feeman Опубликовано 2 июня, 2021 · Жалоба На ссr микротике в одном влане живут две сети: 1. 192.168.100.1/24 - клиенты (на микротике поднят интерфейс с адресом 192.168.100.254) 2. 10.0.0.1/24 - сервера (на микротике поднят интерфейс с адресом 10.0.0.254) Само собой с маршрутизатора обе сити выдны, а вот с клиентских устройств нет. Вопрос вроде простой, но чёто не соображу какое правило нужно добавить чтоб клиенты могли видеть сервера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ace63 Опубликовано 2 июня, 2021 · Жалоба У всех компов должен быть указан шлюз из своей подсети и будет вам счастье. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 2 июня, 2021 · Жалоба Проверить, что в forward разрешен обмен между сетями Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 2 июня, 2021 · Жалоба 1 час назад, Ace63 сказал: у всех компов должен быть указан шлюз из своей подсети и будет вам счастье Выдача по DHCP. У клиентов шлюз 192.168.100.254 57 минут назад, jffulcrum сказал: Проверить, что в forward разрешен обмен между сетями Если не сложно, можно пример, пжл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 2 июня, 2021 · Жалоба /ip firewall address-list add address=192.168.100.0/24 list=net_1 add address=10.0.0.0/24 list=net_2 /ip firewall filter add action=accept chain=forward comment="Allow net_1 to net_2" src-address-list=net_1 dst-address-list=net_2 add action=accept chain=forward comment="Allow net_2 to net_1" src-address-list=net_2 dst-address-list=net_1 В Winbox подвинуть правила выше чем правило deny any. И проверить в правилах NAT, что исключен локальный трафик из правил src-nat/masquerade, особенно из последнего Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ace63 Опубликовано 2 июня, 2021 · Жалоба 4 часа назад, feeman сказал: Выдача по DHCP. У клиентов шлюз 192.168.100.254 А у серверов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 2 июня, 2021 (изменено) · Жалоба В 02.06.2021 в 18:11, Ace63 сказал: А у серверов? А у серверов не выставлен шлюз... route add -net 192.168.100.0/24 gw 10.0.0.254 В 02.06.2021 в 14:20, jffulcrum сказал: В Winbox подвинуть правила выше чем правило deny any. И проверить в правилах NAT, что исключен локальный трафик из правил src-nat/masquerade, особенно из последнего Сейчас вот так: ;;; NAT + IPsec connections chain=srcnat action=masquerade src-address-list=Network_access_to_Internet out-interface-list=WAN ipsec-policy=out,none Network_access_to_Internet: 192.168.100.0/24 Да, создал правила по вашему примеру: /ip firewall filter add action=accept chain=forward src-address=192.168.100.0/24 dst-addres=10.0.0.0/24 add action=accept chain=forward src-address=10.0.0.0/24 dst-address=192.168.100.0/24 добавил на серверах правило: route add - net 192.168.100.0/24 gw 10.0.0.254 но, счастья не произошло. не заработало... Изменено 8 июня, 2021 пользователем feeman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 2 июня, 2021 · Жалоба Если шлюз не в той же подсети, что интерфейс, то обычно это ошибка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lugoblin Опубликовано 2 июня, 2021 · Жалоба 10 hours ago, feeman said: 1. 192.168.100.1/24 - клиенты (на микротике поднят интерфейс с адресом 192.168.100.254) 2. 10.0.0.1/24 - сервера (на микротике поднят интерфейс с адресом 10.0.0.254) Посмотрите сниффером. Скорее всего, когда роутер видит пакет из 192.168.100.0/24 в 10.0.0.0/24, вместо того чтобы его тупо форвардить, он отвечает пакетом ICMP Redirect. А клиент его либо не ест, либо не умеет слать в 10.0.0.0/24 напрямую. Зло в том, что для роутера это один и тот-же интерфейс. Думаю, можно побороть сложносочинённым NAT-ом, но разнести по сети по разным VLAN-ам будет проще и чище. Или хотя-бы по разным физическим портам на роутере. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ace63 Опубликовано 3 июня, 2021 (изменено) · Жалоба Херня какая то, показывайте конфиг микротика, хотя бы ipconfig (ifconfig) одного рабочего места и одного сервера и покажите таблицу маршрутизации на рабочем компе и сервере. Изменено 3 июня, 2021 пользователем Ace63 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 4 июня, 2021 · Жалоба В 02.06.2021 в 22:00, Jora_Cornev сказал: Да, создал правила по вашему примеру: А счетчики на них растут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 6 июня, 2021 · Жалоба В 04.06.2021 в 12:12, jffulcrum сказал: А счетчики на них растут? Да, растут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 7 июня, 2021 (изменено) · Жалоба В 03.06.2021 в 05:12, Ace63 сказал: показывайте конфиг микротика Скрытый текст /interface bridge add dhcp-snooping=yes frame-types=admit-only-vlan-tagged ingress-filtering=yes name=Bridge_in_LAN protocol-mode=none vlan-filtering=yes /interface vlan add interface=Bridge_in_LAN name=vlan_1 vlan-id=1 /interface list add comment="Local Interface groupe" name=LAN /ppp profile set *0 only-one=yes use-compression=no use-encryption=required use-mpls=no use-upnp=no add change-tcp-mss=yes dns-server=192.168.100.254 local-address=192.168.100.254 name=pppoe_server only-one=yes use-compression=no use-encryption=yes use-mpls=no use-upnp=no /interface bridge port add bridge=Bridge_in_LAN interface=ether11 /ip firewall connection tracking set tcp-established-timeout=10m /ip neighbor discovery-settings set discover-interface-list=none /interface bridge vlan add bridge=Bridge_in_LAN tagged=ether11,Bridge_in_LAN vlan-ids=1 /interface pppoe-server server add authentication=pap,chap default-profile=pppoe_server disabled=no interface=vlan_1 keepalive-timeout=300 one-session-per-host=yes service-name=pppoe_server_1 /ip address add address=192.168.100.254/24 interface=vlan_1 network=192.168.100.0 add address=10.0.0.254/24 interface=vlan_1 network=10.0.0.0 /ip dns set allow-remote-requests=yes cache-max-ttl=1d cache-size=64000KiB max-concurrent-queries=25000 max-concurrent-tcp-sessions=5000 max-udp-packet-size=1432 servers=8.8.8.8,8.8.4.4 /ip firewall address-list add address=192.168.100.0/24 list=Network_access_to_Internet add address=0.0.0.0/8 list=BOGON add address=10.0.0.0/8 list=BOGON add address=100.64.0.0/10 list=BOGON add address=127.0.0.0/8 list=BOGON add address=169.254.0.0/16 list=BOGON add address=172.16.0.0/12 list=BOGON add address=192.0.0.0/24 list=BOGON add address=192.0.2.0/24 list=BOGON add address=192.168.0.0/16 list=BOGON add address=198.18.0.0/15 list=BOGON add address=198.51.100.0/24 list=BOGON add address=203.0.113.0/24 list=BOGON add address=224.0.0.0/4 list=BOGON add address=240.0.0.0/4 list=BOGON /ip firewall filter add action=accept chain=forward dst-address=192.168.100.0/24 src-address=10.0.0.0/24 add action=accept chain=forward dst-address=10.0.0.0/24 src-address=192.168.100.0/24 /ip firewall nat add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes add action=masquerade chain=srcnat comment="NAT + IPsec connections" ipsec-policy=out,none out-interface-list=WAN src-address-list=Network_access_to_Internet /ip route add check-gateway=ping distance=1 gateway=UP_Link_1 routing-mark=routing_to_UP_Link_1 add check-gateway=ping distance=1 gateway=UP_Link_2 routing-mark=routing_to_UP_Link_2 add check-gateway=ping distance=1 gateway=UP_Link_1 add check-gateway=ping distance=2 gateway=UP_Link_2 add comment="Emergency route" distance=254 type=blackhole /ip service set ftp disabled=yes set www disabled=yes set api disabled=yes set api-ssl disabled=yes /lcd set backlight-timeout=5m /ppp secret add name=ppp password=0000000 profile=pppoe_server service=pppoe set time-zone-autodetect=no /system clock manual set time-zone=+03:00 /system ntp client set enabled=yes primary-ntp=85.21.78.91 secondary-ntp=46.17.104.93 /system ntp server set enabled=yes В 03.06.2021 в 05:12, Ace63 сказал: хотя бы ipconfig (ifconfig) одного рабочего места Адаптер PPP Высокоскоростное подключение 2: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Высокоскоростное подключение 2 Физический адрес. . . . . . . . . : DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 192.168.100.42(Основной) Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз. . . . . . .. . . . : 0.0.0.0 DNS-серверы. . . . . . . . . .. . : 192.168.100.254 NetBios через TCP/IP. . . . . . . . : Отключен Изменено 7 июня, 2021 пользователем feeman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 7 июня, 2021 (изменено) · Жалоба В 03.06.2021 в 05:12, Ace63 сказал: ipconfig (ifconfig) одного сервера 7: Leth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo qlen 1000 link/ether 00:e1:93:12:45:c9 brd ff:ff:ff:ff:ff:ff inet 10.0.0.1/24 scope global Leth1 В 03.06.2021 в 05:12, Ace63 сказал: покажите таблицу маршрутизации на сервере Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.0.0 * 255.255.255.0 U 0 0 0 Leth1 192.168.100.0 10.0.0.254 255.255.255.0 UG 0 0 0 Leth1 Изменено 7 июня, 2021 пользователем feeman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 7 июня, 2021 · Жалоба А, так это клиенты PPPOE? 15 минут назад, feeman сказал: add action=masquerade chain=srcnat comment="NAT + IPsec connections" ipsec-policy=out,none out-interface-list=WAN src-address-list=Network_access_to_Internet переделайте на add action=masquerade chain=srcnat comment="NAT + IPsec connections" ipsec-policy=out,none out-interface-list=WAN src-address-list=Network_access_to_Internet dst-address-list=!BOGON Просто у вас WAN явно не объявлен, и трафик PPP интерфейсов вполне может затягивать в NAT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 7 июня, 2021 · Жалоба В 03.06.2021 в 05:12, Ace63 сказал: и покажите таблицу маршрутизации на рабочем компе IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 On-link 192.168.100.42 21 192.168.100.42 255.255.255.255 On-link 192.168.100.42 276 127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531 127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531 127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531 224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531 224.0.0.0 240.0.0.0 On-link 192.168.100.42 21 255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531 255.255.255.255 255.255.255.255 On-link 192.168.100.42 276 =========================================================================== Постоянные маршруты: Отсутствует 1 минуту назад, jffulcrum сказал: Просто у вас WAN явно не объявлен, и трафик PPP интерфейсов вполне может затягивать в NAT @jffulcrum , спасибо! Сейчас попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 7 июня, 2021 · Жалоба Кстати, вот что еще не понятно. При трассировке не показывает локальный адрес микротика: C:\>tracert 8.8.8.8 Трассировка маршрута к dns.google [8.8.8.8] с максимальным числом прыжков 30: 1 * * * Превышен интервал ожидания для запроса. <------- Тут должен быть 192.168.100.254 2 1 ms 1 ms 1 ms 188.XX.XX.49 3 6 ms 4 ms 8 ms 195.208.208.250 4 1 ms 3 ms 4 ms 108.170.250.66 5 3 ms 4 ms 3 ms 72.14.238.168 6 17 ms 20 ms 19 ms 142.250.210.47 7 19 ms 20 ms 19 ms 216.239.57.222 8 20 ms 20 ms 21 ms 172.253.64.53 9 * * * Превышен интервал ожидания для запроса. 10 * * * Превышен интервал ожидания для запроса. 11 * * * Превышен интервал ожидания для запроса. 12 * * * Превышен интервал ожидания для запроса. 13 * * * Превышен интервал ожидания для запроса. 14 * * * Превышен интервал ожидания для запроса. 15 * * * Превышен интервал ожидания для запроса. 16 * * * Превышен интервал ожидания для запроса. 17 * * * Превышен интервал ожидания для запроса. 18 * * * Превышен интервал ожидания для запроса. 19 19 ms 19 ms 19 ms dns.google [8.8.8.8] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 7 июня, 2021 (изменено) · Жалоба 5 часов назад, jffulcrum сказал: Просто у вас WAN явно не объявлен, и трафик PPP интерфейсов вполне может затягивать в NAT Правило добавил: dst-address-list=!BOGON. Но, счастья не случилось, трафик через микротик в другую подсеть не ходит, но при этом счётчики растут. Мож кто в курсе, что эта за мистика? Изменено 7 июня, 2021 пользователем feeman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Корпич Опубликовано 12 июня, 2021 · Жалоба В 02.06.2021 в 12:32, Ace63 сказал: У всех компов должен быть указан шлюз из своей подсети и будет вам счастье. В 07.06.2021 в 17:14, feeman сказал: Адаптер PPP Высокоскоростное подключение 2: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Высокоскоростное подключение 2 Физический адрес. . . . . . . . . : DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 192.168.100.42(Основной) Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз. . . . . . .. . . . : 0.0.0.0 DNS-серверы. . . . . . . . . .. . : 192.168.100.254 NetBios через TCP/IP. . . . . . . . : Отключен В 07.06.2021 в 17:30, feeman сказал: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.0.0.0 * 255.255.255.0 U 0 0 0 Leth1 192.168.100.0 10.0.0.254 255.255.255.0 UG 0 0 0 Leth1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...