Две подсети, каждая со своим Интернетом.

[A13]

Здравствуйте.

Есть два стоящих рядом здания (А и В). В каждое заведен свой провайдер. В здание "А" Mikrotik CRS326-24G-2S+, подсеть 192.168.3.0/24, в этой сети находятся сервера. В здание "В" Mikrotik RB951G 2HnD, подсеть 192.168.5.0/24. Mikrotik "A" и "B" соединены между собой кабелем. Помогите решить следующую задачу: ПК из подсети "B" должны видеть сервера в подсети "А". Каждая подсеть должна ходить в интернет через своего провайдера. Есть ещё такой нюанс, что в зданиях есть ПК из разных подсетей, они соответственно должны ходить в интернет через свой Mikrotik. 

[alibek]

В B должен быть маршрут на 192.168.3.0/24, в A должен быть маршрут на 192.168.5.0/24.

Можно статикой, можно динамикой.

 

7 минут назад, A13 сказал:

Есть ещё такой нюанс, что в зданиях есть ПК из разных подсетей

Не из 192.168.3.0/24 и 192.168.5.0/24?

Это не нюанс, это глупость.

Ее лучше исправить, а не адаптировать.

[Saab95]

Вообще лучше установить где-то третий микротик и выдавать с него, например, подсеть 192.168.1.0/24, и на нее перевести все компьютеры сети. На нем же сделать подсеть 192.168.2.0/24 и туда подключить все сервера. К этому же микротику подключить 2 существующих микротика, каждый из которых подключен к своему провайдеру. На центральном микротике создадите адрес лист, и в него будете помещать IP компьютеров, которые должны ходить через определенного провайдера, кого нет в списке, пойдут через второго.

[jffulcrum]

3 часа назад, A13 сказал:

Каждая подсеть должна ходить в интернет через своего провайдера. Есть ещё такой нюанс, что в зданиях есть ПК из разных подсетей, они соответственно должны ходить в интернет через свой Mikrotik. 

У вас VLAN`ы сделаны, или просто руками адреса назначаются?

 

@Saab95 Плохо повышаете продажи. Надо решение с четырьмя! ;)

[A13]

15 часов назад, alibek сказал:

Не из 192.168.3.0/24 и 192.168.5.0/24?

Это не нюанс, это глупость.

Ее лучше исправить, а не адаптировать.

В том то и дело, что не исправить. Это две юридически разные организации, у которых должны быть общее локальные ресурсы.

[McSea]

@A13 

 

Оставляйте за каждым микротиком одну подсеть, на RB951G  настройте два интерфейса для маршрутизации.

На обоих микротиках пропишите второй дефолтовый маршрут с меткой через другой микротик и направляйте туда "чужие" ПК правилами в Routes Rules по IP адресу.

Ограничения доступа между подсетями, если нужно, настройте правилами в Firewall Filter на RB951G.

 

 

Edited September 26, 2018 by McSea

[A13]

1 час назад, McSea сказал:

@A13 

 

Оставляйте за каждым микротиком одну подсеть, на RB951G  настройте два интерфейса для маршрутизации.

На обоих микротиках пропишите второй дефолтовый маршрут с меткой через другой микротик и направляйте туда "чужие" ПК правилами в Routes Rules по IP адресу.

Ограничения доступа между подсетями, если нужно, настройте правилами в Firewall Filter на RB951G.

 

 

 

Можно подробнее (поэтапно) как это правильно реализовать? Если не сложно.

[McSea]

@A13 

 

Сразу скажу, ограничения на базе IP адреса без VLAN-ов, это такой вариант замка на стеклянной входной двери в Штатах, т.к. обходятся простой сменой этого самого адреса, надо хотя бы ограничить права пользователей на смену адреса. 

 

 

Для простоты поделим (для себя, в уме) подсети на диапазоны для своих и чужих,  Пусть адреса 192.168.[3|5].1-127  будут для своих, а 192.168.[3|5].128-254 - для чужих. 

 

Назначить адреса компам, лучше конечно по DHCP с каждого микротика выдать на свою подсеть.

За каждым микротиком, адреса будут только из одной подсети, но с разбивкой согласно свой/чужой.

 

На CRS - два интерфейса, инет и LAN с адресом 192.168.3.1/24. На RB - три интерфейса - инет, LAN1 c адресом 192.168.3.2/24, подключенный к CRS, и LAN c адресом 192.168.5.1/24

 

Маршруты 1. На обоих ес-но будут дефолтовые в свой инет, RB уже знает, где какая подсеть, а на CRS надо добавить маршрут для 192.168.5.0/24 через 192.168.3.2.

 

Маршруты 2. Для направления чужих в инет нужно добавить на каждый роутер по маршруту для 0.0.0.0/0 через IP другого роутера, с меткой. 

Т.е. для CRS

/ip route add dst-address=0.0.0.0/0 gateway=192.168.3.2 routing-mark=ALIEN

для RB

/ip route add dst-address=0.0.0.0/0 gateway=192.168.3.1 routing-mark=ALIEN

 

 

Правила маршрутизации. Для начала надо добавить по такому правилу на каждый роутер

/ip route rule add dst-address=192.168.0.0/16 table=main

для маршрутизации локального трафика по основной (main) таблице, т.е. маршрутам без меток. 

Это правило д.б. первым.

 

Ну и по правилу для направления чужих в инет через другой роутер.

для CRS

/ip route rule add src-address=192.168.3.128/25 action=lookup-only-in-table table=ALIEN

для RB 

/ip route rule add src-address=192.168.5.128/25 action=lookup-only-in-table table=ALIEN

 

Firewall filter. Тут надо настроить на RB, чтобы трафик ходил между подсетями; на базе дефолтового конфига 

просто добавить оба LAN интерфейса в LAN интерфейс лист. 

 

Edited September 26, 2018 by McSea

[A13]

@McSea 

 

Если всё это делать с помощью VLAN?

[McSea]

@A13 

Для вланов надо, чтобы каждый клиент был подключен в порт с нужным вланом. 

Т.е. клиенты должны быть подключены либо прямо в микротики, либо в управляемые коммутаторы(с поддержкой вланов).

 

Какая у вас схема сети, есть промежуточные коммутаторы ? 

 

[A13]

В 27.09.2018 в 02:19, McSea сказал:

@A13 

Для вланов надо, чтобы каждый клиент был подключен в порт с нужным вланом. 

Т.е. клиенты должны быть подключены либо прямо в микротики, либо в управляемые коммутаторы(с поддержкой вланов).

 

Какая у вас схема сети, есть промежуточные коммутаторы ? 

 

Коммутаторы D-link DES-1016, не управляемые