[feeman]

На ссr микротике в одном влане живут две сети:

1. 192.168.100.1/24 - клиенты (на микротике поднят интерфейс с адресом 192.168.100.254)

2. 10.0.0.1/24 - сервера (на микротике поднят интерфейс с адресом 10.0.0.254)

 

Само собой с маршрутизатора обе сити выдны, а вот с клиентских устройств нет.

Вопрос вроде простой, но чёто не соображу какое правило нужно добавить чтоб клиенты могли видеть сервера?

 

 

 

[Ace63]

У всех компов должен быть указан шлюз из своей подсети и будет вам счастье.

[jffulcrum]

Проверить, что в forward разрешен обмен между сетями

[feeman]

1 час назад, Ace63 сказал:

у всех компов должен быть указан шлюз из своей подсети и будет вам счастье

Выдача по DHCP.

У клиентов шлюз 192.168.100.254

 

57 минут назад, jffulcrum сказал:

Проверить, что в forward разрешен обмен между сетями 

Если не сложно, можно пример, пжл.

[jffulcrum]

/ip firewall address-list
add address=192.168.100.0/24 list=net_1
add address=10.0.0.0/24 list=net_2
/ip firewall filter
add action=accept chain=forward comment="Allow net_1 to net_2" src-address-list=net_1 dst-address-list=net_2
add action=accept chain=forward comment="Allow net_2 to net_1" src-address-list=net_2 dst-address-list=net_1

 

В Winbox подвинуть правила выше чем правило deny any. И проверить в правилах NAT, что исключен локальный трафик из правил src-nat/masquerade, особенно из последнего

[Ace63]

4 часа назад, feeman сказал:

Выдача по DHCP.

У клиентов шлюз 192.168.100.254

А у серверов?

[feeman]

В 02.06.2021 в 18:11, Ace63 сказал:

А у серверов?

А у серверов не выставлен шлюз...

 

route add -net 192.168.100.0/24 gw 10.0.0.254

 

 

В 02.06.2021 в 14:20, jffulcrum сказал:

В Winbox подвинуть правила выше чем правило deny any. И проверить в правилах NAT, что исключен локальный трафик из правил src-nat/masquerade, особенно из последнего

Сейчас вот так:

;;; NAT + IPsec connections
      chain=srcnat action=masquerade src-address-list=Network_access_to_Internet out-interface-list=WAN ipsec-policy=out,none
Network_access_to_Internet: 192.168.100.0/24

 

 

Да, создал правила по вашему примеру:

/ip firewall filter
add action=accept chain=forward src-address=192.168.100.0/24 dst-addres=10.0.0.0/24
add action=accept chain=forward src-address=10.0.0.0/24 dst-address=192.168.100.0/24

 
добавил на серверах правило:

route add - net 192.168.100.0/24 gw 10.0.0.254

 
но, счастья не произошло. не заработало... 

 

Изменено 8 июня, 2021 пользователем feeman

[alibek]

Если шлюз не в той же подсети, что интерфейс, то обычно это ошибка.

[lugoblin]

10 hours ago, feeman said:

1. 192.168.100.1/24 - клиенты (на микротике поднят интерфейс с адресом 192.168.100.254)

2. 10.0.0.1/24 - сервера (на микротике поднят интерфейс с адресом 10.0.0.254)

Посмотрите сниффером. Скорее всего, когда роутер видит пакет из 192.168.100.0/24 в 10.0.0.0/24, вместо того чтобы его тупо форвардить, он отвечает пакетом ICMP Redirect. А клиент его либо не ест, либо не умеет слать в 10.0.0.0/24 напрямую.

 

Зло в том, что для роутера это один и тот-же интерфейс. Думаю, можно побороть сложносочинённым NAT-ом, но разнести по сети по разным VLAN-ам будет проще и чище. Или хотя-бы по разным физическим портам на роутере.

 

[Ace63]

Херня какая то, показывайте конфиг микротика, хотя бы ipconfig (ifconfig) одного рабочего места и одного сервера и покажите таблицу маршрутизации на рабочем компе и сервере.

Изменено 3 июня, 2021 пользователем Ace63

[jffulcrum]

В 02.06.2021 в 22:00, Jora_Cornev сказал:

Да, создал правила по вашему примеру:

А счетчики на них растут?

[feeman]

В 04.06.2021 в 12:12, jffulcrum сказал:

А счетчики на них растут?

Да, растут.

[feeman]

В 03.06.2021 в 05:12, Ace63 сказал:

показывайте конфиг микротика

Скрытый текст

/interface bridge
add dhcp-snooping=yes frame-types=admit-only-vlan-tagged ingress-filtering=yes name=Bridge_in_LAN protocol-mode=none vlan-filtering=yes

/interface vlan
add interface=Bridge_in_LAN name=vlan_1 vlan-id=1

/interface list
add comment="Local Interface groupe" name=LAN

/ppp profile
set *0 only-one=yes use-compression=no use-encryption=required use-mpls=no use-upnp=no
add change-tcp-mss=yes dns-server=192.168.100.254 local-address=192.168.100.254 name=pppoe_server only-one=yes use-compression=no use-encryption=yes use-mpls=no use-upnp=no

/interface bridge port
add bridge=Bridge_in_LAN interface=ether11
/ip firewall connection tracking
set tcp-established-timeout=10m
/ip neighbor discovery-settings
set discover-interface-list=none
/interface bridge vlan
add bridge=Bridge_in_LAN tagged=ether11,Bridge_in_LAN vlan-ids=1

/interface pppoe-server server
add authentication=pap,chap default-profile=pppoe_server disabled=no interface=vlan_1 keepalive-timeout=300 one-session-per-host=yes service-name=pppoe_server_1

/ip address
add address=192.168.100.254/24 interface=vlan_1 network=192.168.100.0
add address=10.0.0.254/24 interface=vlan_1 network=10.0.0.0

/ip dns
set allow-remote-requests=yes cache-max-ttl=1d cache-size=64000KiB max-concurrent-queries=25000 max-concurrent-tcp-sessions=5000 max-udp-packet-size=1432 servers=8.8.8.8,8.8.4.4

/ip firewall address-list
add address=192.168.100.0/24 list=Network_access_to_Internet
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
 
/ip firewall filter
add action=accept chain=forward dst-address=192.168.100.0/24 src-address=10.0.0.0/24
add action=accept chain=forward dst-address=10.0.0.0/24 src-address=192.168.100.0/24

/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat comment="NAT + IPsec connections" ipsec-policy=out,none out-interface-list=WAN src-address-list=Network_access_to_Internet

/ip route
add check-gateway=ping distance=1 gateway=UP_Link_1 routing-mark=routing_to_UP_Link_1
add check-gateway=ping distance=1 gateway=UP_Link_2 routing-mark=routing_to_UP_Link_2

add check-gateway=ping distance=1 gateway=UP_Link_1
add check-gateway=ping distance=2 gateway=UP_Link_2

add comment="Emergency route" distance=254 type=blackhole

/ip service
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/lcd
set backlight-timeout=5m
/ppp secret
add name=ppp password=0000000 profile=pppoe_server service=pppoe
set time-zone-autodetect=no
/system clock manual
set time-zone=+03:00
/system ntp client
set enabled=yes primary-ntp=85.21.78.91 secondary-ntp=46.17.104.93
/system ntp server
set enabled=yes
 

 

 

В 03.06.2021 в 05:12, Ace63 сказал:

хотя бы ipconfig (ifconfig) одного рабочего места

Адаптер PPP Высокоскоростное подключение 2:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Высокоскоростное подключение 2
   Физический адрес. . . . . . . . . :
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.100.42(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . .. . . . : 0.0.0.0
   DNS-серверы. . . . . . . . . .. . : 192.168.100.254
   NetBios через TCP/IP. . . . . . . . : Отключен

 

Изменено 7 июня, 2021 пользователем feeman

[feeman]

В 03.06.2021 в 05:12, Ace63 сказал:

ipconfig (ifconfig) одного сервера

 

7: Leth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo qlen 1000
    link/ether 00:e1:93:12:45:c9 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/24 scope global Leth1

 

В 03.06.2021 в 05:12, Ace63 сказал:

покажите таблицу маршрутизации на сервере

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        *               255.255.255.0   U     0      0        0 Leth1
192.168.100.0   10.0.0.254      255.255.255.0   UG    0      0        0 Leth1

 

Изменено 7 июня, 2021 пользователем feeman

[jffulcrum]

А, так это клиенты PPPOE?

 

15 минут назад, feeman сказал:

add action=masquerade chain=srcnat comment="NAT + IPsec connections" ipsec-policy=out,none out-interface-list=WAN src-address-list=Network_access_to_Internet

переделайте на 

 

add action=masquerade chain=srcnat comment="NAT + IPsec connections" ipsec-policy=out,none out-interface-list=WAN src-address-list=Network_access_to_Internet dst-address-list=!BOGON

 

Просто у вас WAN явно не объявлен, и трафик PPP интерфейсов вполне может затягивать в NAT

[feeman]

В 03.06.2021 в 05:12, Ace63 сказал:

и покажите таблицу маршрутизации на рабочем компе

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0         On-link     192.168.100.42    21
   192.168.100.42  255.255.255.255         On-link     192.168.100.42   276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link     192.168.100.42    21
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link     192.168.100.42   276
===========================================================================
Постоянные маршруты:
  Отсутствует

 

 

1 минуту назад, jffulcrum сказал:

Просто у вас WAN явно не объявлен, и трафик PPP интерфейсов вполне может затягивать в NAT

@jffulcrum , спасибо! Сейчас попробую.

[feeman]

Кстати, вот что еще не понятно.

При трассировке не показывает локальный адрес микротика:

 

C:\>tracert 8.8.8.8

Трассировка маршрута к dns.google [8.8.8.8]
с максимальным числом прыжков 30:

  1     *        *        *     Превышен интервал ожидания для запроса.              <------- Тут должен быть 192.168.100.254
  2     1 ms     1 ms     1 ms  188.XX.XX.49
  3     6 ms     4 ms     8 ms  195.208.208.250
  4     1 ms     3 ms     4 ms  108.170.250.66
  5     3 ms     4 ms     3 ms  72.14.238.168
  6     17 ms    20 ms    19 ms 142.250.210.47
  7    19 ms    20 ms    19 ms  216.239.57.222
  8    20 ms    20 ms    21 ms  172.253.64.53
  9     *        *        *     Превышен интервал ожидания для запроса.
 10     *        *        *     Превышен интервал ожидания для запроса.
 11     *        *        *     Превышен интервал ожидания для запроса.
 12     *        *        *     Превышен интервал ожидания для запроса.
 13     *        *        *     Превышен интервал ожидания для запроса.
 14     *        *        *     Превышен интервал ожидания для запроса.
 15     *        *        *     Превышен интервал ожидания для запроса.
 16     *        *        *     Превышен интервал ожидания для запроса.
 17     *        *        *     Превышен интервал ожидания для запроса.
 18     *        *        *     Превышен интервал ожидания для запроса.
 19    19 ms    19 ms    19 ms  dns.google [8.8.8.8]

[feeman]

5 часов назад, jffulcrum сказал:

Просто у вас WAN явно не объявлен, и трафик PPP интерфейсов вполне может затягивать в NAT

Правило добавил: dst-address-list=!BOGON. Но, счастья не случилось, трафик через микротик в другую подсеть не ходит, но при этом счётчики растут.

Мож кто в курсе, что эта за мистика?
 

Изменено 7 июня, 2021 пользователем feeman

[Корпич]

В 02.06.2021 в 12:32, Ace63 сказал:

У всех компов должен быть указан шлюз из своей подсети и будет вам счастье.

 

В 07.06.2021 в 17:14, feeman сказал:

Адаптер PPP Высокоскоростное подключение 2: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : Высокоскоростное подключение 2 Физический адрес. . . . . . . . . : DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 192.168.100.42(Основной) Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз. . . . . . .. . . . : 0.0.0.0 DNS-серверы. . . . . . . . . .. . : 192.168.100.254 NetBios через TCP/IP. . . . . . . . : Отключен

 

В 07.06.2021 в 17:30, feeman сказал:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        *               255.255.255.0   U     0      0        0 Leth1
192.168.100.0   10.0.0.254      255.255.255.0   UG    0      0        0 Leth1