Настройка Микротика в качестве шлюза между подсетями

[Inp]

Имеет 3 подсети:

192.168.5.0/24

192.168.6.0/24

192.168.7.0/24

 

Через Winbox видны следующие маршруты:

destination prefsrc

DAC 192.168.5.0/24 192.168.5.1

DAC 192.168.6.0/24 192.168.6.1

DAC 192.168.7.0/24 192.168.7.1

 

Если начать пинговать из любой подсети, то, дальше локальных интерфейсов маршрутизатора не пройти (т.е. 192.168.5.1 , 192.168.6.1, 192.168.7.1 пингуются).

 

Подскажите, пожалуйста, какие правила либо дополнительные маршруты необходимы для корректной работы маршрутизатора.

[Sergey_w]

1.адрес шлюза нужно прописать на клиентах

2.в микротике в разделе ip/route нужно прописать маршрут до следующих шлюзов,в т.ч. и в 0.0.0.0/0

[Inp]

1.адрес шлюза нужно прописать на клиентах

2.в микротике в разделе ip/route нужно прописать маршрут до следующих шлюзов,в т.ч. и в 0.0.0.0/0

На клиенте шлюз прописан.

 

Например:

Клиент имеет адрес 192.168.6.201

При заданных маршрутах он пингует 192.168.5.1 192.168.6.1 192.168.7.1 (интерфейсы шлюза)

А существующие хосты из подсети 192.168.5.0 и 192.168.7.0 не пингуются. (превышен интервал ожидания запроса). Если же пигануть не существующий ip, то 192.168.6.1 сообщает что данный хост не обнаружен.

[Fog]

для твоего клиента роутер на микротике должен быть шлюзом.

маршруты прописывать ненада по умолчанию там форвардинг включен. тоесть как бы о сетях микротик уже знает.

 

кстати и клиенты в других подсетях тоже должен быть шлюзом микротик

Edited June 6, 2007 by Fog

[Inp]

для твоего клиента роутер на микротике должен быть шлюзом.

так и есть на клиенте 192.168.6.201 прописан шлюз 192.168.6.1

 

 

маршруты прописывать ненада по умолчанию там форвардинг включен. тоесть как бы о сетях микротик уже знает.

присутствует следующее :

destination prefsrc

DAC 192.168.5.0/24 192.168.5.1

DAC 192.168.6.0/24 192.168.6.1

DAC 192.168.7.0/24 192.168.7.1

 

 

кстати и клиенты в других подсетях тоже должен быть шлюзом микротик

Понятно, только это нужно чтобы они могли попасть в 6 подсеть.

 

 

Вопрос:

Почему при данных настройках маршрутов, клиент 192.168.6.201 подключенный к интерфейсу маршрутизатора 192.168.6.1 пингует интерфейс маршрутизатора 192.168.5.1, но не может пингануть клиента 192.168.5.2 подключенного к интерфейсу 192.168.5.1 (с микротика 192.168.5.2 пингуется)

[Fog]

2 мысли.

1. добавь в правила фаервола ворвард туда/сюда разрешить

2. может твой ломаный микротик кривой?

 

кстати посмотри в конектах куда вообще пакеты бегут.

 

тоесть к примеру. я ставлю микротик. добавляю 3 ип для 3х интерфейсов. то так уже будет работать.

 

а на твой вопрос почему. может клиент 5.2 по умолчанию незнает куда слать пакеты? тоесть винде лучше 1 шлюз указать по умолчанию.

 

ну или можно пойти по другому пути размышления. нарисуй общую картину сети. у меня подозрения что ты береш инет с одного шлюза а этим на 3 интерфейса ты пытаешся связать сети разные. понятно дело что у тя винда просто непонимает куда слать ответ. тоесть на виндовой машине пинг прибежал в один интерфейс а убежал через другой.

Edited June 6, 2007 by Fog

[S_ergey]

Понятно, только это нужно чтобы они могли попасть в 6 подсеть.

 

 

Вопрос:

Почему при данных настройках маршрутов, клиент 192.168.6.201 подключенный к интерфейсу маршрутизатора 192.168.6.1 пингует интерфейс маршрутизатора 192.168.5.1, но не может пингануть клиента 192.168.5.2 подключенного к интерфейсу 192.168.5.1 (с микротика 192.168.5.2 пингуется)

Скорей всего не включен ип роутинг.

В любом линухе лечится так

echo "1" > /proc/sys/net/ipv4/ip_forward

проверяем

cat /proc/sys/net/ipv4/ip_forward

1

если пишет "0" то роутинг выключен.

Edited June 7, 2007 by S_ergey

[Serg_Klp]

При заданных маршрутах он пингует 192.168.5.1 192.168.6.1 192.168.7.1 (интерфейсы шлюза)

А существующие хосты из подсети 192.168.5.0 и 192.168.7.0 не пингуются. (превышен интервал ожидания запроса). Если же пигануть не существующий ip, то 192.168.6.1 сообщает что данный хост не обнаружен.

Глупый вопрос: а клиенты собственно на icmp echo reply должны отвечать? Уж не WinXP SP2 ли у них?

 

 

Скорей всего не включен ип роутинг.

В любом линухе лечится так

echo "1" > /proc/sys/net/ipv4/ip_forward

проверяем

cat /proc/sys/net/ipv4/ip_forward

1

если пишет "0" то роутинг выключен.

Для справки: в микротике нет (б)аш консоли.. Команды echo оно не поймет. Все жестко обрезано.

[Mikrotik]

http://pcrouter.ru/ipb/index.php?showforum=19

[Inp]

Большое спасибо всем за советы, мне они помогли :)

Теперь роутинг работает между подсетями на разных маршрутизаторах.

 

Прилагаю схему, согласно которой предлагается разбить "ранее единую "подсеть 192.168.6.0 на несколько сегментов.

 

По ней сразу же несколько вопросов:

1. Ранее сервер домена находился в одной и той же подсети что и пользователи, теперь он в 200 подсети. Необходимо чтобы пользователи 4 , 6 и 7 подсетей могли входить в домен. Можно ли это реализовать без использования дополнительных контроллеров домена.

 

2. Ранее в подсети 192.168.6.0 находился шлюз 192.168.6.100 для выхода в интернет (у пользователей в свойствах tcp/ip указывался явным образом этот шлюз и dns). Теперь у пользователей шлюзом будет являть интерфейс микротика. Шлюз в интернет находится в 3 подсети (192.168.3.100).

Каким образом сконфигурировать клиентов, чтобы они при данных настройках выходили в интернет (авторизация через трафик инспектор клиент)?

Edited June 8, 2007 by Inp

[RomadinR]

1. Если это контроллер домена, то на Windows Server не возможно (из-за маркетинговых ограничений, технических нет). С использованием Samba под Linux работает, но Samba должна стоять на машине, которая включена во все подсети, которые будет контролировать. Если просто файловый сервер - то проблем никаких быть не должно.

2. На первом маршрутизаторе (в который 6.100 включен) поставить маршрут по умолчанию на ваш шлюз 6.100. и прописать маршруты к сетям второго маршрутизатора. На втором маршрут по умолчанию - первый маршрутизатор. На клиентах - шлюз микротик, в который включены. На 6.100 маршрут по умолчанию - провайдер. Поэтому нужно добавить маршруты ко всем внутренним сетям через первый микротик, т.е. 6.1

Edited June 8, 2007 by RomadinR

[Inp]

1. Если это контроллер домена, то на Windows Server не возможно (из-за маркетинговых ограничений, технических нет). С использованием Samba под Linux работает, но Samba должна стоять на машине, которая включена во все подсети, которые будет контролировать. Если просто файловый сервер - то проблем никаких быть не должно.

Это контроллер домена на Windows 2003 AD. И он строго находится в отдельной подсети.

Хотелось бы, чтобы клиенты из других подсетей могли входить в домен и видеть друг друга в сетевом окружении.

 

Почитал:

http://forum.ixbt.com/topic.cgi?id=86:17

http://winfaq.com.ru/ubb/Forum3/HTML/008418.html

 

Может быть, кто-нибудь поделится информацией как же это реализовать

[Fog]

невижу никаких проблем в реализации.

 

у меня на микротиках построена куда более сложная сеть. если хочеш пиши в асю 206102602.

 

ну если в общих чертах то:

для левого микротика:

роуте по умолчанию будет 192.168.3.100

роуте для сетей 6 и 7 будет 195.168.5.1

 

для правого микротика:

роуте по умолчанию 192.168.5.2

роуте для сетей 200 и 4 тоже 192.168.5.2 (хотя если стоит нат то вроде можно неписать)

 

если ты ип раздаеш по дшсп то поднимай винс и соотвественно всем давай его адрес

[Inp]

Прописал DNS 192.168.200.1 на клиенте 192.168.6.201

В домен не получается войти.

 

nslookup выдает

 

*** Can't find server name for address 192.168.200.1: Non-existent domain

*** Default servers are not available

Default Server: UnKnown

Address: 192.168.200.1

 

получается что nds на сервере работает?

 

проверят на netdiag и dcdiag на сервере, все ок.

[Fog]

а пинг ходит? от 6.201 до 200.1

тоесть у тебя все машины должны видеть 200.1

так как у тебя сеть не одноранговая тебе надо поднять винс сервер на том же 200.1 вот тогда ты и увидеш всех своих клиентов в виндовском окружении.

за ДНС хватит и роутера что и за инет отвечает.

[v-m-k]

а пинг ходит? от 6.201 до 200.1

тоесть у тебя все машины должны видеть 200.1

так как у тебя сеть не одноранговая тебе надо поднять винс сервер на том же 200.1 вот тогда ты и увидеш всех своих клиентов в виндовском окружении.

за ДНС хватит и роутера что и за инет отвечает.

А зачем WINS? У него ж домен...

По делу... Смотреть что бы пакеты ходили от клиента к серверу (как с одной стороны так и с другой), для этого на сервере прописывание роутинга до каждой подсети (здесь шлюз по умолчанию не поможет), и вообще от шлюза по умолчанию помойму лучше отказаться т.к. при построение какого нить vpn, pppoe или т.п. туннелей до интернета шлюз по умолчанию станет он и тогда всё перестанет работать, лучше сделать для каждой подсети бат файл с прописыванием route куда надо... Или на dhcpd настроить выдачу роутов как статических....

[Inp]

а пинг ходит? от 6.201 до 200.1

тоесть у тебя все машины должны видеть 200.1

так как у тебя сеть не одноранговая тебе надо поднять винс сервер на том же 200.1 вот тогда ты и увидеш всех своих клиентов в виндовском окружении.

за ДНС хватит и роутера что и за инет отвечает.

Пинг ходит. Вчера покопался в DNS сервере ... заставил работать :) теперь из других подсетей DNS сервер виден.

[Inp]

А зачем WINS? У него ж домен...

По делу... Смотреть что бы пакеты ходили от клиента к серверу (как с одной стороны так и с другой), для этого на сервере прописывание роутинга до каждой подсети (здесь шлюз по умолчанию не поможет), и вообще от шлюза по умолчанию помойму лучше отказаться т.к. при построение какого нить vpn, pppoe или т.п. туннелей до интернета шлюз по умолчанию станет он и тогда всё перестанет работать, лучше сделать для каждой подсети бат файл с прописыванием route куда надо... Или на dhcpd настроить выдачу роутов как статических....

Т.е. теперь если пользователи с разных подсетей в одном домене, то и WINS не нужен??? Они друг друга будут видеть?

[Fog]

ну винс нужен чтобы сетевое окружение видеть для всех машин для простой сети. если есть домен то может и ненадо.

 

прописывать каждому клиенту кучу шлюзов по моему дело гиморное. даже с бат файлов. а если у вас конфигурация сети менятеся вы что тоже новый бат отдаете каждому клиенту?

у меня клиенты и через 3 микротика друг друга видят, и ниче работает. и в настройках всего 1 шлюз. а вся таблица маршрутов расписана на микротиках. сеть строится, таблицы меняются (обычно добавляются новые подсети). а клиент этого даже незамечает. просто появляются новые доступные компы.

 

по поводу тунелей. для ррое шлюз нафик ненужет потому как работает он тока в пределах 1 сегмента. впн тоже работает (потому как шлюзы добавляются а неисключаются).

 

я вот только непонял машина с вин2003 он же и шлюз в инет? или только для организации домена сети.

[Inp]

я вот только непонял машина с вин2003 он же и шлюз в инет? или только для организации домена сети.

Нет она домен. Шлюз 192.168.3.100

[Fog]

ну тогда все маршруты 0.0.0.0 должны вести к шлюзу и дале в инет.

[RomadinR]

На сколько мне извесно, не будет работать домен в такой конфигурации. Причина этого кроется в использовании для работы служб домена (и вообще службы "Сеть Майкрософт") адреса 255.255.255.255 как широковещательного адреса сети (почему мелкософт использует его, а не адрес на основе маски, мне неизвесно). Этот адрес не может преодолеть границы сегмента (по понятным причинам). Поэтому даже Самба не будет работать в предложенной конфигурации. Тем более Windows. По этому поводу мелкософт вообще советует покупать по серверу на каждую подсеть и на каждый домен.

Самба работает, но, повторю еще раз, она должна быть включена во все подсети, которые контролирует, чтобы ловить запросы на адрес 255.255.255.255.

Edited June 14, 2007 by RomadinR

[Inp]

На сколько мне извесно, не будет работать домен в такой конфигурации. Причина этого кроется в использовании для работы служб домена (и вообще службы "Сеть Майкрософт") адреса 255.255.255.255 как широковещательного адреса сети (почему мелкософт использует его, а не адрес на основе маски, мне неизвесно). Этот адрес не может преодолеть границы сегмента (по понятным причинам). Поэтому даже Самба не будет работать в предложенной конфигурации. Тем более Windows. По этому поводу мелкософт вообще советует покупать по серверу на каждую подсеть и на каждый домен.

Самба работает, но, повторю еще раз, она должна быть включена во все подсети, которые контролирует, чтобы ловить запросы на адрес 255.255.255.255.

Тем не менее, тестируя 2 компьютера из разных подсетей (на разных маршрутизаторах) входящих в домен (находящийся в третьей подсети) у которых также прописан WINS видят друг друга и сервер в одной рабочей группе.

[Inp]

Только вот не пойму следующее:

 

Раньше пользователи находились в одной подсети, у них был прописан шлюз в инет и потому же адресу был прописан DNS сервер для инета.

 

Теперь у пользователей в разных подсетях прописаны в качестве шлюзов адреса интерфейсов маршрутизаторов. Для доступа в интернет достаточно прописать маршруты на микротиках (в сторону шлюза 192.168.3.100).

Первичным DNS сервером прописывается сервер домена 192.168.200.1

 

Как правильно прописать у клиентов DNS шлюза 192.168.3.100, т.о. чтобы можно было обойтись без редиректа (192.168.200.1 -> 192.168.3.100) Т.к. для 192.168.200.1 доступ к 192.168.3.100 закрыт.

Достаточно ли прописать у клиентов вторичный DNS. А на сервере домена DNS сам на себя?

[Fog]

днс должен быть один желательно. где тебе удобно рулить там и ставь.

а что тебе мешает дать тока днс для домена сервера?