169.51

 

ну и на Kerio маршрут до 192.168.10.0/24 и ее же в пул ната.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, DRiVen сказал:

Судя по выбранной адресации вряд ли это согласованное подключение.

 

Совсем не обязательно натить все.

/ip firewall nat add action=src-nat chain=srcnat dst-address=[сети за 10.169.169.1] src-address=192.168.10.0/24 to-address 10.169.169.211

/ip route add distance=1 dst-address=0.0.0.0/0 gateway=10.169.169.51

 

Если включаешь на микротике конекшен трекинг(он нужен для ната) нат трансляций и маршутизация записывается в эту таблицу. 

Если он будет гонять 50-100 мб\с то думаю, будет норм, но если больше?

 

У человека уже есть пул, пул из серой сети. Я не вижу проблемы согласовать хоть 2-6 подсетей с маской /24

 

Городить нат это последнее дело особенно на коммутаторе. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

33 минуты назад, pingz сказал:

Я не вижу проблемы согласовать хоть 2-6 подсетей с маской /24. Городить нат это последнее дело особенно на коммутаторе.

Я не знаю, что движет ТС, предположение о причине вы прочли. Исходя из опыта работы в очень крупной конторе скажу, что иной раз, как говорят дамы, "проще дать, чем объяснить почему нет", поскольку порой даже самый простой запрос встречает отказ из-за нежелания прямого начальства разбираться в необходимости и хоть на йоту отступить от принятой костной схемы. "Исполняться должно прямо сейчас, вы там как-нибудь извернитесь, но помогать мы ничем не будем, или возможно будем, но как-нибудь потом". Можно конечно итальянскую забастовку, но пользователи будут страдать. В итоге имеем окаменелые регламенты и костыли от исполнителей.

 

P.S>Фактически это не коммутатор, как бы его не обозвал МТ, хотя костыля это конечно не отменяет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, DRiVen сказал:

Я не знаю, что движет ТС, предположение о причине вы прочли. Исходя из опыта работы в очень крупной конторе скажу, что иной раз, как говорят дамы, "проще дать, чем объяснить почему нет", поскольку порой даже самый простой запрос встречает отказ из-за нежелания прямого начальства разбираться в необходимости и хоть на йоту отступить от принятой костной схемы. "Исполняться должно прямо сейчас, вы там как-нибудь извернитесь, но помогать мы ничем не будем, или возможно будем, но как-нибудь потом". Можно конечно итальянскую забастовку, но пользователи будут страдать. В итоге имеем окаменелые регламенты и костыли от исполнителей.

 

P.S>Фактически это не коммутатор, как бы его не обозвал МТ, хотя костыля это конечно не отменяет.

Прям здесь и сейчас можно собрать нат, но всё же на будущее нужно, договариваться на более оптимальные схемы. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правильно ли будет написать в выше стоящую контору и сказать - ребята выделите еще одно адресное пространство например 10.190.190.0/24 т.к. то что вы дали я израсходовал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 29.03.2018 в 22:50, DRiVen сказал:

И с чего вдруг

?

Любое правило ната и firewall включает connection tracking.

 

В 29.03.2018 в 20:04, DRiVen сказал:

@korsakik , во-первых CRS такой же коммутатор, как я архиерей

 

@marat-209

а что это тогда, роутер или вафельница может быть??????

 

Цитата

а во-вторых - уверены, что там серьезная нагрузка? Без файрвола он занатит пару сотен мегабит

в роутерос с маршрутизацией и попутными примочками он умрёт и раньше 200 мбит, по крайней мере будет работать нестабильно. Нельзя использовать железку которая предназначена для другого в этих целях. И потом начинается бунД на тему "тик решето, тик говно" и подобное.

 

 

В коммутаторе есть "железные функции", такие как vlan, lag и что-то ещё, вы всё это отсекаете прочь, включете роутерос и всё работает через слабый процессор предназначенный для банального управления железкой и некоторых функций коммутатора. И тут вы ещё хотите этот чип добить окончательно натом.

Господи, позвоните и договоритесь по-нормальному с коллегой.

 

Буквально вчера была схожая (по маразму) ситуация у коллеги с ржд, надо в отдел ВЧС сделать 40м от узла, говорю кинь витую, ему говорят "нет, только дсл и модемы zyxel по 12к за шт" почему? "если в кабель попадёт молния, то сгорят только модемы".

Изменено пользователем korsakik

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

23 часа назад, korsakik сказал:

Буквально вчера была схожая (по маразму) ситуация у коллеги с ржд, надо в отдел ВЧС сделать 40м от узла, говорю кинь витую, ему говорят "нет, только дсл и модемы zyxel по 12к за шт" почему? "если в кабель попадёт молния, то сгорят только модемы".

Если в кабель попадет молния, могут сгореть модемы, все устройства подключенные к ним и компьютеры и экраны могут посинеть или позеленеть.

 

Была как то сетка в школьном прошлом молния ударила в кабель выгорело почти всё, что не сгорело позже получалось и умерло. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 31.03.2018 в 03:13, korsakik сказал:

Любое правило ната и firewall включает connection tracking.

И что? По вашему после этого железка умирает? )

 

В 31.03.2018 в 03:13, korsakik сказал:

а что это тогда, роутер или вафельница может быть??????

Это фактически роутер с многопортовым коммутатором, на борту RouterOS, не SwitchOS

 

В 31.03.2018 в 03:13, korsakik сказал:

В коммутаторе есть "железные функции", такие как vlan, lag и что-то ещё, вы всё это отсекаете прочь, включете роутерос и всё работает через слабый процессор предназначенный для банального управления железкой и некоторых функций коммутатора.

Для ТС не нужны vlan, вы стартовый пост вообще читали?

 

В 31.03.2018 в 03:13, korsakik сказал:

в роутерос с маршрутизацией и попутными примочками он умрёт и раньше 200 мбит

Какими примочками? Железка внутри ЛКС стоит. И я уже писал о средней загрузке каналов, если все хосты не гоняют поголовно гигагбитные файлы - там не будет и сотки.

 

В 01.04.2018 в 02:46, pingz сказал:

Если в кабель попадет молния, могут сгореть модемы, все устройства подключенные к ним и компьютеры и экраны могут посинеть или позеленеть.

Это происходит, даже если она попадает рядом. Удар в 50 метрах вывел из строя коммутатор и все, что с него подключено, кроме этого еще кучу бытовой электроники, просто включенной в силовую сеть. Но DSL менее чувствительна, в вот слаботочный Ethernet "летит" много чаще, даже от статики, не говоря уж о разряде. В обслуге имеется куча DSL на воздушках и выходы из строя нечасты, несмотря на довольно сильную атмосферную активность.

 

ТС, простите за оффтоп.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 3/31/2018 at 2:13 AM, korsakik said:

Любое правило ната и firewall включает connection tracking.

Можно убрать ненужные подсети из connection tracking прописав no track в RAW таблице.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Получил адресное пространство 10.169.99.0/24 шлюз 10.169.99.1

 

Присвоил 24 порту адрес 10.169.99.2/24, настроил DHCP на нем. Пинги не идут почему то. но 10.169.99.2 пингуется. В чем может быть проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 hours ago, marat-209 said:

Получил адресное пространство 10.169.99.0/24 шлюз 10.169.99.1

 

Присвоил 24 порту адрес 10.169.99.2/24, настроил DHCP на нем. Пинги не идут почему то. но 10.169.99.2 пингуется. В чем может быть проблема?

С микротика вашего шлюз 10.169.99.1 не пингается ? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.