Перейти к содержимому
Калькуляторы

Две подсети, каждая со своим Интернетом.

Здравствуйте.

Есть два стоящих рядом здания (А и В). В каждое заведен свой провайдер. В здание "А" Mikrotik CRS326-24G-2S+, подсеть 192.168.3.0/24, в этой сети находятся сервера. В здание "В" Mikrotik RB951G 2HnD, подсеть 192.168.5.0/24. Mikrotik "A" и "B" соединены между собой кабелем. Помогите решить следующую задачу: ПК из подсети "B" должны видеть сервера в подсети "А". Каждая подсеть должна ходить в интернет через своего провайдера. Есть ещё такой нюанс, что в зданиях есть ПК из разных подсетей, они соответственно должны ходить в интернет через свой Mikrotik. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В B должен быть маршрут на 192.168.3.0/24, в A должен быть маршрут на 192.168.5.0/24.

Можно статикой, можно динамикой.

 

7 минут назад, A13 сказал:

Есть ещё такой нюанс, что в зданиях есть ПК из разных подсетей

Не из 192.168.3.0/24 и 192.168.5.0/24?

Это не нюанс, это глупость.

Ее лучше исправить, а не адаптировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще лучше установить где-то третий микротик и выдавать с него, например, подсеть 192.168.1.0/24, и на нее перевести все компьютеры сети. На нем же сделать подсеть 192.168.2.0/24 и туда подключить все сервера. К этому же микротику подключить 2 существующих микротика, каждый из которых подключен к своему провайдеру. На центральном микротике создадите адрес лист, и в него будете помещать IP компьютеров, которые должны ходить через определенного провайдера, кого нет в списке, пойдут через второго.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, A13 сказал:

Каждая подсеть должна ходить в интернет через своего провайдера. Есть ещё такой нюанс, что в зданиях есть ПК из разных подсетей, они соответственно должны ходить в интернет через свой Mikrotik. 

У вас VLAN`ы сделаны, или просто руками адреса назначаются?

 

@Saab95 Плохо повышаете продажи. Надо решение с четырьмя! ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 часов назад, alibek сказал:

Не из 192.168.3.0/24 и 192.168.5.0/24?

Это не нюанс, это глупость.

Ее лучше исправить, а не адаптировать.

В том то и дело, что не исправить. Это две юридически разные организации, у которых должны быть общее локальные ресурсы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@A13 

 

Оставляйте за каждым микротиком одну подсеть, на RB951G  настройте два интерфейса для маршрутизации.

На обоих микротиках пропишите второй дефолтовый маршрут с меткой через другой микротик и направляйте туда "чужие" ПК правилами в Routes Rules по IP адресу.

Ограничения доступа между подсетями, если нужно, настройте правилами в Firewall Filter на RB951G.

 

 

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, McSea сказал:

@A13 

 

Оставляйте за каждым микротиком одну подсеть, на RB951G  настройте два интерфейса для маршрутизации.

На обоих микротиках пропишите второй дефолтовый маршрут с меткой через другой микротик и направляйте туда "чужие" ПК правилами в Routes Rules по IP адресу.

Ограничения доступа между подсетями, если нужно, настройте правилами в Firewall Filter на RB951G.

 

 

 

Можно подробнее (поэтапно) как это правильно реализовать? Если не сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@A13 

 

Сразу скажу, ограничения на базе IP адреса без VLAN-ов, это такой вариант замка на стеклянной входной двери в Штатах, т.к. обходятся простой сменой этого самого адреса, надо хотя бы ограничить права пользователей на смену адреса. 

 

 

Для простоты поделим (для себя, в уме) подсети на диапазоны для своих и чужих,  Пусть адреса 192.168.[3|5].1-127  будут для своих, а 192.168.[3|5].128-254 - для чужих. 

 

Назначить адреса компам, лучше конечно по DHCP с каждого микротика выдать на свою подсеть.

За каждым микротиком, адреса будут только из одной подсети, но с разбивкой согласно свой/чужой.

 

На CRS - два интерфейса, инет и LAN с адресом 192.168.3.1/24. На RB - три интерфейса - инет, LAN1 c адресом 192.168.3.2/24, подключенный к CRS, и LAN c адресом 192.168.5.1/24

 

Маршруты 1. На обоих ес-но будут дефолтовые в свой инет, RB уже знает, где какая подсеть, а на CRS надо добавить маршрут для 192.168.5.0/24 через 192.168.3.2.

 

Маршруты 2. Для направления чужих в инет нужно добавить на каждый роутер по маршруту для 0.0.0.0/0 через IP другого роутера, с меткой. 

Т.е. для CRS

/ip route add dst-address=0.0.0.0/0 gateway=192.168.3.2 routing-mark=ALIEN

для RB

/ip route add dst-address=0.0.0.0/0 gateway=192.168.3.1 routing-mark=ALIEN

 

 

Правила маршрутизации. Для начала надо добавить по такому правилу на каждый роутер

/ip route rule add dst-address=192.168.0.0/16 table=main

для маршрутизации локального трафика по основной (main) таблице, т.е. маршрутам без меток. 

Это правило д.б. первым.

 

Ну и по правилу для направления чужих в инет через другой роутер.

для CRS

/ip route rule add src-address=192.168.3.128/25 action=lookup-only-in-table table=ALIEN

для RB 

/ip route rule add src-address=192.168.5.128/25 action=lookup-only-in-table table=ALIEN

 

Firewall filter. Тут надо настроить на RB, чтобы трафик ходил между подсетями; на базе дефолтового конфига 

просто добавить оба LAN интерфейса в LAN интерфейс лист. 

 

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@A13 

Для вланов надо, чтобы каждый клиент был подключен в порт с нужным вланом. 

Т.е. клиенты должны быть подключены либо прямо в микротики, либо в управляемые коммутаторы(с поддержкой вланов).

 

Какая у вас схема сети, есть промежуточные коммутаторы ? 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 27.09.2018 в 02:19, McSea сказал:

@A13 

Для вланов надо, чтобы каждый клиент был подключен в порт с нужным вланом. 

Т.е. клиенты должны быть подключены либо прямо в микротики, либо в управляемые коммутаторы(с поддержкой вланов).

 

Какая у вас схема сети, есть промежуточные коммутаторы ? 

 

Коммутаторы D-link DES-1016, не управляемые

Схема как должно стать.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.