Jump to content
Калькуляторы

Как разрешить доступ между двумя подсетями

Доброго времени суток!

Есть 2 под сети одна 192.168.121.0/24  вторая на mikrotik 192.168.124.0/24

Как сделать так чтоб трафик между этими по сетями ПОЛНОСТЬЮ БЕЗ ОГРАНИЧЕНИЯ шол между собой в обе стороны

я сдел:

/ip firewall filter add chain=forward in-interface=ether2 out-interface=b124 action=accept    comment="Allow access 121 in 124"
/ip firewall filter add chain=forward in-interface=b124 out-interface=ether2 action=accept    comment="Allow access 124 in 121"

все вроде хорошо, но из 124 нельзя машину в домен зарегить потомучто что то блокируется. а из 121 подсети нельзя попасть по \\192.168.124.5\c$ так как блокируется порт 139 и 445.

а где они блокируются не пойму.

 

Подскажите пожалуйста куда копать?

Share this post


Link to post
Share on other sites

@Mystic_2018 , вообще принято подобные вопросы сопровождать конфигом, ибо с телепатами проблема. Возможно, что вы 124 -ю сеть натите во все стороны.

Share this post


Link to post
Share on other sites

1 час назад, Mystic_2018 сказал:

Подскажите пожалуйста куда копать?

Удаляете все правила файрвола и все будет работать. Изначально, если дефолтный конфиг не сбрасывали, там все закрыто, собственно он и создает все проблемы. Для вопросов безопасности достаточно отключить не нужные сервисы и установить ограничения по IP на нужные.

Share this post


Link to post
Share on other sites

В 28.04.2018 в 11:18, DRiVen сказал:

@Mystic_2018 , вообще принято подобные вопросы сопровождать конфигом, ибо с телепатами проблема. Возможно что вы 124 -ю сеть натите во все стороны.

[angel@MikroTik] > /interface bridge export
# apr/28/2018 12:13:10 by RouterOS 6.38.4
# software id = LAZ4-TUE6
#
/interface bridge
add comment="Local 192.168.124.1" name=b124
/interface bridge port
add bridge=b124 interface=ether3
add
[angel@MikroTik] > /interface bridge port export
# apr/28/2018 12:13:10 by RouterOS 6.38.4
# software id = LAZ4-TUE6
#
/interface bridge port
add bridge=b124 interface=ether3
add
[angel@MikroTik] > /ip firewall filter export
# apr/28/2018 12:13:10 by RouterOS 6.38.4
# software id = LAZ4-TUE6
#
/ip firewall filter
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=input comment="Allow Established connections" connection-state=established
add action=accept chain=input comment="Allow Established connections" connection-state=established,related,new,untracked in-interface=ether2
add action=accept chain=input comment="Allow Established connections" connection-state=established,related,new,untracked in-interface=b124
add action=accept chain=forward comment="Allow related connections" connection-state=related
add action=accept chain=input comment="Allow UDP" protocol=udp
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=accept chain=input comment="Allow access to router from known network" src-address=192.168.121.0/24
add action=accept chain=input comment="Allow access to router from known network" src-address=192.168.123.0/24
add action=accept chain=input comment="Allow access to router from known network" src-address=192.168.124.0/24
add action=accept chain=forward comment="Allow access 121 in 124" in-interface=ether2 out-interface=b124
add action=accept chain=forward comment="Allow access 124 in 121" in-interface=b124 out-interface=ether2
add action=drop chain=forward comment="Deny youtube" packet-mark=youtube_packet
add action=drop chain=input comment="Deny youtube" packet-mark=youtube_packet
add action=drop chain=forward comment="Deny SocSeti" packet-mark=SocSeti_packet
add action=drop chain=input comment="Deny SocSeti" packet-mark=SocSeti_packet
add action=drop chain=tcp comment="Deny 5242,4244,5243,7985,9785" dst-port=5242,4244,5243,7985,9785 protocol=tcp
add action=accept chain=forward comment="Allow access MMK" out-interface=pCUB
add action=accept chain=forward comment="Allow access Full Internet" out-interface=ether1 src-address-list=FullInet
add action=accept chain=forward comment="Allow Internet" dst-port=80,443,25,995,993,465,587,110,143,8080,3389 in-interface=b124 out-interface=ether1 \
    protocol=tcp
add action=accept chain=tcp comment="Allow Internet" dst-port=80,443,25,995,993,465,587,110,143,8080,3389 in-interface=b124 out-interface=ether1 protocol=tcp
add action=accept chain=udp comment="Allow Internet" dst-port=5060,53,123 in-interface=b124 out-interface=ether1 protocol=udp
add action=accept chain=input comment="Allow WinBox & Ftp" dst-port=21,8291 in-interface=ether1 protocol=tcp
add action=drop chain=input comment="Allow WinBox & Ftp" in-interface=ether1
add action=drop chain=input comment="Drop anything else"
[angel@MikroTik] > /ip firewall nat export
# apr/28/2018 12:13:10 by RouterOS 6.38.4
# software id = LAZ4-TUE6
#
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=pCUB
add action=netmap chain=dstnat comment="\CF\EE\F0\F2\EC\E0\EF\E8\ED\E3" disabled=yes dst-port=17600-17800 in-interface=ether3 protocol=tcp src-address=\
    192.168.121.99 to-addresses=192.168.121.11
add action=netmap chain=dstnat disabled=yes dst-port=4489 in-interface=ether1 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.7 to-ports=\
    3389
add action=netmap chain=dstnat disabled=yes dst-port=18501-18800 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.11
add action=netmap chain=dstnat disabled=yes dst-port=4433 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.55 to-ports=\
    1433
add action=netmap chain=dstnat disabled=yes dst-port=1433 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.55
add action=netmap chain=dstnat disabled=yes dst-port=5539 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.7 to-ports=\
    3389
add action=netmap chain=dstnat disabled=yes dst-port=7789 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.7 to-ports=\
    3389
[angel@MikroTik] > /ip route export
# apr/28/2018 12:13:10 by RouterOS 6.38.4
# software id = LAZ4-TUE6
#
/ip route
add check-gateway=ping distance=1 gateway=192.168.120.10
add distance=1 dst-address=10.171.10.0/24 gateway=pCUB
add disabled=yes distance=1 dst-address=192.168.121.0/24 gateway=192.168.121.111
add disabled=yes distance=1 dst-address=192.168.124.0/24 gateway=192.168.124.1
/ip route rule
add dst-address=192.168.121.0/24 interface=ether2 routing-mark=main table=main
add disabled=yes dst-address=192.168.124.0/24 interface=b124 routing-mark=main table=main
Такие ?

 

Edited by Mystic_2018

Share this post


Link to post
Share on other sites

2 минуты назад, Mystic_2018 сказал:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=pCUB
add action=masquerade chain=srcnat out-interface=b124
add action=masquerade chain=srcnat out-interface=ether2

Вот к чему приводят  тяжелые наркотики.

 

@Mystic_2018 , купите уже циску и прекратите мучить микротик. Или наймите нормального сисадмина.

Share this post


Link to post
Share on other sites

По-человечески: абсолютно непонятно зачем вам NAT на b124, невнятные правила на файрволле, дропаете invalid connections по conntrack-у вряд ли понимая последствия этого(не всё идет через conntrack), дальше перечислять?

 

Подымите правила на ACCEPT повыше и проверьте ping-ом доступность хостов с обеих сторон, запустим tcpdump на обоих клиентских хостах для съема трафика. Иначе это всё - гадание на кофейной гуще.

Share this post


Link to post
Share on other sites

3 минуты назад, Pinkbyte сказал:

По-человечески: абсолютно непонятно зачем вам NAT на b124, невнятные правила на файрволле, дропаете invalid connections по conntrack-у вряд ли понимая последствия этого(не всё идет через conntrack),

Цитата

 

дальше перечислять?

да, я готов слушать.

 

Подымите правила на ACCEPT повыше и проверьте ping-ом доступность хостов с обеих сторон, запустим tcpdump на обоих клиентских хостах для съема трафика. Иначе это всё - гадание на кофейной гуще.

Ну по нату мне самому непонятно зачем они, просто мне так сказал сделать сертифицированный спец по микротику.(убрал нат)

пинг проходит с обоих сторон

Share this post


Link to post
Share on other sites

Quote

да, я готов слушать.

 

Я думаю для вас не секрет, что ноги у файрволла Mikrotik растут из Линуксового Netfilter/iptables?

 

Поэтому ознакомьтесь для начала с мануалом - многие вопросы сразу отпадут.

 

Quote

просто мне так сказал сделать сертифицированный спец по микротику

 

Настройка сети без понимая производимых действий - такое себе дело... Мнение сертифицированного специалиста безусловно важно, но только в том случае, если вы можете понять суть его советов.

 

Quote

пинг проходит с обоих сторон

 

Окей, а теперь шлите реквесты по SMB и смотрите проходят ли они в tcpdump. И так далее по каждому интересующему вас протоколу. Если на интерфейсах по мнению tcpdump/wireshark пакеты будут, а доступа не будет - крутите файрволы на клиентах.

Share this post


Link to post
Share on other sites

изучив мануал Настроил Mikrotic
/ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  ;;; No Porno
        0.0.0.0/0                          192.168.121.99            1
 1 A S  ;;; default route
        0.0.0.0/0                          192.168.120.10            1
 2  DS  0.0.0.0/0                          192.168.200.1             1
 3 A S  10.171.10.0/24                     pCUB                      1
 4 ADS  80.244.37.55/32                    192.168.120.10            0
 5 ADC  192.168.120.0/24   192.168.120.2   Wan1                      0
 6 ADC  192.168.121.0/24   192.168.121.16  Lan1                      0
 7 ADC  192.168.124.0/24   192.168.124.1   Lan1                      0
 8 ADC  192.168.200.1/32   192.168.200.10  pCUB                      0

/ip address print
 192.168.120.2/24   192.168.120.0    Wan1
 192.168.124.1/24   192.168.124.0    Lan1
 192.168.121.16/24  192.168.121.0    Lan1

/ip firewall filter print 
     chain=input action=accept protocol=tcp in-interface=Wan1 dst-port=21,8291
     chain=input protocol=icmp 
     chain=input action=accept protocol=udp 
     chain=input action=accept in-interface=Lan1
     chain=forward action=accept out-interface=Lan1
     chain=input action=accept connection-state=established 
     chain=forward action=accept connection-state=related 
     chain=output action=accept connection-state=!invalid
     chain=forward action=accept src-address-list=FullInet out-interface=Wan1 

/ip route print  
 0      0.0.0.0/0                   192.168.121.99            1
 1      0.0.0.0/0                   192.168.120.10            1
 2 DS   0.0.0.0/0                 192.168.200.1             1
 3 A S  10.171.10.0/24        pCUB                      1
 4 ADS  80.244.37.55/32     192.168.120.10            0
 5 ADC  192.168.120.0/24   192.168.120.2   Wan1                      0
 6 ADC  192.168.121.0/24   192.168.121.16  Lan1                      0
 7 ADC  192.168.124.0/24   192.168.124.1   Lan1                      0
 

Тесть На машите
# ip r g 192.168.124.211
192.168.124.211 via 192.168.121.10 dev enp3s0  src 192.168.121.99

# tcpdump -pnni enp3s0 host 192.168.124.211 and icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on enp3s0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:47:30.178383 IP 192.168.121.99 > 192.168.124.211: ICMP echo request, id 29995, seq 47495, length 64
10:47:30.187391 IP 192.168.124.211 > 192.168.121.99: ICMP echo reply, id 29995, seq 47495, length 64
10:47:31.178781 IP 192.168.121.99 > 192.168.124.211: ICMP echo request, id 29995, seq 47496, length 64
10:47:31.179579 IP 192.168.124.211 > 192.168.121.99: ICMP echo reply, id 29995, seq 47496, length 64
10:47:32.178406 IP 192.168.121.99 > 192.168.124.211: ICMP echo request, id 29995, seq 47497, length 64
10:47:32.191523 IP 192.168.124.211 > 192.168.121.99: ICMP echo reply, id 29995, seq 47497, length 64
10:47:33.180721 IP 192.168.121.99 > 192.168.124.211: ICMP echo request, id 29995, seq 47498, length 64
10:47:33.181170 IP 192.168.124.211 > 192.168.121.99: ICMP echo reply, id 29995, seq 47498, length 64

 

но кроме пинга из 124 подсети в 121 ничего не уходит и не приходит, где сабака зарыта подскажите пожалуйста

для теста установил 2 машины на линуксе, чтобы исключить фаервол обе машины абсолютные дырки пропускают все отовсюду.

Edited by Mystic_2018

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.