coolfishsq Posted May 30, 2019 · Report post Добрый день, ситуация такая - имеется роутер mikrotik, 1 порт - первый провайдер, 2 порт - локальная сеть для первого провайдера, 3 порт - второй провайдер, 4 порт - локальная сеть второго провайдера. Интернет настроен, локалки берут сеть из своих провайдеров, только нужно, чтобы они и друг друга видели - на первой локалке есть расшаренные папки, которые должна видеть вторая локалка, а она никак их не видит. Помогите советом Добавление от 30.05.2019 18:55:конфиг прилагаю# may/30/2019 18:49:19 by RouterOS 6.44.3# model = RB952Ui-5ac2nD/interface bridgeadd name=bridge-local/interface ethernetset [ find default-name=ether1 ] comment=WAN1 name=eth1set [ find default-name=ether2 ] comment=LAN1 name=eth2set [ find default-name=ether3 ] comment=WAN2 name=eth3set [ find default-name=ether4 ] comment=LAN2 name=eth4set [ find default-name=ether5 ] name=eth5/interface pppoe-clientadd add-default-route=yes disabled=no interface=eth3 name=***** password=***** use-peer-dns=yes \user=*****add add-default-route=yes disabled=no interface=eth1 name=***** password=***** use-peer-dns=yes \user=*****/interface wirelessset [ find default-name=wlan2 ] country=russia disabled=no mode=ap-bridge ssid=MikroTik \wireless-protocol=802.11/interface listadd name=WANadd name=LAN/interface wireless security-profilesset [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=\MikroTik wpa-pre-shared-key=***** wpa2-pre-shared-key=*****add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys \name=profile1 supplicant-identity="" wpa2-pre-shared-key=*****/interface wirelessset [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no mode=ap-bridge \security-profile=profile1 ssid=MikroTik wireless-protocol=802.11/ip hotspot profileset [ find default=yes ] html-directory=flash/hotspot/ip pooladd name=pool_LAN1 ranges=192.168.0.10-192.168.0.110add name=pool_LAN2 ranges=192.168.0.130-192.168.0.230/ip dhcp-serveradd address-pool=pool_LAN1 disabled=no interface=bridge-local name=server1add address-pool=pool_LAN2 disabled=no interface=eth4 name=server2/interface bridge portadd bridge=bridge-local interface=eth2add bridge=bridge-local interface=wlan1add bridge=bridge-local disabled=yes interface=wlan2/interface list memberadd interface=bridge-local list=LANadd interface=TEK list=WAN/ip addressadd address=192.168.0.1/25 interface=bridge-local network=192.168.0.0add address=192.168.0.129/25 interface=eth4 network=192.168.0.128/ip dhcp-clientadd dhcp-options=hostname,clientid interface=wlan2/ip dhcp-server networkadd address=192.168.0.0/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.1add address=192.168.0.128/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.129/ip dnsset allow-remote-requests=yes servers=8.8.8.8,8.8.4.4/ip firewall filteradd action=accept chain=input protocol=icmpadd action=drop chain=input comment="drop ssh forcers" dst-port=22,23 protocol=tcp src-address-list=\login_blacklistadd action=add-src-to-address-list address-list=login_blacklist address-list-timeout=1w3d chain=input \connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage3add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=2m chain=input \connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage2add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=2m chain=input \connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage1add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=2m chain=input \connection-state=new dst-port=22,23 protocol=tcp/ip firewall mangleadd action=mark-connection chain=input in-interface=TEK new-connection-mark=in_WAN1 passthrough=noadd action=mark-connection chain=input in-interface=FORT new-connection-mark=in_WAN2 passthrough=noadd action=mark-routing chain=output connection-mark=in_WAN1 new-routing-mark=rt_WAN1 passthrough=noadd action=mark-routing chain=output new-routing-mark=rt_WAN2 passthrough=no routing-mark=in_WAN2add action=mark-routing chain=prerouting in-interface=bridge-local new-routing-mark=rt_LAN1-WAN1 \passthrough=noadd action=mark-routing chain=prerouting in-interface=eth4 new-routing-mark=rt_LAN2-WAN2 passthrough=\no/ip firewall natadd action=masquerade chain=srcnat src-address=192.168.0.0/24/ip routeadd check-gateway=ping distance=1 gateway=TEK routing-mark=rt_WAN1add distance=2 gateway=FORT routing-mark=rt_WAN1add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_WAN2add distance=2 gateway=TEK routing-mark=rt_WAN2add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_LAN1-WAN1add distance=2 gateway=TEK routing-mark=rt_LAN1-WAN1add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_LAN2-WAN2add distance=2 gateway=FORT routing-mark=rt_LAN2-WAN2/system clockset time-zone-name=Europe/Moscow Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted May 31, 2019 · Report post покажите с любого клиента ipconfig /all Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
coolfishsq Posted May 31, 2019 (edited) · Report post DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller Физический адрес. . . . . . . . . : D8-CB-8A-19-7D-36 DHCP включен. . . . . . . . . . . : Да Автонастройка включена. . . . . . : Да Локальный IPv6-адрес канала . . . : fe80::68f9:a81c:fa08:9f49%10(Основной) IPv4-адрес. . . . . . . . . . . . : 192.168.0.15(Основной) Маска подсети . . . . . . . . . . : 255.255.255.128 Аренда получена. . . . . . . . . . : 30 мая 2019 г. 17:42:51 Срок аренды истекает. . . . . . . . . . : 30 мая 2019 г. 18:27:51 Основной шлюз. . . . . . . . . : 192.168.0.1 DHCP-сервер. . . . . . . . . . . : 192.168.0.1 IAID DHCPv6 . . . . . . . . . . . : 114871178 DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-24-74-1E-D1-D8-CB-8A-19-7D-36 DNS-серверы. . . . . . . . . . . : 8.8.8.8 8.8.4.4 NetBios через TCP/IP. . . . . . . . : Включен Edited May 31, 2019 by coolfishsq Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted May 31, 2019 · Report post скорей всего из-за того, что вы весь трафик, независимо от направления отправляете в именованную таблицу маршрутизации и дальше провайдеру проверить просто, добавьте log правило в filter в цепочке forward с src адресом одной сети, dst - другой, и попробуйте зайти на ПК другой сети или просто ping, в логах будет виден out-interface, что там написано? вторая возможная причина это фаерволы/антивирусы на ПК, для них пакеты из другой сети "чужие", и блокируются даже встроенным в виндовс фаерволом Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VGA Posted June 3, 2019 (edited) · Report post Суть в том что у вас все пакеты из интерфейса ether2 метятся для роутинга как rt_WAN1 и маршрут им указан WAN1 и аналогично пакеты из ether4 метятся для роутинга как rt_WAN2 соответственно меченные пакеты у вас уходят в интернет игнорируя main маршруты. В общем вам надо или добавить два статических маршрута типа /ip route 192.168.0.0/25 distance=1 gateway=bridge-local routing-mark=rt_WAN1 /ip route 192.168.0.128/25 distance=1 gateway=eth4 routing-mark=rt_WAN2 это типа чтобы указать для меченых пакетов где находятся внутренние сети. ИЛИ что правильнее не метить пакеты которые идут во внутренние сети изменив вот эти правила add action=mark-routing chain=prerouting in-interface=bridge-local new-routing-mark=rt_LAN1-WAN1 passthrough=no add action=mark-routing chain=prerouting in-interface=eth4 new-routing-mark=rt_LAN2-WAN2 passthrough=no на такиеже но с добавлением dst-address=!192.168.х.х/25. Получится как то так add action=mark-routing chain=prerouting in-interface=bridge-local dst-address=!192.168.0.128/25 new-routing-mark=rt_LAN1-WAN1 passthrough=no add action=mark-routing chain=prerouting in-interface=eth4 dst-address=!192.168.0.0/25 new-routing-mark=rt_LAN2-WAN2 passthrough=no еще можно в самом верху мангла написать add action=mark-routing chain=prerouting dst-address=192.168.0.0/24 new-routing-mark=main passthrough=no тоесть этим правилом сверху мангла пометить пакеты идущие во внутренние сети как для роутинга в main таблице маршрутов. И всё начнёт у вас работать как надо. Edited June 3, 2019 by VGA Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
coolfishsq Posted June 5, 2019 · Report post Изменил правила, но все так же даже не пингуются сетки друг из друга, эх... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VGA Posted June 5, 2019 (edited) · Report post 55 минут назад, coolfishsq сказал: Изменил правила, но все так же даже не пингуются сетки друг из друга, эх... выложи еще раз конфиг посмотрю что получилось, и выложи еще ip route print. Еще бы посмотреть ip firewall connection когда идёт пинг из одной сети в другую чтобы посмотреть как метятся пакеты на внутренние сети. А вообще сделай так; 1) в терминале введи ip firewall mangle add action=mark-routing chain=prerouting dst-address=192.168.0.0/24 new-routing-mark=main passthrough=no 2) затем ip firewall mangle print и посмотри под каким номером появилось данное правило (например оно стало номером 9) 3) затем командой ip firewall mangle move 9 0 сдвинь его на нулевую позицию (можно просто мышкой в винбоксе перетащить вверх) после этого должно всё заработать. Edited June 5, 2019 by VGA Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Constantin Posted June 5, 2019 · Report post а не проще добавить маршрут с меткой роутинк марк ( сдублировать существующий динамический но с меткой). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VGA Posted June 6, 2019 · Report post 5 часов назад, Constantin сказал: а не проще добавить маршрут с меткой роутинк марк ( сдублировать существующий динамический но с меткой). Да можно и так сделать, то есть добавить по одному дополнительному маршруту в таблицы маршрутизаций меченных метками. Вообще coolfishsq нужно почитать что такое VRF или routing instance, так как то что он сделал и является по сути микротиковской реализацией данных технологий, Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
coolfishsq Posted June 6, 2019 · Report post Скрытый текст /interface bridge add name=bridge-local /interface ethernet set [ find default-name=ether1 ] comment=WAN1 name=eth1 set [ find default-name=ether2 ] comment=LAN1 name=eth2 set [ find default-name=ether3 ] comment=WAN2 name=eth3 set [ find default-name=ether4 ] comment=LAN2 name=eth4 set [ find default-name=ether5 ] name=eth5 /interface pppoe-client add add-default-route=yes disabled=no interface=eth3 name=* password=* use-peer-dns=yes \ user=* add add-default-route=yes disabled=no interface=eth1 name=* password=* use-peer-dns=yes \ user=* /interface wireless set [ find default-name=wlan2 ] country=russia disabled=no mode=ap-bridge ssid=MikroTik \ wireless-protocol=802.11 /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=\ MikroTik wpa-pre-shared-key=* wpa2-pre-shared-key=* add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys \ name=profile1 supplicant-identity="" wpa2-pre-shared-key=* /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no mode=ap-bridge \ security-profile=profile1 ssid=MikroTik wireless-protocol=802.11 /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=pool_LAN1 ranges=192.168.0.10-192.168.0.110 add name=pool_LAN2 ranges=192.168.0.130-192.168.0.230 /ip dhcp-server add address-pool=pool_LAN1 disabled=no interface=bridge-local name=server1 add address-pool=pool_LAN2 disabled=no interface=eth4 name=server2 /interface bridge port add bridge=bridge-local interface=eth2 add bridge=bridge-local interface=wlan1 add bridge=bridge-local disabled=yes interface=wlan2 /interface list member add interface=bridge-local list=LAN add interface=TEK list=WAN /ip address add address=192.168.0.1/25 interface=bridge-local network=192.168.0.0 add address=192.168.0.129/25 interface=eth4 network=192.168.0.128 /ip dhcp-client add dhcp-options=hostname,clientid interface=wlan2 /ip dhcp-server network add address=192.168.0.0/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.1 add address=192.168.0.128/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.129 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip firewall filter add action=accept chain=input protocol=icmp add action=drop chain=input comment="drop ssh forcers" dst-port=22,23 protocol=tcp src-address-list=\ login_blacklist add action=add-src-to-address-list address-list=login_blacklist address-list-timeout=1w3d chain=input \ connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=2m chain=input \ connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=2m chain=input \ connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=2m chain=input \ connection-state=new dst-port=22,23 protocol=tcp /ip firewall mangle add action=mark-connection chain=input in-interface=TEK new-connection-mark=in_WAN1 passthrough=no add action=mark-connection chain=input in-interface=FORT new-connection-mark=in_WAN2 passthrough=no add action=mark-routing chain=output connection-mark=in_WAN1 new-routing-mark=rt_WAN1 passthrough=no add action=mark-routing chain=output new-routing-mark=rt_WAN2 passthrough=no routing-mark=in_WAN2 add action=mark-routing chain=prerouting in-interface=bridge-local new-routing-mark=rt_LAN1-WAN1 \ passthrough=no add action=mark-routing chain=prerouting in-interface=eth4 new-routing-mark=rt_LAN2-WAN2 passthrough=\ no /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/24 /ip route add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_WAN1 add distance=2 gateway=FORT routing-mark=rt_WAN1 add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_WAN2 add distance=2 gateway=TEK routing-mark=rt_WAN2 add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_LAN1-WAN1 add distance=2 gateway=TEK routing-mark=rt_LAN1-WAN1 add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_LAN2-WAN2 add distance=2 gateway=FORT routing-mark=rt_LAN2-WAN2 1. это изначальный конфиг Скрытый текст /interface bridge add name=bridge-local /interface ethernet set [ find default-name=ether1 ] comment=WAN1 name=eth1 set [ find default-name=ether2 ] comment=LAN1 name=eth2 set [ find default-name=ether3 ] comment=WAN2 name=eth3 set [ find default-name=ether4 ] comment=LAN2 name=eth4 set [ find default-name=ether5 ] name=eth5 /interface pppoe-client add add-default-route=yes disabled=no interface=eth3 name=* password=* use-peer-dns=yes \ user=* add add-default-route=yes disabled=no interface=eth1 name=* password=* use-peer-dns=yes \ user=* /interface wireless set [ find default-name=wlan2 ] country=russia disabled=no mode=ap-bridge ssid=MikroTik \ wireless-protocol=802.11 /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=\ MikroTik wpa-pre-shared-key=* wpa2-pre-shared-key=* add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys \ name=profile1 supplicant-identity="" wpa2-pre-shared-key=* /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no mode=ap-bridge \ security-profile=profile1 ssid=MikroTik wireless-protocol=802.11 /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=pool_LAN1 ranges=192.168.0.10-192.168.0.110 add name=pool_LAN2 ranges=192.168.0.130-192.168.0.230 /ip dhcp-server add address-pool=pool_LAN1 disabled=no interface=bridge-local name=server1 add address-pool=pool_LAN2 disabled=no interface=eth4 name=server2 /interface bridge port add bridge=bridge-local interface=eth2 add bridge=bridge-local interface=wlan1 add bridge=bridge-local disabled=yes interface=wlan2 /interface list member add interface=bridge-local list=LAN add interface=TEK list=WAN /ip address add address=192.168.0.1/25 interface=bridge-local network=192.168.0.0 add address=192.168.0.129/25 interface=eth4 network=192.168.0.128 /ip dhcp-client add dhcp-options=hostname,clientid interface=wlan2 /ip dhcp-server network add address=192.168.0.0/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.1 add address=192.168.0.128/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.129 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip firewall filter add action=accept chain=input protocol=icmp add action=drop chain=input comment="drop ssh forcers" dst-port=22,23 protocol=tcp src-address-list=\ login_blacklist add action=add-src-to-address-list address-list=login_blacklist address-list-timeout=1w3d chain=input \ connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=2m chain=input \ connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=2m chain=input \ connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=2m chain=input \ connection-state=new dst-port=22,23 protocol=tcp /ip firewall mangle add action=mark-connection chain=input in-interface=TEK new-connection-mark=in_WAN1 passthrough=no add action=mark-connection chain=input in-interface=FORT new-connection-mark=in_WAN2 passthrough=no add action=mark-routing chain=output connection-mark=in_WAN1 new-routing-mark=rt_WAN1 passthrough=no add action=mark-routing chain=output new-routing-mark=rt_WAN2 passthrough=no routing-mark=in_WAN2 add action=mark-routing chain=prerouting dst-address=!192.168.0.128/25 in-interface=bridge-local \ new-routing-mark=rt_LAN1-WAN1 passthrough=no add action=mark-routing chain=prerouting dst-address=!192.168.0.0/25 in-interface=eth4 \ new-routing-mark=rt_LAN2-WAN2 passthrough=no add action=mark-routing chain=prerouting dst-address=192.168.0.0/24 new-routing-mark=main \ passthrough=no /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/24 /ip route add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_WAN1 add distance=2 gateway=FORT routing-mark=rt_WAN1 add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_WAN2 add distance=2 gateway=TEK routing-mark=rt_WAN2 add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_LAN1-WAN1 add distance=2 gateway=TEK routing-mark=rt_LAN1-WAN1 add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_LAN2-WAN2 add distance=2 gateway=FORT routing-mark=rt_LAN2-WAN2 2. это я добавил add action=mark-routing chain=prerouting in-interface=bridge-local dst-address=!192.168.0.128/25 new-routing-mark=rt_LAN1-WAN1 passthrough=noadd action=mark-routing chain=prerouting in-interface=eth4 dst-address=!192.168.0.0/25 new-routing-mark=rt_LAN2-WAN2 passthrough=noadd action=mark-routing chain=prerouting dst-address=192.168.0.0/24 new-routing-mark=main passthrough=no Скрытый текст /interface bridge add name=bridge-local /interface ethernet set [ find default-name=ether1 ] comment=WAN1 name=eth1 set [ find default-name=ether2 ] comment=LAN1 name=eth2 set [ find default-name=ether3 ] comment=WAN2 name=eth3 set [ find default-name=ether4 ] comment=LAN2 name=eth4 set [ find default-name=ether5 ] name=eth5 /interface pppoe-client add add-default-route=yes disabled=no interface=eth3 name=* password=* use-peer-dns=yes \ user=* add add-default-route=yes disabled=no interface=eth1 name=* password=* use-peer-dns=yes \ user=* /interface wireless set [ find default-name=wlan2 ] country=russia disabled=no mode=ap-bridge ssid=MikroTik \ wireless-protocol=802.11 /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=\ MikroTik wpa-pre-shared-key=* wpa2-pre-shared-key=* add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys \ name=profile1 supplicant-identity="" wpa2-pre-shared-key=* /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no mode=ap-bridge \ security-profile=profile1 ssid=MikroTik wireless-protocol=802.11 /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=pool_LAN1 ranges=192.168.0.10-192.168.0.110 add name=pool_LAN2 ranges=192.168.0.130-192.168.0.230 /ip dhcp-server add address-pool=pool_LAN1 disabled=no interface=bridge-local name=server1 add address-pool=pool_LAN2 disabled=no interface=eth4 name=server2 /interface bridge port add bridge=bridge-local interface=eth2 add bridge=bridge-local interface=wlan1 add bridge=bridge-local disabled=yes interface=wlan2 /interface list member add interface=bridge-local list=LAN add interface=TEK list=WAN /ip address add address=192.168.0.1/25 interface=bridge-local network=192.168.0.0 add address=192.168.0.129/25 interface=eth4 network=192.168.0.128 /ip dhcp-client add dhcp-options=hostname,clientid interface=wlan2 /ip dhcp-server network add address=192.168.0.0/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.1 add address=192.168.0.128/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.129 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip firewall filter add action=accept chain=input protocol=icmp add action=drop chain=input comment="drop ssh forcers" dst-port=22,23 protocol=tcp src-address-list=\ login_blacklist add action=add-src-to-address-list address-list=login_blacklist address-list-timeout=1w3d chain=input \ connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=2m chain=input \ connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=2m chain=input \ connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=2m chain=input \ connection-state=new dst-port=22,23 protocol=tcp /ip firewall mangle add action=mark-connection chain=input in-interface=TEK new-connection-mark=in_WAN1 passthrough=no add action=mark-connection chain=input in-interface=FORT new-connection-mark=in_WAN2 passthrough=no add action=mark-routing chain=output connection-mark=in_WAN1 new-routing-mark=rt_WAN1 passthrough=no add action=mark-routing chain=output new-routing-mark=rt_WAN2 passthrough=no routing-mark=in_WAN2 add action=mark-routing chain=prerouting dst-address=!192.168.0.230-192.168.0.250 in-interface=\ bridge-local new-routing-mark=rt_LAN1-WAN1 passthrough=no add action=mark-routing chain=prerouting dst-address=!192.168.0.2-192.168.0.9 in-interface=eth4 \ new-routing-mark=rt_LAN2-WAN2 passthrough=no /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/24 /ip route add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_WAN1 add distance=2 gateway=FORT routing-mark=rt_WAN1 add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_WAN2 add distance=2 gateway=TEK routing-mark=rt_WAN2 add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_LAN1-WAN1 add distance=2 gateway=TEK routing-mark=rt_LAN1-WAN1 add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_LAN2-WAN2 add distance=2 gateway=FORT routing-mark=rt_LAN2-WAN2 3. а это тот, где другой человек посоветовал дать компу, на котором расшарятся папки, два ip - любой до 192.168.0.10 и добавочный после 192.168.0.240, и вторая локалка должна была его увидеть, но не видит все равно также пытался добавить исключения для локального трафика в первый конфигadd action=mark-routing chain=prerouting in-interface=bridge-local out-interface!=eth4 new-routing-mark=rt_LAN1-WAN1 assthrough=noadd action=mark-routing chain=prerouting in-interface=eth4 out-interface!=bridge-local new-routing-mark=rt_LAN2-WAN2 passthrough=no но при попытке применить исправления роутер ругается - "Couldn't change Mangle Rule - outgoing interface matching not possible in input and prerouting chains (6)" Ip route print и остальное смогу выложить только ближе к вечеру сегодня, когда доступ будет к роутеру Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VGA Posted June 6, 2019 (edited) · Report post пиши в личку посмотрим, у вас проблемы с очередностью правил в мангле, поэтому пакеты улетают из него не доходя до ваших новых правил. Edited June 6, 2019 by VGA Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
coolfishsq Posted June 6, 2019 · Report post ip route print: [admin@MikroTik] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 TEK 1 1 S 0.0.0.0/0 FORT 2 2 A S 0.0.0.0/0 FORT 1 3 S 0.0.0.0/0 TEK 2 4 A S 0.0.0.0/0 TEK 1 5 S 0.0.0.0/0 TEK 2 6 A S 0.0.0.0/0 FORT 1 7 S 0.0.0.0/0 FORT 2 8 ADS 0.0.0.0/0 FORT 1 9 DS 0.0.0.0/0 TEK 1 10 ADC 10.89.255.254/32 91.144.175.197 FORT 0 TEK 11 ADC 192.168.0.0/25 192.168.0.1 bridge-local 0 12 ADC 192.168.0.128/25 192.168.0.129 eth4 0 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
coolfishsq Posted June 8, 2019 (edited) · Report post внезапно еще одна вещь вылезла - из 25 компов в сети около 5 не пингуются, хотя в интернет заходят и могут пинговать всех остальных, что может быть не так?) сделал reset TCP\IP-стека и WinSock //решено, эти компы за каким-то лешим отрубили доступ к сетевому окружению себе, а остальные - нет Edited June 8, 2019 by coolfishsq Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VGA Posted June 8, 2019 · Report post брандмауэр на них отключи и будет всё ок. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
coolfishsq Posted June 11, 2019 · Report post а не опасно? там сейчас только защитник windows из антивирусов стоит) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted June 11, 2019 (edited) · Report post 1 час назад, coolfishsq сказал: а не опасно? там сейчас только защитник windows из антивирусов стоит) тебе обязательно пингать? если нет, то забей. По дефолту пинг закрыт, если нужен погугли и открой icmp просто для нужной подсети или вообще Edited June 11, 2019 by fractal Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...