feeman Posted June 2, 2021 Posted June 2, 2021 На ссr микротике в одном влане живут две сети: 1. 192.168.100.1/24 - клиенты (на микротике поднят интерфейс с адресом 192.168.100.254) 2. 10.0.0.1/24 - сервера (на микротике поднят интерфейс с адресом 10.0.0.254) Само собой с маршрутизатора обе сити выдны, а вот с клиентских устройств нет. Вопрос вроде простой, но чёто не соображу какое правило нужно добавить чтоб клиенты могли видеть сервера? Вставить ник Quote
Ace63 Posted June 2, 2021 Posted June 2, 2021 У всех компов должен быть указан шлюз из своей подсети и будет вам счастье. Вставить ник Quote
jffulcrum Posted June 2, 2021 Posted June 2, 2021 Проверить, что в forward разрешен обмен между сетями Вставить ник Quote
feeman Posted June 2, 2021 Author Posted June 2, 2021 1 час назад, Ace63 сказал: у всех компов должен быть указан шлюз из своей подсети и будет вам счастье Выдача по DHCP. У клиентов шлюз 192.168.100.254 57 минут назад, jffulcrum сказал: Проверить, что в forward разрешен обмен между сетями Если не сложно, можно пример, пжл. Вставить ник Quote
jffulcrum Posted June 2, 2021 Posted June 2, 2021 /ip firewall address-list add address=192.168.100.0/24 list=net_1 add address=10.0.0.0/24 list=net_2 /ip firewall filter add action=accept chain=forward comment="Allow net_1 to net_2" src-address-list=net_1 dst-address-list=net_2 add action=accept chain=forward comment="Allow net_2 to net_1" src-address-list=net_2 dst-address-list=net_1 В Winbox подвинуть правила выше чем правило deny any. И проверить в правилах NAT, что исключен локальный трафик из правил src-nat/masquerade, особенно из последнего Вставить ник Quote
Ace63 Posted June 2, 2021 Posted June 2, 2021 4 часа назад, feeman сказал: Выдача по DHCP. У клиентов шлюз 192.168.100.254 А у серверов? Вставить ник Quote
feeman Posted June 2, 2021 Author Posted June 2, 2021 (edited) В 02.06.2021 в 18:11, Ace63 сказал: А у серверов? А у серверов не выставлен шлюз... route add -net 192.168.100.0/24 gw 10.0.0.254 В 02.06.2021 в 14:20, jffulcrum сказал: В Winbox подвинуть правила выше чем правило deny any. И проверить в правилах NAT, что исключен локальный трафик из правил src-nat/masquerade, особенно из последнего Сейчас вот так: ;;; NAT + IPsec connections chain=srcnat action=masquerade src-address-list=Network_access_to_Internet out-interface-list=WAN ipsec-policy=out,none Network_access_to_Internet: 192.168.100.0/24 Да, создал правила по вашему примеру: /ip firewall filter add action=accept chain=forward src-address=192.168.100.0/24 dst-addres=10.0.0.0/24 add action=accept chain=forward src-address=10.0.0.0/24 dst-address=192.168.100.0/24 добавил на серверах правило: route add - net 192.168.100.0/24 gw 10.0.0.254 но, счастья не произошло. не заработало... Edited June 8, 2021 by feeman Вставить ник Quote
alibek Posted June 2, 2021 Posted June 2, 2021 Если шлюз не в той же подсети, что интерфейс, то обычно это ошибка. Вставить ник Quote
lugoblin Posted June 2, 2021 Posted June 2, 2021 10 hours ago, feeman said: 1. 192.168.100.1/24 - клиенты (на микротике поднят интерфейс с адресом 192.168.100.254) 2. 10.0.0.1/24 - сервера (на микротике поднят интерфейс с адресом 10.0.0.254) Посмотрите сниффером. Скорее всего, когда роутер видит пакет из 192.168.100.0/24 в 10.0.0.0/24, вместо того чтобы его тупо форвардить, он отвечает пакетом ICMP Redirect. А клиент его либо не ест, либо не умеет слать в 10.0.0.0/24 напрямую. Зло в том, что для роутера это один и тот-же интерфейс. Думаю, можно побороть сложносочинённым NAT-ом, но разнести по сети по разным VLAN-ам будет проще и чище. Или хотя-бы по разным физическим портам на роутере. Вставить ник Quote
Ace63 Posted June 3, 2021 Posted June 3, 2021 (edited) Херня какая то, показывайте конфиг микротика, хотя бы ipconfig (ifconfig) одного рабочего места и одного сервера и покажите таблицу маршрутизации на рабочем компе и сервере. Edited June 3, 2021 by Ace63 Вставить ник Quote
jffulcrum Posted June 4, 2021 Posted June 4, 2021 В 02.06.2021 в 22:00, Jora_Cornev сказал: Да, создал правила по вашему примеру: А счетчики на них растут? Вставить ник Quote
feeman Posted June 6, 2021 Author Posted June 6, 2021 В 04.06.2021 в 12:12, jffulcrum сказал: А счетчики на них растут? Да, растут. Вставить ник Quote
feeman Posted June 7, 2021 Author Posted June 7, 2021 (edited) В 03.06.2021 в 05:12, Ace63 сказал: показывайте конфиг микротика Скрытый текст /interface bridge add dhcp-snooping=yes frame-types=admit-only-vlan-tagged ingress-filtering=yes name=Bridge_in_LAN protocol-mode=none vlan-filtering=yes /interface vlan add interface=Bridge_in_LAN name=vlan_1 vlan-id=1 /interface list add comment="Local Interface groupe" name=LAN /ppp profile set *0 only-one=yes use-compression=no use-encryption=required use-mpls=no use-upnp=no add change-tcp-mss=yes dns-server=192.168.100.254 local-address=192.168.100.254 name=pppoe_server only-one=yes use-compression=no use-encryption=yes use-mpls=no use-upnp=no /interface bridge port add bridge=Bridge_in_LAN interface=ether11 /ip firewall connection tracking set tcp-established-timeout=10m /ip neighbor discovery-settings set discover-interface-list=none /interface bridge vlan add bridge=Bridge_in_LAN tagged=ether11,Bridge_in_LAN vlan-ids=1 /interface pppoe-server server add authentication=pap,chap default-profile=pppoe_server disabled=no interface=vlan_1 keepalive-timeout=300 one-session-per-host=yes service-name=pppoe_server_1 /ip address add address=192.168.100.254/24 interface=vlan_1 network=192.168.100.0 add address=10.0.0.254/24 interface=vlan_1 network=10.0.0.0 /ip dns set allow-remote-requests=yes cache-max-ttl=1d cache-size=64000KiB max-concurrent-queries=25000 max-concurrent-tcp-sessions=5000 max-udp-packet-size=1432 servers=8.8.8.8,8.8.4.4 /ip firewall address-list add address=192.168.100.0/24 list=Network_access_to_Internet add address=0.0.0.0/8 list=BOGON add address=10.0.0.0/8 list=BOGON add address=100.64.0.0/10 list=BOGON add address=127.0.0.0/8 list=BOGON add address=169.254.0.0/16 list=BOGON add address=172.16.0.0/12 list=BOGON add address=192.0.0.0/24 list=BOGON add address=192.0.2.0/24 list=BOGON add address=192.168.0.0/16 list=BOGON add address=198.18.0.0/15 list=BOGON add address=198.51.100.0/24 list=BOGON add address=203.0.113.0/24 list=BOGON add address=224.0.0.0/4 list=BOGON add address=240.0.0.0/4 list=BOGON /ip firewall filter add action=accept chain=forward dst-address=192.168.100.0/24 src-address=10.0.0.0/24 add action=accept chain=forward dst-address=10.0.0.0/24 src-address=192.168.100.0/24 /ip firewall nat add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes add action=masquerade chain=srcnat comment="NAT + IPsec connections" ipsec-policy=out,none out-interface-list=WAN src-address-list=Network_access_to_Internet /ip route add check-gateway=ping distance=1 gateway=UP_Link_1 routing-mark=routing_to_UP_Link_1 add check-gateway=ping distance=1 gateway=UP_Link_2 routing-mark=routing_to_UP_Link_2 add check-gateway=ping distance=1 gateway=UP_Link_1 add check-gateway=ping distance=2 gateway=UP_Link_2 add comment="Emergency route" distance=254 type=blackhole /ip service set ftp disabled=yes set www disabled=yes set api disabled=yes set api-ssl disabled=yes /lcd set backlight-timeout=5m /ppp secret add name=ppp password=0000000 profile=pppoe_server service=pppoe set time-zone-autodetect=no /system clock manual set time-zone=+03:00 /system ntp client set enabled=yes primary-ntp=85.21.78.91 secondary-ntp=46.17.104.93 /system ntp server set enabled=yes В 03.06.2021 в 05:12, Ace63 сказал: хотя бы ipconfig (ifconfig) одного рабочего места Адаптер PPP Высокоскоростное подключение 2: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Высокоскоростное подключение 2 Физический адрес. . . . . . . . . : DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 192.168.100.42(Основной) Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз. . . . . . .. . . . : 0.0.0.0 DNS-серверы. . . . . . . . . .. . : 192.168.100.254 NetBios через TCP/IP. . . . . . . . : Отключен Edited June 7, 2021 by feeman Вставить ник Quote
feeman Posted June 7, 2021 Author Posted June 7, 2021 (edited) В 03.06.2021 в 05:12, Ace63 сказал: ipconfig (ifconfig) одного сервера 7: Leth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo qlen 1000 link/ether 00:e1:93:12:45:c9 brd ff:ff:ff:ff:ff:ff inet 10.0.0.1/24 scope global Leth1 В 03.06.2021 в 05:12, Ace63 сказал: покажите таблицу маршрутизации на сервере Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.0.0 * 255.255.255.0 U 0 0 0 Leth1 192.168.100.0 10.0.0.254 255.255.255.0 UG 0 0 0 Leth1 Edited June 7, 2021 by feeman Вставить ник Quote
jffulcrum Posted June 7, 2021 Posted June 7, 2021 А, так это клиенты PPPOE? 15 минут назад, feeman сказал: add action=masquerade chain=srcnat comment="NAT + IPsec connections" ipsec-policy=out,none out-interface-list=WAN src-address-list=Network_access_to_Internet переделайте на add action=masquerade chain=srcnat comment="NAT + IPsec connections" ipsec-policy=out,none out-interface-list=WAN src-address-list=Network_access_to_Internet dst-address-list=!BOGON Просто у вас WAN явно не объявлен, и трафик PPP интерфейсов вполне может затягивать в NAT Вставить ник Quote
feeman Posted June 7, 2021 Author Posted June 7, 2021 В 03.06.2021 в 05:12, Ace63 сказал: и покажите таблицу маршрутизации на рабочем компе IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 On-link 192.168.100.42 21 192.168.100.42 255.255.255.255 On-link 192.168.100.42 276 127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531 127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531 127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531 224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531 224.0.0.0 240.0.0.0 On-link 192.168.100.42 21 255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531 255.255.255.255 255.255.255.255 On-link 192.168.100.42 276 =========================================================================== Постоянные маршруты: Отсутствует 1 минуту назад, jffulcrum сказал: Просто у вас WAN явно не объявлен, и трафик PPP интерфейсов вполне может затягивать в NAT @jffulcrum , спасибо! Сейчас попробую. Вставить ник Quote
feeman Posted June 7, 2021 Author Posted June 7, 2021 Кстати, вот что еще не понятно. При трассировке не показывает локальный адрес микротика: C:\>tracert 8.8.8.8 Трассировка маршрута к dns.google [8.8.8.8] с максимальным числом прыжков 30: 1 * * * Превышен интервал ожидания для запроса. <------- Тут должен быть 192.168.100.254 2 1 ms 1 ms 1 ms 188.XX.XX.49 3 6 ms 4 ms 8 ms 195.208.208.250 4 1 ms 3 ms 4 ms 108.170.250.66 5 3 ms 4 ms 3 ms 72.14.238.168 6 17 ms 20 ms 19 ms 142.250.210.47 7 19 ms 20 ms 19 ms 216.239.57.222 8 20 ms 20 ms 21 ms 172.253.64.53 9 * * * Превышен интервал ожидания для запроса. 10 * * * Превышен интервал ожидания для запроса. 11 * * * Превышен интервал ожидания для запроса. 12 * * * Превышен интервал ожидания для запроса. 13 * * * Превышен интервал ожидания для запроса. 14 * * * Превышен интервал ожидания для запроса. 15 * * * Превышен интервал ожидания для запроса. 16 * * * Превышен интервал ожидания для запроса. 17 * * * Превышен интервал ожидания для запроса. 18 * * * Превышен интервал ожидания для запроса. 19 19 ms 19 ms 19 ms dns.google [8.8.8.8] Вставить ник Quote
feeman Posted June 7, 2021 Author Posted June 7, 2021 (edited) 5 часов назад, jffulcrum сказал: Просто у вас WAN явно не объявлен, и трафик PPP интерфейсов вполне может затягивать в NAT Правило добавил: dst-address-list=!BOGON. Но, счастья не случилось, трафик через микротик в другую подсеть не ходит, но при этом счётчики растут. Мож кто в курсе, что эта за мистика? Edited June 7, 2021 by feeman Вставить ник Quote
Корпич Posted June 12, 2021 Posted June 12, 2021 В 02.06.2021 в 12:32, Ace63 сказал: У всех компов должен быть указан шлюз из своей подсети и будет вам счастье. В 07.06.2021 в 17:14, feeman сказал: Адаптер PPP Высокоскоростное подключение 2: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Высокоскоростное подключение 2 Физический адрес. . . . . . . . . : DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 192.168.100.42(Основной) Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз. . . . . . .. . . . : 0.0.0.0 DNS-серверы. . . . . . . . . .. . : 192.168.100.254 NetBios через TCP/IP. . . . . . . . : Отключен В 07.06.2021 в 17:30, feeman сказал: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.0.0 * 255.255.255.0 U 0 0 0 Leth1 192.168.100.0 10.0.0.254 255.255.255.0 UG 0 0 0 Leth1 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.