3 сети на одном микротике

Тема в разделе "Вопросы начинающих", создана пользователем wargys, 20 июл 2017.

  1. wargys

    wargys Новый участник

    Я начинающий в Микротике ... Возникла проблема с объединением 3 различных сетей на одном микротике.
    1. Сеть - интернет 91.0.0.0
    2. сеть 192.168.100.1/24.
    3. 192.168.111.1/24
    Как сделать чтобы проход был свободен между ними и был интернет
     
  2. blackfenix38

    blackfenix38 Новый участник

    Смотри в сторону Bridge ARP-proxy , ip ROUTE проверь , Также ip dhcp server вкладка NETWORKS должны быть созданы обе сети , ip adress Interface сети тоже должен быть (если ты 2 локальные сети делаешь на одном микротике ) , начните изучать маршрутизацию сетей и все приложиться )
     
  3. wargys

    wargys Новый участник

    можно как-то разъяснить ... я настроил интернет и настроил мосты ... по 2 сетям интернет есть но надо чтобы они теперь видели друг друга (компьютеры которые находятся в 2 и в 3 сете
     
  4. blackfenix38

    blackfenix38 Новый участник

    1 )Для начало расскажите вашу задумку что вы хотите построить 2 сети по 1 классу С (/24 используется 254 хостов ) или одну сеть 2 класса С (/23 используется 510 хостов )
    или же можно построить одну /24 а вторую /29 используется 6 хостов 2 Вам нужно 2 DHCP server или же одна сеть будеть работать (DHCP (англ. Dynamic Host Configuration Protocol — протокол динамической настройки узла) — сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры ) вторая по STATIC
    3 в каком режиме настроен микротик ещё можно создать правило в фаерволе
    /ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=accept и посмотреть в щетчиках идут ли пакеты а может правила этого не хватает вам
     
    Илья Князев нравится это.
  5. wargys

    wargys Новый участник

    на микротику настроен интернет и на каждую сеть свой bridge на каждом настроен DCHP .. задача стоит настроить так, чтобы bridge видела друг друга
     

    Вложения:

    • 1.jpg
      1.jpg
      Размер файла:
      96,3 КБ
      Просмотров:
      72
    Последнее редактирование: 21 июл 2017
  6. blackfenix38

    blackfenix38 Новый участник

    На вашем творчестве нарисовано 2 одинаковых сети ) ) ну так тоже можно если в хорошо знаете фаейрвол) в данном случаи у вас должно быть настроено следушим оброзом
    1)создаем 2 бриджа
    2)ip>adress добавляем XXX.XXX.XXX.1/24 (сеть А, 1 клас С) выбираем Бридж1 также добавляем 2ую сеть на Бридж2
    3)заходим ip DHCP server нажимаем dhcp setup выбираем бридж 1 нажимаем далее>>> (готово ) также проделываем для 2 бриджа
    4) заходим в бридж , нажимаем по нему 2 раза открываеться меню в нём находим arp (и меняем на proxy-arp ) второй бридж анологично
    5) в чепочки forward создаем правило chain=forward action=accept in-interface=bridge2 out-interface=bridge1 log=no log-prefix="" и chain=forward action=accept in-interface=bridge1 out-interface=bridge2 log=no log-prefix=""
    6) в итоге должны начать ходить ваши пакеты
     
  7. wargys

    wargys Новый участник

    все сделал как говорили .
    1.Бридже 2 видит Бридже 1 .. а от наоборот нет
     

    Вложения:

  8. blackfenix38

    blackfenix38 Новый участник

    А в бридж порт вы добавили интерфейсы на которых у вас сети подключены ( ether2 сеть1 +bridge1 ethe3+brridge2 сеть 2 ) ? берем с сети А пингуем шлюз сети Б если пингуеться замечательно, на скриншоте 2 нету трафика судя по счётчикам ) в фаерволе смотрите по счетчикам идут покеты по правилам или нет ?
    ещё почитайте про bridge settings use ip firewall
     
  9. wargys

    wargys Новый участник

    какой-то заколдованный кольцо. Ничего не получается. дают доступ но пакеты все равно не проходят. Ну как-то во всех оно работает по этапно сделал все как говорили
     

    Вложения:

    Последнее редактирование: 21 июл 2017
  10. blackfenix38

    blackfenix38 Новый участник

    1) необходимо обновить прошивку в актуальную версию (их не просто так выпускают правят баги и уезвимости )
    2) нат твой меня насмешил )) удали его
    3) NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation. ) идем в википедию и читаем как оно работает
    4) Вот Специально для тебя конфигурация
    Делаешь backup mikrotika files backup
    далее открываеьшь NEWterminal то есть консоль и начинаешь копировать эти строчки которые выделены цветом по одной не торопяь
    system reset-configuration keep-users=yes no-defaults=yes (скидывает микротик в начальное состояние то что в скобочках описание копировать не нужно !)
    микротик перезапускается заходим winbox.exe
    открываем заново терминал и погнали дальше
    interface bridge add arp=proxy-arp name=bridge1 (создаём бридж 1 )
    interface bridge add arp=proxy-arp name=bridge2 (создаём бридж 2)


    ip address add interface=bridge1 address=192.168.100.1/24 (вешаем на бриджы адресацию )
    ip address add interface=bridge2 address=192.168.101.1/24


    ip dhcp-server network add address=192.168.100.0/24 gateway=192.168.100.1
    ip dhcp-server network add address=192.168.101.0/24 gateway=192.168.101.1
    (конфигурируем dhcp server создаем сети каторые нам нужны )


    ip pool add ranges=192.168.100.2-192.168.100.254 name=network1
    ip pool add ranges=192.168.101.2-192.168.101.254 name=network2
    (добавляем пуул выдаваемых адресов)


    ip dhcp-server add interface=bridge1 disabled=no address-pool=network1
    ip dhcp-server add interface=bridge2 disabled=no address-pool=network2
    (указываем на каком интерфейсе будет слушать dhcp server и какой пул кому принадлежит)



    interface bridge port add bridge=bridge1 interface=ether2
    ( добовляем порты в бриджы в данном случае bridge1 address=192.168.100.1/24 порт ether 2 !!!!!)
    interface bridge port add bridge=bridge2 interface=ether3


    ip firewall filter add chain=forward in-interface=bridge1 out-interface=bridge2 action=accept
    ip firewall filter add chain=forward in-interface=bridge2 out-interface=bridge1 action=accept
    (создаем в фаерволе правила для хождение пакетов без ограничений )

    встовляем в порт 2 пк 1 смотрим какой адрес получил отключаем брандмауэр на виндовс для проверки в порт3 вставляем пк2 и пингуем друг друга из разных подсетей )
    потом обезательно посмотри как в винбоксе куда что поставилось
    а натить это всё нужно за интерфейс провайдера чтоб инет появился у обоих сетей !!!
     
    AlexShoroh и Денис Друженков нравится это.
  11. Илья Князев

    Илья Князев Администратор Команда форума

    А зачем proxy-arp?
    Ему просто надо объявить роутер дефолт-гейтвеем для обоих сетей.
     
    Mama нравится это.
  12. wargys

    wargys Новый участник

    Спасибо за помощь в предыдущем вопросов. Сейчас такая проблема, есть 5 отделов и в каждом стоит микротик, а теперь надо их всех объединить.
    Я так понимаю ставлю еще один микротик и соединяет их по VPN? Как правильно это сделать ?
     
  13. Kato

    Kato Участник

    capsman
     
  14. wargys

    wargys Новый участник

    В чем ситуация все микротикы сейчас уже подключены к микротик CA5125-24G ... теперь как их программно связать
     
  15. Мышаня

    Мышаня Участник

    Пять разных отделов со своими подсетями? Связать как? Чтоб все видели всех? <Klichko mode on> Не только лишь все видели не всех? Только лишь некоторые не видели не всех?<Klichko mode off>
    Или имеется ввиду что-то иное?
    Топология какая? У каждого свой провайдер, или один на всех?
     
  16. wargys

    wargys Новый участник

    Один провайдер для Всех. Каждый отдел это отдельная подсеть. Надо чтобы они видели друг друга
     
  17. Мышаня

    Мышаня Участник

    Ну, тогда следующий вопрос. Внешние адреса у отделов разные, или они ходят в инет каждый своим адресом?
     
  18. AlexShoroh

    AlexShoroh Участник

    Из другого поста от Вас, якобы все сходится в
    Так?
    Если так, то вопрос:
    Доступ до микротов отделах есть? Если да, то самый просто вариант - эти 5 микротов перенастроить в режим бридж, и все перенести на СА5125.
    Все - это DHCP. Естественно на разные интерфейсы. Дальше уже все само сделается.
     
  19. Seergei

    Seergei Новый участник

    У меня тоже возникла проблема с объединением сетей на микротик. Сделал как ты описал. Запускаю пинг и он не проходит.
    Вот моя конфигурация сохраненная:
    # jan/02/1970 08:01:18 by RouterOS 6.40.4
    # software id = WNQQ-M5GF
    #
    # model = CRS112-8G-4S
    /interface bridge
    add arp=proxy-arp name=bridge1
    add arp=proxy-arp name=bridge2
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    /ip pool
    add name=pool_Momolit ranges=192.168.5.3-192.168.5.200
    add name=pool_Str ranges=192.168.2.25-192.168.2.199
    /ip dhcp-server
    add address-pool=pool_M disabled=no interface=bridge1 lease-time=3d10m \
    name=server1
    add address-pool=pool_S disabled=no interface=bridge2 lease-time=3d10m \
    name=server2
    /interface bridge port
    add bridge=bridge1 interface=ether2
    add bridge=bridge2 interface=ether3
    add bridge=bridge1 interface=ether4
    /ip address
    add address=192.168.5.1/24 interface=bridge1 network=192.168.5.0
    add address=192.168.2.26/24 interface=bridge2 network=192.168.2.0
    /ip dhcp-server network
    add address=192.168.2.0/24 gateway=192.168.2.26 netmask=24
    add address=192.168.5.0/24 gateway=192.168.5.1 netmask=24
    /ip firewall filter
    add action=accept chain=forward in-interface=bridge1 out-interface=bridge2
    add action=accept chain=forward in-interface=bridge2 out-interface=bridge1
     

    Вложения:

  20. blackfenix38

    blackfenix38 Новый участник

    Здравствуйте Seergey
    напишите пожалуйста тепологию вашей сети так как тут нет экстрасеннсов наверно ) в итоге что вы хотите получить
    то есть у вас есть 2 сети класса С 192.168.xx.xx/24
    есть замечательный аппарат CRS112-8G-4S который я на вашем месте бы обновил до версии 6.42.3
    это обновление содержит новую реализацию bridge интерфейса, которая поддерживает аппаратную разгрузку (hw-offload).
    и если у вас допустим все находиться в одном сегменте можно обойтись одним бриджём
    примерная конфигурациия

    interface bridge add name=brige1 disabled=no по умолчанию fast-forward (yes )

    ip address add address=192.168.5.1/24 interface=brige1
    ip address add address=192.168.2.26/24 interface=brige1

    ip pool add ranges=192.168.5.3-192.168.5.200 name=5
    ip pool add ranges=192.168.2.25-192.168.2.199 name=2

    /ip dhcp-server
    ip dhcp-server add interface=brige1 disabled=no address-pool=2
    lease-time=5m (в вашем случаии я бы так сделал чтоб при изменение конфигурации не ждать 3 дня и не бежать к хосту чтоб перезапустить его интерфейс )
    ip dhcp-server network add address=192.168.5.0/24 gateway=192.1
    68.5.1 dns-server= ваш днс
    ip dhcp-server network add address=192.168.2.0/24 gateway=192.1
    68.2.26 dns-server= ваш днс

    добавляем порты в бридж 1 с локальными хостами

    и добавляем правило на firewall
    ip firewall filter add chain=forward connection-state=establish
    ed,related,new action=accept disabled=no
    подключаем интерфейсы с локальной сетью и смотрим как хосты получают dhcp
    посмотреть это можно winbox ip dhcp-server leases
    выбираем хост интересуещий нас чтоб был полный порядок и присваем ему адресс с 192.168.5.0/24 ( mac static)
    ждём 5 минут хост получает назначеную аренду и пробуем послать icmp и прочего рода траффик ,(rdp)

    в первой конфе по идеи всё правильно просто на windows тоже есть фаервол и если вы когда ни буть расшаривали принтер или обшию папку то штатный брандмаур блокирует пакеты не с его сигмента
    тоесть к примеру у вас 192.168.1.2 а у меня 192.168.1.3 то при таком варианте ип месендж протокол (ICMP) будет посылать пакеты в обе стороны, а если у вас стоит обшественная сеть и разная адресация то пакеты ходить не будут они будут брандмаурем отбрасоваться виндовса (за орфаграфию прошу прощение отредактирую всё когда домой приееду писал с телефона )