Jump to content
Калькуляторы

1 микротик, 2 провайдера, 2 сети, сети не видят друг друга

Добрый день, ситуация такая - имеется роутер mikrotik, 1 порт - первый провайдер, 2 порт - локальная сеть для первого провайдера, 3 порт - второй провайдер, 4 порт - локальная сеть второго провайдера. Интернет настроен, локалки берут сеть из своих провайдеров, только нужно, чтобы они и друг друга видели - на первой локалке есть расшаренные папки, которые должна видеть вторая локалка, а она никак их не видит. Помогите советом [IMG]



Добавление от 30.05.2019 18:55:



конфиг прилагаю

# may/30/2019 18:49:19 by RouterOS 6.44.3
# model = RB952Ui-5ac2nD
/interface bridge
add name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN1 name=eth1
set [ find default-name=ether2 ] comment=LAN1 name=eth2
set [ find default-name=ether3 ] comment=WAN2 name=eth3
set [ find default-name=ether4 ] comment=LAN2 name=eth4
set [ find default-name=ether5 ] name=eth5
/interface pppoe-client
add add-default-route=yes disabled=no interface=eth3 name=***** password=***** use-peer-dns=yes \
user=*****
add add-default-route=yes disabled=no interface=eth1 name=***** password=***** use-peer-dns=yes \
user=*****
/interface wireless
set [ find default-name=wlan2 ] country=russia disabled=no mode=ap-bridge ssid=MikroTik \
wireless-protocol=802.11
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=\
MikroTik wpa-pre-shared-key=***** wpa2-pre-shared-key=*****
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys \
name=profile1 supplicant-identity="" wpa2-pre-shared-key=*****
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no mode=ap-bridge \
security-profile=profile1 ssid=MikroTik wireless-protocol=802.11
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool_LAN1 ranges=192.168.0.10-192.168.0.110
add name=pool_LAN2 ranges=192.168.0.130-192.168.0.230
/ip dhcp-server
add address-pool=pool_LAN1 disabled=no interface=bridge-local name=server1
add address-pool=pool_LAN2 disabled=no interface=eth4 name=server2
/interface bridge port
add bridge=bridge-local interface=eth2
add bridge=bridge-local interface=wlan1
add bridge=bridge-local disabled=yes interface=wlan2
/interface list member
add interface=bridge-local list=LAN
add interface=TEK list=WAN
/ip address
add address=192.168.0.1/25 interface=bridge-local network=192.168.0.0
add address=192.168.0.129/25 interface=eth4 network=192.168.0.128
/ip dhcp-client
add dhcp-options=hostname,clientid interface=wlan2
/ip dhcp-server network
add address=192.168.0.0/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.1
add address=192.168.0.128/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.129
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=drop chain=input comment="drop ssh forcers" dst-port=22,23 protocol=tcp src-address-list=\
login_blacklist
add action=add-src-to-address-list address-list=login_blacklist address-list-timeout=1w3d chain=input \
connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=2m chain=input \
connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=2m chain=input \
connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=2m chain=input \
connection-state=new dst-port=22,23 protocol=tcp
/ip firewall mangle
add action=mark-connection chain=input in-interface=TEK new-connection-mark=in_WAN1 passthrough=no
add action=mark-connection chain=input in-interface=FORT new-connection-mark=in_WAN2 passthrough=no
add action=mark-routing chain=output connection-mark=in_WAN1 new-routing-mark=rt_WAN1 passthrough=no
add action=mark-routing chain=output new-routing-mark=rt_WAN2 passthrough=no routing-mark=in_WAN2
add action=mark-routing chain=prerouting in-interface=bridge-local new-routing-mark=rt_LAN1-WAN1 \
passthrough=no
add action=mark-routing chain=prerouting in-interface=eth4 new-routing-mark=rt_LAN2-WAN2 passthrough=\
no
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24
/ip route
add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_WAN1
add distance=2 gateway=FORT routing-mark=rt_WAN1
add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_WAN2
add distance=2 gateway=TEK routing-mark=rt_WAN2
add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_LAN1-WAN1
add distance=2 gateway=TEK routing-mark=rt_LAN1-WAN1
add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_LAN2-WAN2
add distance=2 gateway=FORT routing-mark=rt_LAN2-WAN2
/system clock
set time-zone-name=Europe/Moscow

Share this post


Link to post
Share on other sites

покажите с любого клиента ipconfig /all

Share this post


Link to post
Share on other sites

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Физический адрес. . . . . . . . . : D8-CB-8A-19-7D-36
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::68f9:a81c:fa08:9f49%10(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.15(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.128
   Аренда получена. . . . . . . . . . : 30 мая 2019 г. 17:42:51
   Срок аренды истекает. . . . . . . . . . : 30 мая 2019 г. 18:27:51
   Основной шлюз. . . . . . . . . : 192.168.0.1
   DHCP-сервер. . . . . . . . . . . : 192.168.0.1
   IAID DHCPv6 . . . . . . . . . . . : 114871178
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-24-74-1E-D1-D8-CB-8A-19-7D-36
   DNS-серверы. . . . . . . . . . . : 8.8.8.8
                                       8.8.4.4
   NetBios через TCP/IP. . . . . . . . : Включен

Edited by coolfishsq

Share this post


Link to post
Share on other sites

скорей всего из-за того, что вы весь трафик, независимо от направления отправляете в именованную таблицу маршрутизации и дальше провайдеру

 

проверить просто, добавьте log правило в filter в цепочке forward с src адресом одной сети, dst - другой, и попробуйте зайти на ПК другой сети или просто ping, в логах будет виден out-interface, что там написано?

 

вторая возможная причина это фаерволы/антивирусы на ПК, для них пакеты из другой сети "чужие", и блокируются даже встроенным в виндовс фаерволом

Share this post


Link to post
Share on other sites

Суть в том что у вас все пакеты из интерфейса ether2 метятся для роутинга как rt_WAN1 и маршрут им указан WAN1 и аналогично пакеты из ether4 метятся для роутинга как rt_WAN2 соответственно меченные пакеты у вас уходят в интернет игнорируя main маршруты.

В общем вам надо или добавить два статических маршрута типа

 

/ip route  192.168.0.0/25  distance=1 gateway=bridge-local routing-mark=rt_WAN1

/ip route  192.168.0.128/25  distance=1 gateway=eth4 routing-mark=rt_WAN2

 

это типа чтобы указать для меченых пакетов где находятся внутренние сети.

ИЛИ что правильнее не метить пакеты которые идут во внутренние сети изменив вот эти правила

 

add action=mark-routing chain=prerouting in-interface=bridge-local new-routing-mark=rt_LAN1-WAN1 passthrough=no
add action=mark-routing chain=prerouting in-interface=eth4 new-routing-mark=rt_LAN2-WAN2 passthrough=no

 

на такиеже но с добавлением dst-address=!192.168.х.х/25. Получится как то так

 

add action=mark-routing chain=prerouting in-interface=bridge-local dst-address=!192.168.0.128/25 new-routing-mark=rt_LAN1-WAN1 passthrough=no
add action=mark-routing chain=prerouting in-interface=eth4 dst-address=!192.168.0.0/25 new-routing-mark=rt_LAN2-WAN2 passthrough=no

 

еще можно в самом верху мангла написать

 

add action=mark-routing chain=prerouting dst-address=192.168.0.0/24 new-routing-mark=main passthrough=no

 

тоесть этим правилом сверху мангла пометить пакеты идущие во внутренние сети как для роутинга в main таблице маршрутов.

 

И всё начнёт у вас работать как надо.

Edited by VGA

Share this post


Link to post
Share on other sites

Изменил правила, но все так же даже не пингуются сетки друг из друга, эх...

Share this post


Link to post
Share on other sites
55 минут назад, coolfishsq сказал:

Изменил правила, но все так же даже не пингуются сетки друг из друга, эх...

выложи еще раз конфиг посмотрю что получилось, и выложи еще  ip route print. Еще бы посмотреть ip firewall connection когда идёт пинг из одной сети в другую чтобы посмотреть как метятся пакеты на внутренние сети.

 

А вообще сделай так;

1) в терминале введи ip firewall mangle add action=mark-routing chain=prerouting dst-address=192.168.0.0/24 new-routing-mark=main passthrough=no

2) затем ip firewall mangle print  и посмотри под каким номером появилось данное правило (например оно стало номером 9)

3) затем командой ip firewall mangle move 9 0 сдвинь его на нулевую позицию (можно просто мышкой в винбоксе перетащить вверх)

после этого должно всё заработать.

Edited by VGA

Share this post


Link to post
Share on other sites

а не проще добавить маршрут с меткой роутинк марк ( сдублировать существующий динамический но с меткой).

Share this post


Link to post
Share on other sites
5 часов назад, Constantin сказал:

а не проще добавить маршрут с меткой роутинк марк ( сдублировать существующий динамический но с меткой).

Да можно и так сделать, то есть добавить по одному дополнительному маршруту в таблицы маршрутизаций меченных  метками.

Вообще coolfishsq нужно почитать что такое VRF или  routing instance, так как то что он сделал и является по сути микротиковской реализацией данных технологий,

Share this post


Link to post
Share on other sites
Скрытый текст

/interface bridge
add name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN1 name=eth1
set [ find default-name=ether2 ] comment=LAN1 name=eth2
set [ find default-name=ether3 ] comment=WAN2 name=eth3
set [ find default-name=ether4 ] comment=LAN2 name=eth4
set [ find default-name=ether5 ] name=eth5
/interface pppoe-client
add add-default-route=yes disabled=no interface=eth3 name=* password=* use-peer-dns=yes \
user=*
add add-default-route=yes disabled=no interface=eth1 name=* password=* use-peer-dns=yes \
user=*
/interface wireless
set [ find default-name=wlan2 ] country=russia disabled=no mode=ap-bridge ssid=MikroTik \
wireless-protocol=802.11
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=\
MikroTik wpa-pre-shared-key=* wpa2-pre-shared-key=*
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys \
name=profile1 supplicant-identity="" wpa2-pre-shared-key=*
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no mode=ap-bridge \
security-profile=profile1 ssid=MikroTik wireless-protocol=802.11
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool_LAN1 ranges=192.168.0.10-192.168.0.110
add name=pool_LAN2 ranges=192.168.0.130-192.168.0.230
/ip dhcp-server
add address-pool=pool_LAN1 disabled=no interface=bridge-local name=server1
add address-pool=pool_LAN2 disabled=no interface=eth4 name=server2
/interface bridge port
add bridge=bridge-local interface=eth2
add bridge=bridge-local interface=wlan1
add bridge=bridge-local disabled=yes interface=wlan2
/interface list member
add interface=bridge-local list=LAN
add interface=TEK list=WAN
/ip address
add address=192.168.0.1/25 interface=bridge-local network=192.168.0.0
add address=192.168.0.129/25 interface=eth4 network=192.168.0.128
/ip dhcp-client
add dhcp-options=hostname,clientid interface=wlan2
/ip dhcp-server network
add address=192.168.0.0/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.1
add address=192.168.0.128/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.129
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=drop chain=input comment="drop ssh forcers" dst-port=22,23 protocol=tcp src-address-list=\
login_blacklist
add action=add-src-to-address-list address-list=login_blacklist address-list-timeout=1w3d chain=input \
connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=2m chain=input \
connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=2m chain=input \
connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=2m chain=input \
connection-state=new dst-port=22,23 protocol=tcp
/ip firewall mangle
add action=mark-connection chain=input in-interface=TEK new-connection-mark=in_WAN1 passthrough=no
add action=mark-connection chain=input in-interface=FORT new-connection-mark=in_WAN2 passthrough=no
add action=mark-routing chain=output connection-mark=in_WAN1 new-routing-mark=rt_WAN1 passthrough=no
add action=mark-routing chain=output new-routing-mark=rt_WAN2 passthrough=no routing-mark=in_WAN2
add action=mark-routing chain=prerouting in-interface=bridge-local new-routing-mark=rt_LAN1-WAN1 \
passthrough=no
add action=mark-routing chain=prerouting in-interface=eth4 new-routing-mark=rt_LAN2-WAN2 passthrough=\
no
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24
/ip route
add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_WAN1
add distance=2 gateway=FORT routing-mark=rt_WAN1
add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_WAN2
add distance=2 gateway=TEK routing-mark=rt_WAN2
add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_LAN1-WAN1
add distance=2 gateway=TEK routing-mark=rt_LAN1-WAN1
add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_LAN2-WAN2
add distance=2 gateway=FORT routing-mark=rt_LAN2-WAN2

 1. это изначальный конфиг

 

 

Скрытый текст

/interface bridge
add name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN1 name=eth1
set [ find default-name=ether2 ] comment=LAN1 name=eth2
set [ find default-name=ether3 ] comment=WAN2 name=eth3
set [ find default-name=ether4 ] comment=LAN2 name=eth4
set [ find default-name=ether5 ] name=eth5
/interface pppoe-client
add add-default-route=yes disabled=no interface=eth3 name=* password=* use-peer-dns=yes \
    user=*
add add-default-route=yes disabled=no interface=eth1 name=* password=* use-peer-dns=yes \
    user=*
/interface wireless
set [ find default-name=wlan2 ] country=russia disabled=no mode=ap-bridge ssid=MikroTik \
    wireless-protocol=802.11
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=\
    MikroTik wpa-pre-shared-key=* wpa2-pre-shared-key=*
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys \
    name=profile1 supplicant-identity="" wpa2-pre-shared-key=*
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no mode=ap-bridge \
    security-profile=profile1 ssid=MikroTik wireless-protocol=802.11
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool_LAN1 ranges=192.168.0.10-192.168.0.110
add name=pool_LAN2 ranges=192.168.0.130-192.168.0.230
/ip dhcp-server
add address-pool=pool_LAN1 disabled=no interface=bridge-local name=server1
add address-pool=pool_LAN2 disabled=no interface=eth4 name=server2
/interface bridge port
add bridge=bridge-local interface=eth2
add bridge=bridge-local interface=wlan1
add bridge=bridge-local disabled=yes interface=wlan2
/interface list member
add interface=bridge-local list=LAN
add interface=TEK list=WAN
/ip address
add address=192.168.0.1/25 interface=bridge-local network=192.168.0.0
add address=192.168.0.129/25 interface=eth4 network=192.168.0.128
/ip dhcp-client
add dhcp-options=hostname,clientid interface=wlan2
/ip dhcp-server network
add address=192.168.0.0/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.1
add address=192.168.0.128/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.129
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=drop chain=input comment="drop ssh forcers" dst-port=22,23 protocol=tcp src-address-list=\
    login_blacklist
add action=add-src-to-address-list address-list=login_blacklist address-list-timeout=1w3d chain=input \
    connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=2m chain=input \
    connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=2m chain=input \
    connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=2m chain=input \
    connection-state=new dst-port=22,23 protocol=tcp
/ip firewall mangle
add action=mark-connection chain=input in-interface=TEK new-connection-mark=in_WAN1 passthrough=no
add action=mark-connection chain=input in-interface=FORT new-connection-mark=in_WAN2 passthrough=no
add action=mark-routing chain=output connection-mark=in_WAN1 new-routing-mark=rt_WAN1 passthrough=no
add action=mark-routing chain=output new-routing-mark=rt_WAN2 passthrough=no routing-mark=in_WAN2
add action=mark-routing chain=prerouting dst-address=!192.168.0.128/25 in-interface=bridge-local \
    new-routing-mark=rt_LAN1-WAN1 passthrough=no
add action=mark-routing chain=prerouting dst-address=!192.168.0.0/25 in-interface=eth4 \
    new-routing-mark=rt_LAN2-WAN2 passthrough=no
add action=mark-routing chain=prerouting dst-address=192.168.0.0/24 new-routing-mark=main \
    passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24
/ip route
add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_WAN1
add distance=2 gateway=FORT routing-mark=rt_WAN1
add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_WAN2
add distance=2 gateway=TEK routing-mark=rt_WAN2
add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_LAN1-WAN1
add distance=2 gateway=TEK routing-mark=rt_LAN1-WAN1
add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_LAN2-WAN2
add distance=2 gateway=FORT routing-mark=rt_LAN2-WAN2

2. это я добавил

add action=mark-routing chain=prerouting in-interface=bridge-local dst-address=!192.168.0.128/25 new-routing-mark=rt_LAN1-WAN1 passthrough=no
add action=mark-routing chain=prerouting in-interface=eth4 dst-address=!192.168.0.0/25 new-routing-mark=rt_LAN2-WAN2 passthrough=no
add action=mark-routing chain=prerouting dst-address=192.168.0.0/24 new-routing-mark=main passthrough=no

 

 

 

Скрытый текст

/interface bridge
add name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN1 name=eth1
set [ find default-name=ether2 ] comment=LAN1 name=eth2
set [ find default-name=ether3 ] comment=WAN2 name=eth3
set [ find default-name=ether4 ] comment=LAN2 name=eth4
set [ find default-name=ether5 ] name=eth5
/interface pppoe-client
add add-default-route=yes disabled=no interface=eth3 name=* password=* use-peer-dns=yes \
    user=*
add add-default-route=yes disabled=no interface=eth1 name=* password=* use-peer-dns=yes \
    user=*
/interface wireless
set [ find default-name=wlan2 ] country=russia disabled=no mode=ap-bridge ssid=MikroTik \
    wireless-protocol=802.11
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=\
    MikroTik wpa-pre-shared-key=* wpa2-pre-shared-key=*
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys \
    name=profile1 supplicant-identity="" wpa2-pre-shared-key=*
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no mode=ap-bridge \
    security-profile=profile1 ssid=MikroTik wireless-protocol=802.11
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool_LAN1 ranges=192.168.0.10-192.168.0.110
add name=pool_LAN2 ranges=192.168.0.130-192.168.0.230
/ip dhcp-server
add address-pool=pool_LAN1 disabled=no interface=bridge-local name=server1
add address-pool=pool_LAN2 disabled=no interface=eth4 name=server2
/interface bridge port
add bridge=bridge-local interface=eth2
add bridge=bridge-local interface=wlan1
add bridge=bridge-local disabled=yes interface=wlan2
/interface list member
add interface=bridge-local list=LAN
add interface=TEK list=WAN
/ip address
add address=192.168.0.1/25 interface=bridge-local network=192.168.0.0
add address=192.168.0.129/25 interface=eth4 network=192.168.0.128
/ip dhcp-client
add dhcp-options=hostname,clientid interface=wlan2
/ip dhcp-server network
add address=192.168.0.0/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.1
add address=192.168.0.128/25 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.129
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=drop chain=input comment="drop ssh forcers" dst-port=22,23 protocol=tcp src-address-list=\
    login_blacklist
add action=add-src-to-address-list address-list=login_blacklist address-list-timeout=1w3d chain=input \
    connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=2m chain=input \
    connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=2m chain=input \
    connection-state=new dst-port=22,23 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=2m chain=input \
    connection-state=new dst-port=22,23 protocol=tcp
/ip firewall mangle
add action=mark-connection chain=input in-interface=TEK new-connection-mark=in_WAN1 passthrough=no
add action=mark-connection chain=input in-interface=FORT new-connection-mark=in_WAN2 passthrough=no
add action=mark-routing chain=output connection-mark=in_WAN1 new-routing-mark=rt_WAN1 passthrough=no
add action=mark-routing chain=output new-routing-mark=rt_WAN2 passthrough=no routing-mark=in_WAN2
add action=mark-routing chain=prerouting dst-address=!192.168.0.230-192.168.0.250 in-interface=\
    bridge-local new-routing-mark=rt_LAN1-WAN1 passthrough=no
add action=mark-routing chain=prerouting dst-address=!192.168.0.2-192.168.0.9 in-interface=eth4 \
    new-routing-mark=rt_LAN2-WAN2 passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24
/ip route
add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_WAN1
add distance=2 gateway=FORT routing-mark=rt_WAN1
add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_WAN2
add distance=2 gateway=TEK routing-mark=rt_WAN2
add check-gateway=ping distance=1 gateway=TEK routing-mark=rt_LAN1-WAN1
add distance=2 gateway=TEK routing-mark=rt_LAN1-WAN1
add check-gateway=ping distance=1 gateway=FORT routing-mark=rt_LAN2-WAN2
add distance=2 gateway=FORT routing-mark=rt_LAN2-WAN2
 

3. а это тот, где другой человек посоветовал дать компу, на котором расшарятся папки, два ip - любой до 192.168.0.10 и добавочный после 192.168.0.240, и вторая локалка должна была его увидеть, но не видит все равно

 

также пытался добавить исключения для локального трафика в первый конфиг
add action=mark-routing chain=prerouting in-interface=bridge-local out-interface!=eth4 new-routing-mark=rt_LAN1-WAN1 assthrough=no
add action=mark-routing chain=prerouting in-interface=eth4 out-interface!=bridge-local new-routing-mark=rt_LAN2-WAN2 passthrough=no 
но при попытке применить исправления роутер ругается - "Couldn't change Mangle Rule - outgoing interface matching not possible in input and prerouting chains (6)"

 

Ip route print и остальное смогу выложить только ближе к вечеру сегодня, когда доступ будет к роутеру

Share this post


Link to post
Share on other sites

пиши в личку посмотрим, у вас проблемы с очередностью правил в мангле, поэтому пакеты улетают из него не доходя до ваших новых правил.

Edited by VGA

Share this post


Link to post
Share on other sites

ip route print:

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          TEK                       1
 1   S  0.0.0.0/0                          FORT                      2
 2 A S  0.0.0.0/0                          FORT                      1
 3   S  0.0.0.0/0                          TEK                       2
 4 A S  0.0.0.0/0                          TEK                       1
 5   S  0.0.0.0/0                          TEK                       2
 6 A S  0.0.0.0/0                          FORT                      1
 7   S  0.0.0.0/0                          FORT                      2
 8 ADS  0.0.0.0/0                          FORT                      1
 9  DS  0.0.0.0/0                          TEK                       1
10 ADC  10.89.255.254/32   91.144.175.197  FORT                      0
                                           TEK               
11 ADC  192.168.0.0/25     192.168.0.1     bridge-local              0
12 ADC  192.168.0.128/25   192.168.0.129   eth4                      0

Share this post


Link to post
Share on other sites

внезапно еще одна вещь вылезла - из 25 компов в сети около 5 не пингуются, хотя в интернет заходят и могут пинговать всех остальных, что может быть не так?) сделал reset TCP\IP-стека и WinSock

//решено, эти компы за каким-то лешим отрубили доступ к сетевому окружению себе, а остальные - нет

Edited by coolfishsq

Share this post


Link to post
Share on other sites

брандмауэр на них отключи и будет всё ок.

 

Share this post


Link to post
Share on other sites

а не опасно? там сейчас только защитник windows из антивирусов стоит)

Share this post


Link to post
Share on other sites
1 час назад, coolfishsq сказал:

а не опасно? там сейчас только защитник windows из антивирусов стоит)

тебе обязательно пингать? если нет, то забей. По дефолту пинг закрыт, если нужен погугли и открой icmp просто для нужной подсети или вообще

Edited by fractal

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this