@Serbskyi

Всем доброго дня!
Непонятно работает VLAN на Mikrotik OS 6.3.
В общем ситуация такая. Нужно поделить локальную сеть офиса на две группы: администрацию и сотрудников. Администрация должна иметь доступ ко всем компам в сети, а сотрудники только ко своим. Для этих целей был создан VLAN на одном из портов микротика. Был поднят DHCP, настроен NAT и IP-Addresses, и Pool.
После всего этого я подключаюсь к порту микротика с VLAN ноутбуком и вижу, что все работает, т.е. интернет есть, локалка есть, обе подсети вижу. НО стоит мне подключить к порту с VLAN свитчи с несколькими компами сотрудников все сразу перестает работать. Хотя в ARP таблице микротика я вижу, как компы сотрудников получают IP адреса из подсети VLAN-а. Не один из IP адресов VLAN-а не пингуется, даже самим микротиком, хотя в ARP таблице они есть. Я опять подключаюсь к порту с VLAN-ном с ноутбука и все работает. Локалка, интернет и IP VLAN-а ноут получает.
Вопрос: почему один компьтер нормально работает в VLAN, а группа компов не работает в этом же VLAN и как сделать так что бы работала?
Может кто подскажет куда смотреть.
Заранее благодарен всем отозвавшимся!

0

@Serbskyi

Галочку выставил, но не понятно как поднимать правило выше Drop, поэтому просто удали его и создал заново, в списке теперь drop стоит ниже.
Mikrotik этот ip пингует. А с компа пинга нет.
Это брендмауэр надо сто ли настраивать? Он у меня по моему временно отключен.

0

@xeonz

Покажите скриншот правил.

0

@Serbskyi

Вот. Может прописать в первом правиле IP адреса от куда и куда можно ходить?

Миниатюры

   

0

@xeonz

И еще первые два accept правила.

0

@Serbskyi

Первые два правила созданы другим IT-шником и их просили не трогать. Они там для отдельных каких то задач.

0

@xeonz

Но посмотреть же мы на них можем?

Добавлено через 5 минут
Я правильно понял, что вы хотите получить:
доступ из 13.0.1.0 в 192.168.0.0 должен быть
Из 192.168.0.0 в 13.0.1.0 нет.
Правильно?

Тогда должны быть правила:
accept source 13.0.1.0/24 dest 192.168.0.0/26 state=new, established, related
accept source 192.168.0.0/26 dest 13.0.1.0/24 state=established, related
drop source 192.168.0.0/26 dest 13.0.1.0/24 state=new

Вот такие 3 правила должны обеспечить односторонний доступ. У вас же не хватает правил.

Если сделаете эти 3 правила и не заработает, то заново приведите выгрузку правил или скриншоты.

0

@Serbskyi

Правильно.
Сделал.
Пинга нет.....
И откуда на правиле такой большой трафик в 18,8 Gb? Сейчас только мой комп подключен к подсети 192.168.0.0/26. Ничего не качется ничего не загружается на компе.

Миниатюры

   

0

@xeonz

Включите на это правило логирование и смотрите что туда попадает. Также включите логирование на правило блокировки.

0

@Serbskyi

Логирование включил. Ну, а что с пингами делать? Я все еще не вижу подсети. Может надо в правиле Protokol выставить TCP или ICMP? Я правда попробовал повыставлять разные правила но пинга все равно нет

0

@xeonz

Смотреть в логи - блокируется ли что то или нет. Протокол трогать смысла нет.

0

@.None

т.к. нет явного правила запрещающего forward, нет никакой необходимости писать разрешающие правила, политика по умолчанию accept

на 99% уверен что это фаервол на ПК блокирует пакеты из "чужой" сети, убедится можно включив torch на исходящем интерфейсе и увидев, что пакет пинга покидает маршрутизатор, а назад ничего не возвращается

когда пингуешь с микортика пинг есть, т.к. пакет приходит из "своей" сети

других причин отсутствия пинга нет, никаких блокирующих правил нет.

1

@Serbskyi

Вы правы, это действительно был гребанный Брандмауэр. Я столько раз перелопатил микротика, а оказалось, что пакеты блокирует файервол виндоуса. После отключения на компе Брандмауэра пинги пошли в обе стороны.
Спасибо люди добрые, что отозвались в теме и помогли настроить микротика.
Пойду смотреть настройки брандмауэра, что бы все до настроить как следует.
Еще раз большое спасибо ВСЕМ отозвавшимся и принимавшим участие в решении проблемы. И конечно же отдельное спасибо за помощь и терпение XEONZ и NONE как самым активным участникам темы. Всех благ Вам!

0