Страница 1 из 1
Маршрутизация между подсетями
Добавлено: 19 авг 2020, 09:16
joker
Добрый день!
Есть 2 адреса шлюза на одном порту микротика 192.168.1.1/24 и 192.168.3.1/24.
Сеть 192.168.1.0/24 основная - в ней же есть виндовый dhcp,dns-сервер 192.168.1.5.
Сеть 192.168.3.0/24 технологическая - там адреса статические, оборудованию назначаем ip например:
192.168.3.20 ip
255.255.255.0 mask
192.168.3.1 gateway
192.168.1.5 dns
В этой конфигурации из сети 192.168.1.0/24, хост 192.168.3.20 доступен.
А если хосту 192.168.3.20, dns не указать, то до него не достучаться, например по ICMP протоколу.
Смешанная топология без vLAN-ов.
Как сделать что бы сеть 192.168.1.0/24 могла ходить к клиентам сети 192.168.3.0/24 если не указать dns?
При трассировке адреса 192.168.3.20 без указания dns, из сети 192.168.1.0/24 первый хоп идет на 192.168.1.1, а дальше "превышен интервал запроса"
Код: Выделить всё
# aug/19/2020 08:42:40 by RouterOS 6.45.7
#
# model = CCR1016-12G
/ip firewall filter
add action=accept chain=input comment="Established connection Allowed" \
connection-state=established,related
add action=accept chain=forward comment="allow from subnet3.0 in local DNS" \
dst-address=192.168.3.0/24 src-address=192.168.1.5
add action=accept chain=forward comment="Established\\related" \
connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="Close 53 port DNS" dst-port=53 \
in-interface-list=WAN protocol=udp
add action=drop chain=input connection-state=invalid in-interface-list=WAN
add action=drop chain=input in-interface-list=WAN
Код: Выделить всё
[@CloudCore Router] /ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 pppoe-out1_ByFly 1
1 A S 0.0.0.0/0 82.209.132.117 1
2 A S 0.0.0.0/0 82.209.156.147 1
3 X S ;;; lan-out-80_443-ISP1-WAN1
0.0.0.0/0 82.209.156.147 1
4 X S 0.0.0.0/0 82.209.132.117 1
5 X S 0.0.0.0/0 pppoe-out1_ByFly 1
6 ADS 0.0.0.0/0 pppoe-out1_ByFly 1
7 ADC 82.209.132.116/30 82.209.132.118 ether2-wan2 0
8 ADC 82.209.156.146/30 82.209.156.148 ether1-wan1 0
9 ADC 178.124.136.1/32 178.124.137.235 pppoe-out1_ByFly 0
10 ADC 192.168.1.0/24 192.168.1.1 ether4-lan1 0
11 ADC 192.168.3.0/24 192.168.3.1 ether4-lan1 0
9 ADC 178.124.136.1/32 178.124.137.235 pppoe-out1_ByFly 0
10 ADC 192.168.1.0/24 192.168.1.1 ether4-lan1 0
11 ADC 192.168.3.0/24 192.168.3.1 ether4-lan1 0
Re: Маршрутизация между подсетями
Добавлено: 19 авг 2020, 14:31
Chupaka
Добрый. Давайте начнём с того, что само по себе указание DNS на маршрутизацию не влияет: DNS используется для преобразования доменных имён в IP-адреса. Особенность при указании может быть в том, что при прописывании DNS к нему выполняются запросы _до_ того, как вы делаете трассировку, и 192.168.3.20 получает от маршрутизатора ICMP-сообщение о том, что подсеть 192.168.1.0/24 доступна на интерфейсе напрямую, без маршрутизатора.
Если выключить правило "add action=drop chain=forward connection-state=invalid" - что-нибудь меняется?
Re: Маршрутизация между подсетями
Добавлено: 19 авг 2020, 16:56
joker
Отключил правило add action=drop chain=forward connection-state=invalid и ничего не изменилось.
Как только хосту 192.168.3.20 указываю dns-192.168.1.5, то могу и по RDP заходить и пинги ходят.
А вот без указания dns всё глухо.
Re: Маршрутизация между подсетями
Добавлено: 20 авг 2020, 13:32
Chupaka
Судя по /ip route print, у вас используется маркировка маршрутов. Покажите правила mangle prerouting.
Re: Маршрутизация между подсетями
Добавлено: 21 авг 2020, 08:18
joker
Chupaka писал(а): ↑20 авг 2020, 13:32
Судя по /ip route print, у вас используется маркировка маршрутов. Покажите правила mangle prerouting.
mangle prerouting
Код: Выделить всё
@CloudCore Router] /ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; WAN3 mark OwnCloud
chain=prerouting action=mark-connection new-connection-mark=OwnCloud passthrough=yes src-address=192.168.1.23 log=no log-prefix=""
1 chain=prerouting action=mark-routing new-routing-mark=ISP3-WAN3 passthrough=yes src-address=192.168.1.23 connection-mark=OwnCloud log=no log-prefix=""
2 ;;; WAN1 mark my.turovmilk.by
chain=prerouting action=mark-connection new-connection-mark=my.turovmilk.by passthrough=yes dst-address=178.159.244.67 log=no log-prefix=""
3 chain=prerouting action=mark-routing new-routing-mark=ISP1-WAN1 passthrough=no dst-address=178.159.244.67 connection-mark=my.turovmilk.by log=no log-prefix=""
4 ;;; WAN1 mark ftp.servplus.by
chain=prerouting action=mark-connection new-connection-mark=ftp.servplus.by passthrough=yes dst-address=213.184.250.45 log=no log-prefix=""
5 chain=prerouting action=mark-routing new-routing-mark=ISP1-WAN1 passthrough=no dst-address=213.184.250.45 connection-mark=ftp.servplus.by log=no log-prefix=""
6 ;;; Input Mark connection
chain=input action=mark-connection new-connection-mark=ISP3-WAN1-connection passthrough=yes in-interface=ether1-wan1 log=no log-prefix=""
7 chain=input action=mark-connection new-connection-mark=ISP3-WAN2-connection passthrough=yes in-interface=ether2-wan2 log=no log-prefix=""
8 chain=input action=mark-connection new-connection-mark=ISP3-WAN3-connection passthrough=yes in-interface=pppoe-out1_ByFly log=no log-prefix=""
9 ;;; Per Connection Classifier
chain=prerouting action=mark-connection new-connection-mark=ISP3-WAN1-connection passthrough=yes connection-state=new per-connection-classifier=both-addresses-and-ports:3/0 log=no log-prefix=""
10 chain=prerouting action=mark-connection new-connection-mark=ISP3-WAN2-connection passthrough=yes connection-state=new per-connection-classifier=both-addresses-and-ports:3/1 log=no log-prefix=""
11 chain=prerouting action=mark-connection new-connection-mark=ISP3-WAN3-connection passthrough=yes connection-state=new per-connection-classifier=both-addresses-and-ports:3/2 log=no log-prefix=""
12 chain=prerouting action=mark-routing new-routing-mark=ISP1-WAN1 passthrough=yes connection-mark=ISP3-WAN1-connection log=no log-prefix=""
13 chain=prerouting action=mark-routing new-routing-mark=ISP2-WAN2 passthrough=yes connection-mark=ISP3-WAN2-connection log=no log-prefix=""
14 chain=prerouting action=mark-routing new-routing-mark=ISP3-WAN3 passthrough=yes connection-mark=ISP3-WAN3-connection log=no log-prefix=""
15 ;;; Output Mark Routing
chain=output action=mark-routing new-routing-mark=ISP1-WAN1 passthrough=yes connection-mark=ISP3-WAN1-connection log=no log-prefix=""
16 chain=output action=mark-routing new-routing-mark=ISP2-WAN2 passthrough=yes connection-mark=ISP3-WAN2-connection log=no log-prefix=""
17 chain=output action=mark-routing new-routing-mark=ISP3-WAN3 passthrough=yes connection-mark=ISP3-WAN3-connection log=no log-prefix=""
route rule
Код: Выделить всё
@CloudCore Router] /ip route rule> print
Flags: X - disabled, I - inactive
0 src-address=82.209.156.148/32 action=lookup table=to-routeWAN1
1 src-address=82.209.132.118/32 action=lookup table=to-routeWAN2
2 src-address=178.124.137.235/32 action=lookup table=to-routeWAN3
3 dst-address=192.0.0.0/8 action=lookup table=main
4 dst-address=192.168.0.0/16 action=lookup table=main
5 dst-address=172.16.0.0/12 action=lookup table=main
6 routing-mark=ISP1-WAN1 action=lookup table=to-routeWAN1
7 routing-mark=ISP2-WAN2 action=lookup table=to-routeWAN2
8 routing-mark=ISP3-WAN3 action=lookup table=to-routeWAN3
Re: Маршрутизация между подсетями
Добавлено: 21 авг 2020, 14:32
Chupaka
Вот ради интереса:
Код: Выделить всё
/ip firewall mangle add chain=prerouting dst-address=192.168.0.0/16
и перетащить его на самый верх.
И ещё можно проверить
Код: Выделить всё
/ip firewall nat add chain=srcnat dst-address=192.168.0.0/16 action=masquerade
(тоже вверху).
Re: Маршрутизация между подсетями
Добавлено: 21 авг 2020, 15:27
joker
Chupaka писал(а): ↑21 авг 2020, 14:32
Вот ради интереса:
Код: Выделить всё
/ip firewall mangle add chain=prerouting dst-address=192.168.0.0/16
и перетащить его на самый верх.
И ещё можно проверить
Код: Выделить всё
/ip firewall nat add chain=srcnat dst-address=192.168.0.0/16 action=masquerade
(тоже вверху).
Огромное спасибо!
Правило mangle добавил
Код: Выделить всё
/ip firewall mangle add chain=prerouting dst-address=192.168.0.0/16
в самый верх не помогло.
Правило nat добавил
Код: Выделить всё
/ip firewall nat add chain=srcnat dst-address=192.168.0.0/16 action=masquerade
и всё получилось
Ура!
Значит первое правило mangle можно удалять? Оно уже не за чем?
Вот только очень долго открываются html страницы в браузерах - с задержкой, долгий отклик .
Re: Маршрутизация между подсетями
Добавлено: 22 авг 2020, 01:24
Chupaka
Правило NAT "маскирует" все соединения с локальными ресурсами адресом роутера. Т.е. явно что-то не так с маршрутизацией где-то: кто-то отсылает ответные пакеты не роутеру, а куда-то на сторону, что ли...
Если удалить правило mangle - работоспособность сохраняется? Тогда дело определённо не в роутере.
А что там за устройство на .3.20? Есть возможность с него трассировку сделать в обратную сторону?
Re: Маршрутизация между подсетями
Добавлено: 22 авг 2020, 01:25
Chupaka
joker писал(а): ↑21 авг 2020, 15:27
Вот только очень долго открываются html страницы в браузерах - с задержкой, долгий отклик .
Это так стало или так и было?
Re: Маршрутизация между подсетями
Добавлено: 24 авг 2020, 08:38
joker
Если удалить правило mangle и оставить правило NAT, то работоспособность сохраняется.
А долго открываются html страницы в браузерах (долгий отклик около 10 сек) - это после добавления правила NAT - /ip firewall nat add chain=srcnat dst-address=192.168.0.0/16 action=masquerade. До обращения к вам проблем с открытием html-страниц не было.
Re: Маршрутизация между подсетями
Добавлено: 24 авг 2020, 14:26
Chupaka
Так что по поводу трассировки?
Re: Маршрутизация между подсетями
Добавлено: 18 янв 2021, 10:47
joker
Вот результат:
Re: Маршрутизация между подсетями
Добавлено: 18 янв 2021, 16:35
Chupaka
Хм... Тут, вроде, .3.20 и не пахнет...
З.Ы. е прошло и полгода. Мы, напомните, сейчас какую проблему решаем?
Re: Маршрутизация между подсетями
Добавлено: 19 янв 2021, 10:25
joker
Напоминаю.
По вашей рекомендации, проблема решилась после добавления правила NAT - /ip firewall nat add chain=srcnat dst-address=192.168.0.0/16 action=masquerade, но при этом долго открываются html страницы в браузерах (долгий отклик около 10 сек)
А хост .3.20 равносилен хосту .3.217
joker писал(а): ↑19 янв 2021, 10:13
joker писал(а): ↑19 авг 2020, 09:16
Добрый день!
Есть 2 адреса шлюза на одном порту микротика 192.168.1.1/24 и 192.168.3.1/24.
Сеть 192.168.1.0/24 основная - в ней же есть виндовый dhcp,dns-сервер 192.168.1.5.
Сеть 192.168.3.0/24 технологическая - там адреса статические, оборудованию назначаем ip например:
192.168.3.20 ip
255.255.255.0 mask
192.168.3.1 gateway
192.168.1.5 dns
В этой конфигурации из сети 192.168.1.0/24, хост 192.168.3.20 доступен.
А если хосту 192.168.3.20, dns не указать, то до него не достучаться, например по ICMP протоколу.
Смешанная топология без vLAN-ов.
Как сделать что бы сеть 192.168.1.0/24 могла ходить к клиентам сети 192.168.3.0/24 если не указать dns?
При трассировке адреса 192.168.3.20 без указания dns, из сети 192.168.1.0/24 первый хоп идет на 192.168.1.1, а дальше "превышен интервал запроса"
Код: Выделить всё
# aug/19/2020 08:42:40 by RouterOS 6.45.7
#
# model = CCR1016-12G
/ip firewall filter
add action=accept chain=input comment="Established connection Allowed" \
connection-state=established,related
add action=accept chain=forward comment="allow from subnet3.0 in local DNS" \
dst-address=192.168.3.0/24 src-address=192.168.1.5
add action=accept chain=forward comment="Established\\related" \
connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="Close 53 port DNS" dst-port=53 \
in-interface-list=WAN protocol=udp
add action=drop chain=input connection-state=invalid in-interface-list=WAN
add action=drop chain=input in-interface-list=WAN
Код: Выделить всё
[@CloudCore Router] /ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 pppoe-out1_ByFly 1
1 A S 0.0.0.0/0 82.209.132.117 1
2 A S 0.0.0.0/0 82.209.156.147 1
3 X S ;;; lan-out-80_443-ISP1-WAN1
0.0.0.0/0 82.209.156.147 1
4 X S 0.0.0.0/0 82.209.132.117 1
5 X S 0.0.0.0/0 pppoe-out1_ByFly 1
6 ADS 0.0.0.0/0 pppoe-out1_ByFly 1
7 ADC 82.209.132.116/30 82.209.132.118 ether2-wan2 0
8 ADC 82.209.156.146/30 82.209.156.148 ether1-wan1 0
9 ADC 178.124.136.1/32 178.124.137.235 pppoe-out1_ByFly 0
10 ADC 192.168.1.0/24 192.168.1.1 ether4-lan1 0
11 ADC 192.168.3.0/24 192.168.3.1 ether4-lan1 0
9 ADC 178.124.136.1/32 178.124.137.235 pppoe-out1_ByFly 0
10 ADC 192.168.1.0/24 192.168.1.1 ether4-lan1 0
11 ADC 192.168.3.0/24 192.168.3.1 ether4-lan1 0