@Lorw

Добрый день.
Подскажите пожалуйста как сделать интернет доступный для обоих сетей ethernet, но чтоб между самими сетями связи не было.
Оборудование Mikrotik RB3011
SPF - Internet
Eth2 - Office Lan
Eth6 - Guest Lan

Миниатюры

 

0

@Lorw

Сейчас интернет есть только в офисной сети.
В гостевой нет ни интернета ни офисной сети, т.к. 6 порт находиться на втором свиче.

0

3Jlou_geg

/ip firewall nat print в студию

0

@romsan

как организованы интерфейсы? бридж? мастер-порт? Какая на них адресация?

0

@insect_87

лучше

0

3Jlou_geg

зачем тебе такой большой выхлоп? давай я тебе свой дам экспорт,.... там под 90к строк только одного блоклиста будет )))))))

0

@insect_87

ну и нафига такие листы?
это не рационально даже , на практике так не делают,


по теме:
нужно видеть адресацию,
+
/ip firewall filter export

0

@Lorw

Запроленные поля на скриншотах.
Осталные, как например Firewall, Filter, NAT - пустые

Миниатюры

     

   

0

@insect_87

1) адрес интерфейса не может быть 192.168.4.0/24, ставьте 192.168.4.1/24
2) создать два правила в firewall nat:
action - masquerade
chain - srcnat
src address 192.168.1.0/24
out interface - sfp_outside

action - masquerade
chain - srcnat
src address 192.168.4.0/24
out interface - sfp_outside


3) в firewall filter добавить правило вверх по цепочке forward
action - drop
chain - forward
src address 192.168.1.0/24
dst address 192.168.4.0/24

4) ну и firewall filter допиливать надо

0

@romsan

Lorw, Вам insect_87, описал основные настройки МТ при включении. Вы неужели не могли все это вычитать в тырнете, где данной инфы куево кукуево!? Я думал что то с VLAN-ами начудили

0

@Lorw

insect_87, Спасибо! Буду сейчас пробовать.
romsan, да инфы действительно много, и перерыл я уже очень много. Конкретно мой случай найти не удалось.
Проблема в том что я почти 0 в этом, с микротиком столкнулся первый раз. Ну и инфа в нете на 90% связана с моделями на 5 портов, а не с такой как у меня.

0

@romsan

инфа не по модели, а по RouterOS или RouterBoard. Настройки то в OS делаем. В 90% случаях принцип настройки одинаков. Только в зависимости от модели, могут быть доступны или отключены те или иные модули, ну и настройки данных моделей.

Добавлено через 1 минуту
помимо прочего у Вас же настроены два DHCP-сервера?

Добавлено через 1 минуту
каждый на свой бридж?

Добавлено через 2 минуты
кстати, чтото не понятно с бридж2, на скрине видно что в него только eth6 входит!? а остальные eth7,8,9,10 отдельно?

Добавлено через 3 минуты
insect_87, а что, разве нельзя в существующем правиле ТС указать in-interface=all bridge ?

0

@Lorw

Для начала попробовал это.
Но нет. Интернет не появился.
Я уже немного поменял настройки на роутере переместив его в одну подсеть с микротиком, но все равно ничего не происходит.
Добавил в NAT все возможные варианты но через них ничего не идет. Причем заметьте третье по счету правило - я там не указал out interface и вот через него раз в пол минуты пробегает непонятный пакет на 137 байт. Что это не ясно.

При всем этом на самом порту идет вполне плотная передача данных.
И роутер также показывает о нормальном подключении но без интернета.

Миниатюры

     

 

0

@romsan

Lorw,
1) Вы 4.0/24 на 4.1/24 изменили в адресес?
2) eth6 объявлен мастер-портом по отношению к eth7-10 ?
3) DHCP для подсетей настроен?
4) Откуда Zyxel???? У него подсеть 4.0/24 ?

Добавлено через 1 минуту
непонял,........
а роутер и микротик это разные устройства?

0

3Jlou_geg

http://take.ms/hII3A

0

@romsan

0

3Jlou_geg

это у меня все на тестовом стенде, продакшен всего 40 правил

умные млять все как весны нанюхались, прям слова не скажЫ

Добавлено через 42 секунды
я линканул ссылку, так и было задумано

0

@Lorw

1-да адрес исправил
2-Нет Он в бридже один, остальные пока не используются
3-Нет все айпи я задал вручную
4-zyxel это отдельный Wifi роутер Внутри его сети адресация 4.1. Внешне, для микротика он идет под адресом 1.247

0

@romsan

ну хоть картина прояснилась.
Я так понял у Вас для гостевой сети используется zyxel, и его хосты не выходят в тырнет? правильно?
Тогда зачем на eth6 вешать 4-ю подсеть?

1) Присвоить eth6 другую подсеть, например, 3.0/24
2) Если Вы прописали везде адреса вручную, то придется назначить zyxel адрес из 3-й подсети (например 3.254) и отключить на нем dhcp. Но, тогда придется повесить dhcp-сервер на eth6 (или всем хостам прописывать адреса 3-й подсети)
3) убрать адрес 1.127 для zyxel (если он зарезервирован по МАС)
4) Прописать в NAT правило маскарадинга для eth6 (см. рекомендации выше)
5) прописать в фаерволе запрет на форвадинг между сетями 1.0/24 и 3.0/24 (см. рекомендации выше)

Добавлено через 7 минут
тут надо подумать на счет zyxel.
Если у него 4.0/24 подсеть, и на нем включен DHCP-сервер для подключаемых хостов, и если это именно так и нужно
Тогда, на eth6 нужно повесить 3.1/30 (2 ipадреса) и включить dhcp-сервер на микротике, повесить на eth6. Иначе WAN zyxel не получит адрес и его NAT не сможет предоставить доступ в интернет своим хостам.

и вообще, при такой схеме, зачем в RB3100 мучатся с подсетями??? Гости за NAT zyxel

0

@Lorw

Все верно. Но не только его подсеть, а и он сам, он то к микротику подключился успешно, но тоже без интернета.
Получается так что, какую бы подсеть не присваивал, сначала 4-ю, потом 1-ю(как и у микротика), и даже 3-ю как вы предлагаете ничего не изменит.
Все адреса прописаны вручную. (неужели dns или dhcp могут влиять на правила NAT?)
Но они не проходят по правилам NAT, обходят мимо. Хотя активность на портах полным ходом.

Хочу обратить внимание все-таки на то что это 10 портовый микротик, где первые 1-5 портов отделены от вторых 6-10 физически, на аппаратном уровне. Это два разных свича. Может дело в этом?
Я могу без проблем впихнуть гостевую сеть в первый свитчи например в 4й порт, т.к. все порты в общем то свободны. Но хотелось бы именно так, чтоб распределить главные и гостевые сети по этим двум свичам.

Добавлено через 7 минут
Если проще будет, включить гостевую в первый свитч, то так и сделаю, выбора особого не остается.

0