A13 Опубликовано 25 сентября, 2018 · Жалоба Здравствуйте. Есть два стоящих рядом здания (А и В). В каждое заведен свой провайдер. В здание "А" Mikrotik CRS326-24G-2S+, подсеть 192.168.3.0/24, в этой сети находятся сервера. В здание "В" Mikrotik RB951G 2HnD, подсеть 192.168.5.0/24. Mikrotik "A" и "B" соединены между собой кабелем. Помогите решить следующую задачу: ПК из подсети "B" должны видеть сервера в подсети "А". Каждая подсеть должна ходить в интернет через своего провайдера. Есть ещё такой нюанс, что в зданиях есть ПК из разных подсетей, они соответственно должны ходить в интернет через свой Mikrotik. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 сентября, 2018 · Жалоба В B должен быть маршрут на 192.168.3.0/24, в A должен быть маршрут на 192.168.5.0/24. Можно статикой, можно динамикой. 7 минут назад, A13 сказал: Есть ещё такой нюанс, что в зданиях есть ПК из разных подсетей Не из 192.168.3.0/24 и 192.168.5.0/24? Это не нюанс, это глупость. Ее лучше исправить, а не адаптировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 сентября, 2018 · Жалоба Вообще лучше установить где-то третий микротик и выдавать с него, например, подсеть 192.168.1.0/24, и на нее перевести все компьютеры сети. На нем же сделать подсеть 192.168.2.0/24 и туда подключить все сервера. К этому же микротику подключить 2 существующих микротика, каждый из которых подключен к своему провайдеру. На центральном микротике создадите адрес лист, и в него будете помещать IP компьютеров, которые должны ходить через определенного провайдера, кого нет в списке, пойдут через второго. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 25 сентября, 2018 · Жалоба 3 часа назад, A13 сказал: Каждая подсеть должна ходить в интернет через своего провайдера. Есть ещё такой нюанс, что в зданиях есть ПК из разных подсетей, они соответственно должны ходить в интернет через свой Mikrotik. У вас VLAN`ы сделаны, или просто руками адреса назначаются? @Saab95 Плохо повышаете продажи. Надо решение с четырьмя! ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
A13 Опубликовано 26 сентября, 2018 · Жалоба 15 часов назад, alibek сказал: Не из 192.168.3.0/24 и 192.168.5.0/24? Это не нюанс, это глупость. Ее лучше исправить, а не адаптировать. В том то и дело, что не исправить. Это две юридически разные организации, у которых должны быть общее локальные ресурсы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 26 сентября, 2018 (изменено) · Жалоба @A13 Оставляйте за каждым микротиком одну подсеть, на RB951G настройте два интерфейса для маршрутизации. На обоих микротиках пропишите второй дефолтовый маршрут с меткой через другой микротик и направляйте туда "чужие" ПК правилами в Routes Rules по IP адресу. Ограничения доступа между подсетями, если нужно, настройте правилами в Firewall Filter на RB951G. Изменено 26 сентября, 2018 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
A13 Опубликовано 26 сентября, 2018 · Жалоба 1 час назад, McSea сказал: @A13 Оставляйте за каждым микротиком одну подсеть, на RB951G настройте два интерфейса для маршрутизации. На обоих микротиках пропишите второй дефолтовый маршрут с меткой через другой микротик и направляйте туда "чужие" ПК правилами в Routes Rules по IP адресу. Ограничения доступа между подсетями, если нужно, настройте правилами в Firewall Filter на RB951G. Можно подробнее (поэтапно) как это правильно реализовать? Если не сложно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 26 сентября, 2018 (изменено) · Жалоба @A13 Сразу скажу, ограничения на базе IP адреса без VLAN-ов, это такой вариант замка на стеклянной входной двери в Штатах, т.к. обходятся простой сменой этого самого адреса, надо хотя бы ограничить права пользователей на смену адреса. Для простоты поделим (для себя, в уме) подсети на диапазоны для своих и чужих, Пусть адреса 192.168.[3|5].1-127 будут для своих, а 192.168.[3|5].128-254 - для чужих. Назначить адреса компам, лучше конечно по DHCP с каждого микротика выдать на свою подсеть. За каждым микротиком, адреса будут только из одной подсети, но с разбивкой согласно свой/чужой. На CRS - два интерфейса, инет и LAN с адресом 192.168.3.1/24. На RB - три интерфейса - инет, LAN1 c адресом 192.168.3.2/24, подключенный к CRS, и LAN c адресом 192.168.5.1/24 Маршруты 1. На обоих ес-но будут дефолтовые в свой инет, RB уже знает, где какая подсеть, а на CRS надо добавить маршрут для 192.168.5.0/24 через 192.168.3.2. Маршруты 2. Для направления чужих в инет нужно добавить на каждый роутер по маршруту для 0.0.0.0/0 через IP другого роутера, с меткой. Т.е. для CRS /ip route add dst-address=0.0.0.0/0 gateway=192.168.3.2 routing-mark=ALIEN для RB /ip route add dst-address=0.0.0.0/0 gateway=192.168.3.1 routing-mark=ALIEN Правила маршрутизации. Для начала надо добавить по такому правилу на каждый роутер /ip route rule add dst-address=192.168.0.0/16 table=main для маршрутизации локального трафика по основной (main) таблице, т.е. маршрутам без меток. Это правило д.б. первым. Ну и по правилу для направления чужих в инет через другой роутер. для CRS /ip route rule add src-address=192.168.3.128/25 action=lookup-only-in-table table=ALIEN для RB /ip route rule add src-address=192.168.5.128/25 action=lookup-only-in-table table=ALIEN Firewall filter. Тут надо настроить на RB, чтобы трафик ходил между подсетями; на базе дефолтового конфига просто добавить оба LAN интерфейса в LAN интерфейс лист. Изменено 26 сентября, 2018 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
A13 Опубликовано 26 сентября, 2018 · Жалоба @McSea Если всё это делать с помощью VLAN? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 26 сентября, 2018 · Жалоба @A13 Для вланов надо, чтобы каждый клиент был подключен в порт с нужным вланом. Т.е. клиенты должны быть подключены либо прямо в микротики, либо в управляемые коммутаторы(с поддержкой вланов). Какая у вас схема сети, есть промежуточные коммутаторы ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
A13 Опубликовано 2 октября, 2018 · Жалоба В 27.09.2018 в 02:19, McSea сказал: @A13 Для вланов надо, чтобы каждый клиент был подключен в порт с нужным вланом. Т.е. клиенты должны быть подключены либо прямо в микротики, либо в управляемые коммутаторы(с поддержкой вланов). Какая у вас схема сети, есть промежуточные коммутаторы ? Коммутаторы D-link DES-1016, не управляемые Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...