Перейти к содержимому
Калькуляторы

Настройка Микротика в качестве шлюза между подсетями

Имеет 3 подсети:

192.168.5.0/24

192.168.6.0/24

192.168.7.0/24

 

Через Winbox видны следующие маршруты:

destination prefsrc

DAC 192.168.5.0/24 192.168.5.1

DAC 192.168.6.0/24 192.168.6.1

DAC 192.168.7.0/24 192.168.7.1

 

Если начать пинговать из любой подсети, то, дальше локальных интерфейсов маршрутизатора не пройти (т.е. 192.168.5.1 , 192.168.6.1, 192.168.7.1 пингуются).

 

Подскажите, пожалуйста, какие правила либо дополнительные маршруты необходимы для корректной работы маршрутизатора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1.адрес шлюза нужно прописать на клиентах

2.в микротике в разделе ip/route нужно прописать маршрут до следующих шлюзов,в т.ч. и в 0.0.0.0/0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1.адрес шлюза нужно прописать на клиентах

2.в микротике в разделе ip/route нужно прописать маршрут до следующих шлюзов,в т.ч. и в 0.0.0.0/0

На клиенте шлюз прописан.

 

Например:

Клиент имеет адрес 192.168.6.201

При заданных маршрутах он пингует 192.168.5.1 192.168.6.1 192.168.7.1 (интерфейсы шлюза)

А существующие хосты из подсети 192.168.5.0 и 192.168.7.0 не пингуются. (превышен интервал ожидания запроса). Если же пигануть не существующий ip, то 192.168.6.1 сообщает что данный хост не обнаружен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

для твоего клиента роутер на микротике должен быть шлюзом.

маршруты прописывать ненада по умолчанию там форвардинг включен. тоесть как бы о сетях микротик уже знает.

 

кстати и клиенты в других подсетях тоже должен быть шлюзом микротик

Изменено пользователем Fog

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

для твоего клиента роутер на микротике должен быть шлюзом.

так и есть на клиенте 192.168.6.201 прописан шлюз 192.168.6.1

 

 

маршруты прописывать ненада по умолчанию там форвардинг включен. тоесть как бы о сетях микротик уже знает.

присутствует следующее :

destination prefsrc

DAC 192.168.5.0/24 192.168.5.1

DAC 192.168.6.0/24 192.168.6.1

DAC 192.168.7.0/24 192.168.7.1

 

 

кстати и клиенты в других подсетях тоже должен быть шлюзом микротик
Понятно, только это нужно чтобы они могли попасть в 6 подсеть.

 

 

Вопрос:

Почему при данных настройках маршрутов, клиент 192.168.6.201 подключенный к интерфейсу маршрутизатора 192.168.6.1 пингует интерфейс маршрутизатора 192.168.5.1, но не может пингануть клиента 192.168.5.2 подключенного к интерфейсу 192.168.5.1 (с микротика 192.168.5.2 пингуется)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 мысли.

1. добавь в правила фаервола ворвард туда/сюда разрешить

2. может твой ломаный микротик кривой?

 

кстати посмотри в конектах куда вообще пакеты бегут.

 

тоесть к примеру. я ставлю микротик. добавляю 3 ип для 3х интерфейсов. то так уже будет работать.

 

а на твой вопрос почему. может клиент 5.2 по умолчанию незнает куда слать пакеты? тоесть винде лучше 1 шлюз указать по умолчанию.

 

ну или можно пойти по другому пути размышления. нарисуй общую картину сети. у меня подозрения что ты береш инет с одного шлюза а этим на 3 интерфейса ты пытаешся связать сети разные. понятно дело что у тя винда просто непонимает куда слать ответ. тоесть на виндовой машине пинг прибежал в один интерфейс а убежал через другой.

Изменено пользователем Fog

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Понятно, только это нужно чтобы они могли попасть в 6 подсеть.

 

 

Вопрос:

Почему при данных настройках маршрутов, клиент 192.168.6.201 подключенный к интерфейсу маршрутизатора 192.168.6.1 пингует интерфейс маршрутизатора 192.168.5.1, но не может пингануть клиента 192.168.5.2 подключенного к интерфейсу 192.168.5.1 (с микротика 192.168.5.2 пингуется)

Скорей всего не включен ип роутинг.

В любом линухе лечится так

echo "1" > /proc/sys/net/ipv4/ip_forward

проверяем

cat /proc/sys/net/ipv4/ip_forward

1

если пишет "0" то роутинг выключен.

Изменено пользователем S_ergey

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

При заданных маршрутах он пингует 192.168.5.1 192.168.6.1 192.168.7.1 (интерфейсы шлюза)

А существующие хосты из подсети 192.168.5.0 и 192.168.7.0 не пингуются. (превышен интервал ожидания запроса). Если же пигануть не существующий ip, то 192.168.6.1 сообщает что данный хост не обнаружен.

Глупый вопрос: а клиенты собственно на icmp echo reply должны отвечать? Уж не WinXP SP2 ли у них?

 

 

Скорей всего не включен ип роутинг.

В любом линухе лечится так

echo "1" > /proc/sys/net/ipv4/ip_forward

проверяем

cat /proc/sys/net/ipv4/ip_forward

1

если пишет "0" то роутинг выключен.

Для справки: в микротике нет (б)аш консоли.. Команды echo оно не поймет. Все жестко обрезано.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Большое спасибо всем за советы, мне они помогли :)

Теперь роутинг работает между подсетями на разных маршрутизаторах.

 

Прилагаю схему, согласно которой предлагается разбить "ранее единую "подсеть 192.168.6.0 на несколько сегментов.

 

По ней сразу же несколько вопросов:

1. Ранее сервер домена находился в одной и той же подсети что и пользователи, теперь он в 200 подсети. Необходимо чтобы пользователи 4 , 6 и 7 подсетей могли входить в домен. Можно ли это реализовать без использования дополнительных контроллеров домена.

 

2. Ранее в подсети 192.168.6.0 находился шлюз 192.168.6.100 для выхода в интернет (у пользователей в свойствах tcp/ip указывался явным образом этот шлюз и dns). Теперь у пользователей шлюзом будет являть интерфейс микротика. Шлюз в интернет находится в 3 подсети (192.168.3.100).

Каким образом сконфигурировать клиентов, чтобы они при данных настройках выходили в интернет (авторизация через трафик инспектор клиент)?

post-5552-1181301670_thumb.jpg

Изменено пользователем Inp

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Если это контроллер домена, то на Windows Server не возможно (из-за маркетинговых ограничений, технических нет). С использованием Samba под Linux работает, но Samba должна стоять на машине, которая включена во все подсети, которые будет контролировать. Если просто файловый сервер - то проблем никаких быть не должно.

2. На первом маршрутизаторе (в который 6.100 включен) поставить маршрут по умолчанию на ваш шлюз 6.100. и прописать маршруты к сетям второго маршрутизатора. На втором маршрут по умолчанию - первый маршрутизатор. На клиентах - шлюз микротик, в который включены. На 6.100 маршрут по умолчанию - провайдер. Поэтому нужно добавить маршруты ко всем внутренним сетям через первый микротик, т.е. 6.1

Изменено пользователем RomadinR

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Если это контроллер домена, то на Windows Server не возможно (из-за маркетинговых ограничений, технических нет). С использованием Samba под Linux работает, но Samba должна стоять на машине, которая включена во все подсети, которые будет контролировать. Если просто файловый сервер - то проблем никаких быть не должно.

Это контроллер домена на Windows 2003 AD. И он строго находится в отдельной подсети.

Хотелось бы, чтобы клиенты из других подсетей могли входить в домен и видеть друг друга в сетевом окружении.

 

Почитал:

http://forum.ixbt.com/topic.cgi?id=86:17

http://winfaq.com.ru/ubb/Forum3/HTML/008418.html

 

Может быть, кто-нибудь поделится информацией как же это реализовать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

невижу никаких проблем в реализации.

 

у меня на микротиках построена куда более сложная сеть. если хочеш пиши в асю 206102602.

 

ну если в общих чертах то:

для левого микротика:

роуте по умолчанию будет 192.168.3.100

роуте для сетей 6 и 7 будет 195.168.5.1

 

для правого микротика:

роуте по умолчанию 192.168.5.2

роуте для сетей 200 и 4 тоже 192.168.5.2 (хотя если стоит нат то вроде можно неписать)

 

если ты ип раздаеш по дшсп то поднимай винс и соотвественно всем давай его адрес

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прописал DNS 192.168.200.1 на клиенте 192.168.6.201

В домен не получается войти.

 

nslookup выдает

 

*** Can't find server name for address 192.168.200.1: Non-existent domain

*** Default servers are not available

Default Server: UnKnown

Address: 192.168.200.1

 

получается что nds на сервере работает?

 

проверят на netdiag и dcdiag на сервере, все ок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а пинг ходит? от 6.201 до 200.1

тоесть у тебя все машины должны видеть 200.1

так как у тебя сеть не одноранговая тебе надо поднять винс сервер на том же 200.1 вот тогда ты и увидеш всех своих клиентов в виндовском окружении.

за ДНС хватит и роутера что и за инет отвечает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а пинг ходит? от 6.201 до 200.1

тоесть у тебя все машины должны видеть 200.1

так как у тебя сеть не одноранговая тебе надо поднять винс сервер на том же 200.1 вот тогда ты и увидеш всех своих клиентов в виндовском окружении.

за ДНС хватит и роутера что и за инет отвечает.

А зачем WINS? У него ж домен...

По делу... Смотреть что бы пакеты ходили от клиента к серверу (как с одной стороны так и с другой), для этого на сервере прописывание роутинга до каждой подсети (здесь шлюз по умолчанию не поможет), и вообще от шлюза по умолчанию помойму лучше отказаться т.к. при построение какого нить vpn, pppoe или т.п. туннелей до интернета шлюз по умолчанию станет он и тогда всё перестанет работать, лучше сделать для каждой подсети бат файл с прописыванием route куда надо... Или на dhcpd настроить выдачу роутов как статических....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а пинг ходит? от 6.201 до 200.1

тоесть у тебя все машины должны видеть 200.1

так как у тебя сеть не одноранговая тебе надо поднять винс сервер на том же 200.1 вот тогда ты и увидеш всех своих клиентов в виндовском окружении.

за ДНС хватит и роутера что и за инет отвечает.

Пинг ходит. Вчера покопался в DNS сервере ... заставил работать :) теперь из других подсетей DNS сервер виден.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем WINS? У него ж домен...

По делу... Смотреть что бы пакеты ходили от клиента к серверу (как с одной стороны так и с другой), для этого на сервере прописывание роутинга до каждой подсети (здесь шлюз по умолчанию не поможет), и вообще от шлюза по умолчанию помойму лучше отказаться т.к. при построение какого нить vpn, pppoe или т.п. туннелей до интернета шлюз по умолчанию станет он и тогда всё перестанет работать, лучше сделать для каждой подсети бат файл с прописыванием route куда надо... Или на dhcpd настроить выдачу роутов как статических....

Т.е. теперь если пользователи с разных подсетей в одном домене, то и WINS не нужен??? Они друг друга будут видеть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну винс нужен чтобы сетевое окружение видеть для всех машин для простой сети. если есть домен то может и ненадо.

 

прописывать каждому клиенту кучу шлюзов по моему дело гиморное. даже с бат файлов. а если у вас конфигурация сети менятеся вы что тоже новый бат отдаете каждому клиенту?

у меня клиенты и через 3 микротика друг друга видят, и ниче работает. и в настройках всего 1 шлюз. а вся таблица маршрутов расписана на микротиках. сеть строится, таблицы меняются (обычно добавляются новые подсети). а клиент этого даже незамечает. просто появляются новые доступные компы.

 

по поводу тунелей. для ррое шлюз нафик ненужет потому как работает он тока в пределах 1 сегмента. впн тоже работает (потому как шлюзы добавляются а неисключаются).

 

я вот только непонял машина с вин2003 он же и шлюз в инет? или только для организации домена сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я вот только непонял машина с вин2003 он же и шлюз в инет? или только для организации домена сети.

Нет она домен. Шлюз 192.168.3.100

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну тогда все маршруты 0.0.0.0 должны вести к шлюзу и дале в инет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На сколько мне извесно, не будет работать домен в такой конфигурации. Причина этого кроется в использовании для работы служб домена (и вообще службы "Сеть Майкрософт") адреса 255.255.255.255 как широковещательного адреса сети (почему мелкософт использует его, а не адрес на основе маски, мне неизвесно). Этот адрес не может преодолеть границы сегмента (по понятным причинам). Поэтому даже Самба не будет работать в предложенной конфигурации. Тем более Windows. По этому поводу мелкософт вообще советует покупать по серверу на каждую подсеть и на каждый домен.

Самба работает, но, повторю еще раз, она должна быть включена во все подсети, которые контролирует, чтобы ловить запросы на адрес 255.255.255.255.

Изменено пользователем RomadinR

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На сколько мне извесно, не будет работать домен в такой конфигурации. Причина этого кроется в использовании для работы служб домена (и вообще службы "Сеть Майкрософт") адреса 255.255.255.255 как широковещательного адреса сети (почему мелкософт использует его, а не адрес на основе маски, мне неизвесно). Этот адрес не может преодолеть границы сегмента (по понятным причинам). Поэтому даже Самба не будет работать в предложенной конфигурации. Тем более Windows. По этому поводу мелкософт вообще советует покупать по серверу на каждую подсеть и на каждый домен.

Самба работает, но, повторю еще раз, она должна быть включена во все подсети, которые контролирует, чтобы ловить запросы на адрес 255.255.255.255.

Тем не менее, тестируя 2 компьютера из разных подсетей (на разных маршрутизаторах) входящих в домен (находящийся в третьей подсети) у которых также прописан WINS видят друг друга и сервер в одной рабочей группе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только вот не пойму следующее:

 

Раньше пользователи находились в одной подсети, у них был прописан шлюз в инет и потому же адресу был прописан DNS сервер для инета.

 

Теперь у пользователей в разных подсетях прописаны в качестве шлюзов адреса интерфейсов маршрутизаторов. Для доступа в интернет достаточно прописать маршруты на микротиках (в сторону шлюза 192.168.3.100).

Первичным DNS сервером прописывается сервер домена 192.168.200.1

 

Как правильно прописать у клиентов DNS шлюза 192.168.3.100, т.о. чтобы можно было обойтись без редиректа (192.168.200.1 -> 192.168.3.100) Т.к. для 192.168.200.1 доступ к 192.168.3.100 закрыт.

Достаточно ли прописать у клиентов вторичный DNS. А на сервере домена DNS сам на себя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

днс должен быть один желательно. где тебе удобно рулить там и ставь.

а что тебе мешает дать тока днс для домена сервера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.