Перейти к содержимому
Калькуляторы

2 wlan в 2 Lan на Mikrotik

Ответить

[EF]Kot   

[EF]Kot
Опубликовано · Жалоба

Народ выручайте, есть роутер на х86 Mikrotik 3.22 надо одну подсеть отправить на 1 wlan а вторую на 2 wlan, что сделано

vlan-ы сидят на интерфейсе inet

ip address print
0   172.17.31.100/24   172.17.31.0     172.17.31.255   lan 1                                                                                                                   
1   92.***.***.41/30   92.***.***.40   92.***.***.43   vlan_318_inet                                                                                                           
2   172.16.140.57/30   172.16.140.56   172.16.140.59   vlan_303_inet                                                                                                                
3   192.168.100.1/24   192.168.100.0   192.168.100.255 lan 2

interface print  
0  R  lan 1           ether            1500 
1  R  inet            ether            1500 
2  R  lan 2           ether            1500 
3  R  vlan_318_inet   vlan             1500 
4  R  vlan_303_inet   vlan             1500 

ip firewall mangle print detail 
0   chain=forward action=mark-connection new-connection-mark=isp_318 passthrough=yes in-interface=vlan_318_inet
1   chain=forward action=mark-connection new-connection-mark=isp_303 passthrough=yes in-interface=vlan_303_inet
2   chain=forward action=mark-connection new-connection-mark=isp_318 passthrough=yes in-interface=lan 1 
3   chain=forward action=mark-connection new-connection-mark=isp_303 passthrough=yes in-interface=lan 2 
4   chain=prerouting action=mark-routing new-routing-mark=route_318 passthrough=yes connection-mark=isp_318
5   chain=prerouting action=mark-routing new-routing-mark=route_303 passthrough=yes connection-mark=isp_303

ip firewall nat print detail 
0 chain=srcnat action=masquerade out-interface=vlan_318_inet connection-mark=isp_318      
1 chain=srcnat action=masquerade out-interface=vlan_303_inet connection-mark=isp_303

ip route print detail 
0 A S  dst-address=0.0.0.0/0 gateway=92.***.***.42 interface=vlan_318_inet gateway-state=reachable distance=1 scope=255 target-scope=10 routing-mark=main 
1 A S  dst-address=0.0.0.0/0 gateway=92.***.***.42 interface=vlan_318_inet gateway-state=reachable distance=1 scope=30 target-scope=10 routing-mark=route_318 
2 A S  dst-address=0.0.0.0/0 gateway=172.16.140.58 interface=vlan_303_inet gateway-state=reachable distance=1 scope=30 target-scope=10 routing-mark=route_303
3 ADC  dst-address=92.***.***.40/30 pref-src=92.***.***.41 interface=vlan_318_inet distance=0 scope=10 
4 ADC  dst-address=172.16.140.56/30 pref-src=172.16.140.57 interface=vlan_303_inet distance=0 scope=10 
5 ADC  dst-address=172. 17. 31.0/24 pref-src=172.17.31.100 interface=lan 1 distance=0 scope=10 
6 ADC  dst-address=192.168.100.0/24 pref-src=192.168.100.1 interface=lan 2 distance=0 scope=10

при таком конфиге маршрутизит в инет только подсеть 172.17.31.0/24 а сеть 192.168.100.0/24 не маршрутизится

перевожу в route 0 строку в disable встаёт все.

где мой косяк?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Saab95   

Saab95
Опубликовано · Жалоба

Косяк в том, что у вас маскардинг работает для всего подряд, нужно в правиле четко указать src.address.

 

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

[EF]Kot   

[EF]Kot
Опубликовано · Жалоба

правильно ли я понимаю, что переписать правила маскарадинга нужно на эти ??

ip firewall address-list print detail
0   list=local_net_1 address=172.17.31.0/24 
1   list=local_net_2 address=192.168.100.0/24

ip firewall nat print detail 
0 chain=srcnat action=masquerade src-address-list=local_net_1 out-interface=vlan_318_inet connection-mark=isp_318
1 chain=srcnat action=masquerade src-address-list=local_net_2 out-interface=vlan_303_inet connection-mark=isp_303

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

sherwood   

sherwood
Опубликовано · Жалоба

Косяк в том, что у вас маскардинг работает для всего подряд, нужно в правиле четко указать src.address.

вы сдулись в том, что пытаетесь NATом резать\блокировать трафик, NAT это всего лишь NAT а не Firewall.

 

 4   chain=prerouting action=mark-routing new-routing-mark=route_318 passthrough=yes connection-mark=isp_318
5   chain=prerouting action=mark-routing new-routing-mark=route_303 passthrough=yes connection-mark=isp_303

что то я не вижу тут где вы метите пакеты одной сети и пакеты для другой сети для направления на нужный интерфейс?

вообщем как то так, метим пакеты от сетей и потом в рутах направляем их (метки) на нужные интерфейсы:

chain=prerouting action=mark-routing src-address=172.17.31.0/24 new-routing-mark=route_318 passthrough=yes
chain=prerouting action=mark-routing src-address=192.168.100.0/24 new-routing-mark=route_303 passthrough=yes

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=vlan_318_inet routing-mark=route_318 scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=vlan_303_inet routing-mark=route_303 scope=30 target-scope=10

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

[EF]Kot   

[EF]Kot
Опубликовано · Жалоба

Все верно сейчас я понял надо было метить пакеты не по интерфейсу а под подсети

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Программное обеспечение, биллинг и *unix системы