Маршрутизация между подсетями

[joker]

Добрый день!
Есть 2 адреса шлюза на одном порту микротика 192.168.1.1/24 и 192.168.3.1/24.
Сеть 192.168.1.0/24 основная - в ней же есть виндовый dhcp,dns-сервер 192.168.1.5.
Сеть 192.168.3.0/24 технологическая - там адреса статические, оборудованию назначаем ip например:
192.168.3.20 ip
255.255.255.0 mask
192.168.3.1 gateway
192.168.1.5 dns
В этой конфигурации из сети 192.168.1.0/24, хост 192.168.3.20 доступен.
А если хосту 192.168.3.20, dns не указать, то до него не достучаться, например по ICMP протоколу.
Смешанная топология без vLAN-ов.
Как сделать что бы сеть 192.168.1.0/24 могла ходить к клиентам сети 192.168.3.0/24 если не указать dns?
При трассировке адреса 192.168.3.20 без указания dns, из сети 192.168.1.0/24 первый хоп идет на 192.168.1.1, а дальше "превышен интервал запроса"

Код: Выделить всё

# aug/19/2020 08:42:40 by RouterOS 6.45.7
#
# model = CCR1016-12G
/ip firewall filter
add action=accept chain=input comment="Established connection Allowed" \
    connection-state=established,related
add action=accept chain=forward comment="allow from subnet3.0 in local DNS" \
    dst-address=192.168.3.0/24 src-address=192.168.1.5
add action=accept chain=forward comment="Established\\related" \
    connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="Close 53 port DNS" dst-port=53 \
    in-interface-list=WAN protocol=udp
add action=drop chain=input connection-state=invalid in-interface-list=WAN
add action=drop chain=input in-interface-list=WAN

Код: Выделить всё

[@CloudCore Router] /ip route> print               
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          pppoe-out1_ByFly          1
 1 A S  0.0.0.0/0                          82.209.132.117            1
 2 A S  0.0.0.0/0                          82.209.156.147            1
 3 X S  ;;; lan-out-80_443-ISP1-WAN1
        0.0.0.0/0                          82.209.156.147            1
 4 X S  0.0.0.0/0                          82.209.132.117            1
 5 X S  0.0.0.0/0                          pppoe-out1_ByFly          1
 6 ADS  0.0.0.0/0                          pppoe-out1_ByFly          1
 7 ADC  82.209.132.116/30  82.209.132.118  ether2-wan2               0
8 ADC  82.209.156.146/30  82.209.156.148  ether1-wan1               0
9 ADC  178.124.136.1/32   178.124.137.235 pppoe-out1_ByFly          0
10 ADC  192.168.1.0/24     192.168.1.1     ether4-lan1               0
11 ADC  192.168.3.0/24     192.168.3.1     ether4-lan1               0
9 ADC  178.124.136.1/32   178.124.137.235 pppoe-out1_ByFly          0
10 ADC  192.168.1.0/24     192.168.1.1     ether4-lan1               0
11 ADC  192.168.3.0/24     192.168.3.1     ether4-lan1               0

[Chupaka]

Добрый. Давайте начнём с того, что само по себе указание DNS на маршрутизацию не влияет: DNS используется для преобразования доменных имён в IP-адреса. Особенность при указании может быть в том, что при прописывании DNS к нему выполняются запросы _до_ того, как вы делаете трассировку, и 192.168.3.20 получает от маршрутизатора ICMP-сообщение о том, что подсеть 192.168.1.0/24 доступна на интерфейсе напрямую, без маршрутизатора.

Если выключить правило "add action=drop chain=forward connection-state=invalid" - что-нибудь меняется?

[joker]

Отключил правило add action=drop chain=forward connection-state=invalid и ничего не изменилось.
Как только хосту 192.168.3.20 указываю dns-192.168.1.5, то могу и по RDP заходить и пинги ходят.
А вот без указания dns всё глухо.

[Chupaka]

Судя по /ip route print, у вас используется маркировка маршрутов. Покажите правила mangle prerouting.

[joker]

Судя по /ip route print, у вас используется маркировка маршрутов. Покажите правила mangle prerouting.

mangle prerouting

Код: Выделить всё

@CloudCore Router] /ip firewall mangle> print              
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; WAN3 mark OwnCloud
      chain=prerouting action=mark-connection new-connection-mark=OwnCloud passthrough=yes src-address=192.168.1.23 log=no log-prefix="" 
 1    chain=prerouting action=mark-routing new-routing-mark=ISP3-WAN3 passthrough=yes src-address=192.168.1.23 connection-mark=OwnCloud log=no log-prefix="" 

 2    ;;; WAN1 mark my.turovmilk.by
      chain=prerouting action=mark-connection new-connection-mark=my.turovmilk.by passthrough=yes dst-address=178.159.244.67 log=no log-prefix="" 
 3    chain=prerouting action=mark-routing new-routing-mark=ISP1-WAN1 passthrough=no dst-address=178.159.244.67 connection-mark=my.turovmilk.by log=no log-prefix="" 

 4    ;;; WAN1 mark ftp.servplus.by
      chain=prerouting action=mark-connection new-connection-mark=ftp.servplus.by passthrough=yes dst-address=213.184.250.45 log=no log-prefix="" 
 5    chain=prerouting action=mark-routing new-routing-mark=ISP1-WAN1 passthrough=no dst-address=213.184.250.45 connection-mark=ftp.servplus.by log=no log-prefix="" 

 6    ;;; Input Mark connection
      chain=input action=mark-connection new-connection-mark=ISP3-WAN1-connection passthrough=yes in-interface=ether1-wan1 log=no log-prefix="" 
 7    chain=input action=mark-connection new-connection-mark=ISP3-WAN2-connection passthrough=yes in-interface=ether2-wan2 log=no log-prefix="" 
 8    chain=input action=mark-connection new-connection-mark=ISP3-WAN3-connection passthrough=yes in-interface=pppoe-out1_ByFly log=no log-prefix="" 

 9    ;;; Per Connection Classifier
      chain=prerouting action=mark-connection new-connection-mark=ISP3-WAN1-connection passthrough=yes connection-state=new per-connection-classifier=both-addresses-and-ports:3/0 log=no log-prefix="" 
10    chain=prerouting action=mark-connection new-connection-mark=ISP3-WAN2-connection passthrough=yes connection-state=new per-connection-classifier=both-addresses-and-ports:3/1 log=no log-prefix="" 
11    chain=prerouting action=mark-connection new-connection-mark=ISP3-WAN3-connection passthrough=yes connection-state=new per-connection-classifier=both-addresses-and-ports:3/2 log=no log-prefix="" 
12    chain=prerouting action=mark-routing new-routing-mark=ISP1-WAN1 passthrough=yes connection-mark=ISP3-WAN1-connection log=no log-prefix="" 
13    chain=prerouting action=mark-routing new-routing-mark=ISP2-WAN2 passthrough=yes connection-mark=ISP3-WAN2-connection log=no log-prefix="" 
14    chain=prerouting action=mark-routing new-routing-mark=ISP3-WAN3 passthrough=yes connection-mark=ISP3-WAN3-connection log=no log-prefix="" 

15    ;;; Output Mark Routing
      chain=output action=mark-routing new-routing-mark=ISP1-WAN1 passthrough=yes connection-mark=ISP3-WAN1-connection log=no log-prefix="" 
16    chain=output action=mark-routing new-routing-mark=ISP2-WAN2 passthrough=yes connection-mark=ISP3-WAN2-connection log=no log-prefix="" 
17    chain=output action=mark-routing new-routing-mark=ISP3-WAN3 passthrough=yes connection-mark=ISP3-WAN3-connection log=no log-prefix="" 

route rule

Код: Выделить всё

@CloudCore Router] /ip route rule> print 
Flags: X - disabled, I - inactive 
 0   src-address=82.209.156.148/32 action=lookup table=to-routeWAN1 

 1   src-address=82.209.132.118/32 action=lookup table=to-routeWAN2 

 2   src-address=178.124.137.235/32 action=lookup table=to-routeWAN3 

 3   dst-address=192.0.0.0/8 action=lookup table=main 

 4   dst-address=192.168.0.0/16 action=lookup table=main 

 5   dst-address=172.16.0.0/12 action=lookup table=main 

 6   routing-mark=ISP1-WAN1 action=lookup table=to-routeWAN1 

 7   routing-mark=ISP2-WAN2 action=lookup table=to-routeWAN2 

 8   routing-mark=ISP3-WAN3 action=lookup table=to-routeWAN3

[Chupaka]

Вот ради интереса:

Код: Выделить всё

/ip firewall mangle add chain=prerouting dst-address=192.168.0.0/16

и перетащить его на самый верх.

И ещё можно проверить

Код: Выделить всё

/ip firewall nat add chain=srcnat dst-address=192.168.0.0/16 action=masquerade

(тоже вверху).

[joker]

Вот ради интереса:

Код: Выделить всё

/ip firewall mangle add chain=prerouting dst-address=192.168.0.0/16

и перетащить его на самый верх.

И ещё можно проверить

Код: Выделить всё

/ip firewall nat add chain=srcnat dst-address=192.168.0.0/16 action=masquerade

(тоже вверху).

Огромное спасибо!
Правило mangle добавил

Код: Выделить всё

/ip firewall mangle add chain=prerouting dst-address=192.168.0.0/16 

в самый верх не помогло.
Правило nat добавил

Код: Выделить всё

/ip firewall nat add chain=srcnat dst-address=192.168.0.0/16 action=masquerade

и всё получилось Ура!
Значит первое правило mangle можно удалять? Оно уже не за чем?
Вот только очень долго открываются html страницы в браузерах - с задержкой, долгий отклик .

[Chupaka]

Правило NAT "маскирует" все соединения с локальными ресурсами адресом роутера. Т.е. явно что-то не так с маршрутизацией где-то: кто-то отсылает ответные пакеты не роутеру, а куда-то на сторону, что ли...

Если удалить правило mangle - работоспособность сохраняется? Тогда дело определённо не в роутере.

А что там за устройство на .3.20? Есть возможность с него трассировку сделать в обратную сторону?

[Chupaka]

Вот только очень долго открываются html страницы в браузерах - с задержкой, долгий отклик .

Это так стало или так и было?

[joker]

Если удалить правило mangle и оставить правило NAT, то работоспособность сохраняется.
А долго открываются html страницы в браузерах (долгий отклик около 10 сек) - это после добавления правила NAT - /ip firewall nat add chain=srcnat dst-address=192.168.0.0/16 action=masquerade. До обращения к вам проблем с открытием html-страниц не было.

[Chupaka]

Так что по поводу трассировки?

[joker]

Вот результат:

[Chupaka]

Хм... Тут, вроде, .3.20 и не пахнет...

З.Ы. е прошло и полгода. Мы, напомните, сейчас какую проблему решаем?

[joker]

Напоминаю.
По вашей рекомендации, проблема решилась после добавления правила NAT - /ip firewall nat add chain=srcnat dst-address=192.168.0.0/16 action=masquerade, но при этом долго открываются html страницы в браузерах (долгий отклик около 10 сек)
А хост .3.20 равносилен хосту .3.217

Добрый день!
Есть 2 адреса шлюза на одном порту микротика 192.168.1.1/24 и 192.168.3.1/24.
Сеть 192.168.1.0/24 основная - в ней же есть виндовый dhcp,dns-сервер 192.168.1.5.
Сеть 192.168.3.0/24 технологическая - там адреса статические, оборудованию назначаем ip например:
192.168.3.20 ip
255.255.255.0 mask
192.168.3.1 gateway
192.168.1.5 dns
В этой конфигурации из сети 192.168.1.0/24, хост 192.168.3.20 доступен.
А если хосту 192.168.3.20, dns не указать, то до него не достучаться, например по ICMP протоколу.
Смешанная топология без vLAN-ов.
Как сделать что бы сеть 192.168.1.0/24 могла ходить к клиентам сети 192.168.3.0/24 если не указать dns?
При трассировке адреса 192.168.3.20 без указания dns, из сети 192.168.1.0/24 первый хоп идет на 192.168.1.1, а дальше "превышен интервал запроса"

Код: Выделить всё

# aug/19/2020 08:42:40 by RouterOS 6.45.7
#
# model = CCR1016-12G
/ip firewall filter
add action=accept chain=input comment="Established connection Allowed" \
    connection-state=established,related
add action=accept chain=forward comment="allow from subnet3.0 in local DNS" \
    dst-address=192.168.3.0/24 src-address=192.168.1.5
add action=accept chain=forward comment="Established\\related" \
    connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="Close 53 port DNS" dst-port=53 \
    in-interface-list=WAN protocol=udp
add action=drop chain=input connection-state=invalid in-interface-list=WAN
add action=drop chain=input in-interface-list=WAN

Код: Выделить всё

[@CloudCore Router] /ip route> print               
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          pppoe-out1_ByFly          1
 1 A S  0.0.0.0/0                          82.209.132.117            1
 2 A S  0.0.0.0/0                          82.209.156.147            1
 3 X S  ;;; lan-out-80_443-ISP1-WAN1
        0.0.0.0/0                          82.209.156.147            1
 4 X S  0.0.0.0/0                          82.209.132.117            1
 5 X S  0.0.0.0/0                          pppoe-out1_ByFly          1
 6 ADS  0.0.0.0/0                          pppoe-out1_ByFly          1
 7 ADC  82.209.132.116/30  82.209.132.118  ether2-wan2               0
8 ADC  82.209.156.146/30  82.209.156.148  ether1-wan1               0
9 ADC  178.124.136.1/32   178.124.137.235 pppoe-out1_ByFly          0
10 ADC  192.168.1.0/24     192.168.1.1     ether4-lan1               0
11 ADC  192.168.3.0/24     192.168.3.1     ether4-lan1               0
9 ADC  178.124.136.1/32   178.124.137.235 pppoe-out1_ByFly          0
10 ADC  192.168.1.0/24     192.168.1.1     ether4-lan1               0
11 ADC  192.168.3.0/24     192.168.3.1     ether4-lan1               0