+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблемы с маршрутизацией?

Проблемы с маршрутизацией?, RouterOS

WirelessRudy

Guest

31.03.2007 00:56:00

У меня есть беспроводная сеть со всеми беспроводными интерфейсами (CPE и AP) с фиксированными IP-адресами в сети 10.50.60.0/24. Клиентские ПК получают IP-адрес от DHCP-сервера на шлюзе 172.25.30.1 в диапазоне 172.25.30.0/24. Все интерфейсы MT (AP и CPE) также имеют IP-адреса (фиксированные) в этой сети 172.25.30. Все работает нормально. Я могу достучаться до всех своих AP и CPE (кроме одного, см. ниже), и все клиенты могут просматривать интернет. Задержки пинга в пределах 1 мс, иногда до 20 или 30 мс. У меня есть теперь 1 новый CPE MT rb535 с IP-адресом 172.25.30.53 и IP-адресом 10.50.60.53 на интерфейсе wlan1, а интерфейс eth имеет 192.168.50.1 и на нем работает DHCP, выдающий IP-адреса в той же сети клиентским ПК. Я настроил src-nat и dst-nat так же, как и для других CPE, которые работают нормально, но, конечно, с другим IP-адресом для себя. Я также проверил таблицу маршрутизации, которая такая же, как и у этого другого CPE, который работает нормально (но с его IP-адресами). Насколько я могу видеть (сравнивая с другим рабочим CPE), все настройки в порядке. Я могу мак-пинговать CPE с подключенного к нему AP, я могу мак-телнетом подключиться к этому CPE. Устройство появляется в Winbox (удаленно, после 5 хопов), но только через некоторое время. Но в Winbox я НЕ могу до него добраться, ни по мак-адресу, ни по одному из двух IP-адресов! Если я подключаюсь мак-телнетом от его AccessPoint, я могу ip-пинговать AP и могу пинговать шлюз с очень хорошими результатами. Значит, исходящий трафик в порядке, но входящий к этому CPE на уровне IP невозможен. Если я пингую устройство с его AP по адресу 172.25.30.53, я получаю таймауты по этому адресу, или «host unreachable» на 10.50.60.1 (который является шлюзом) или возврат 4 мс от шлюза (10.50.60.1)! Если я пингую устройство с его AP по адресу 10.50.60.53, я получаю таймауты или 10.50.60.50 (wlan AP) сообщающий мне, что хост недоступен. AP имеет свои интерфейсы объединенными, так что как wlan1, так и Eth несут оба IP-адреса в двух разных сетях. Обе радиостанции имеют включенную передачу, и включена передача и в списке доступа. Что я делаю не так? Мне нужен доступ к устройству по IP для обновления прошивки и я не уверен, может ли клиент сейчас просматривать интернет. Почему я не могу ip-пинговать CPE из сети? (Клиент может пинговать его из сети DHCP). Я не ищу ответ вроде «прочитайте руководство» или смотрите в WiKi. Я это делаю весь день. Я хочу подсказок о том, что я могу упускать из виду. Может быть, это разница в версиях прошивки? Все устройства на 2.9.41, кроме этого CPE, который все еще на 2.9.38. rgds.

WirelessRudy

Guest

31.03.2007 01:03:00

Вот настройки этого CPD:
[admin@MikroTik] ip> address print
Flags: X - disabled, I - invalid, D - dynamic
ADDRESS NETWORK BROADCAST INTERFACE
0 ;;; added by setup
192.168.50.1/24 192.168.50.0 192.168.50.255 ether1
1 10.50.60.53/24 10.50.60.0 10.50.60.255 wlan1
2 172.25.30.53/24 172.25.30.0 172.25.30.255 wlan1
[admin@MikroTik] ip> route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf
DST-ADDRESS PREF-SRC GATEWAY DISTANCE INTERFACE
0 ADC 10.50.60.0/24 10.50.60.53 wlan1
1 ADC 172.25.30.0/24 172.25.30.53 wlan1
2 ADC 192.168.50.0/24 192.168.50.1 ether1
3 A S 0.0.0.0/0 172.25.30.53 r 172.25.30.1 wlan1
[admin@MikroTik] ip> firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=srcnat out-interface=wlan1 action=masquerade
1 chain=dstnat dst-address=10.50.60.53 action=dst-nat to-addresses=192.168.50.1 to-ports=0-65535
2 chain=srcnat src-address=192.168.50.1 action=src-nat to-addresses=172.25.30.53 to-ports=0-65535
3 chain=srcnat src-address=192.168.50.0/24 action=src-nat to-addresses=0.0.0.0 to-ports=0-65535
4 chain=dstnat dst-address=172.25.30.53 action=dst-nat to-addresses=192.168.50.1 to-ports=0-65535
[admin@MikroTik] ip>

galaxynet

Guest

31.03.2007 14:23:00

WirelessRudy – Я использую много MT-устройств в разных конфигурациях, твоя настройка немного запутанная, но кажется, я понимаю, к чему ты стремишься. Я повторю, как мне видится, ты хочешь добиться следующего: 10.50.60.X – это адресное пространство "командования и управления" для твоей внутренней Wlan-системы. 172.25.30.X – это сервис маскирования данных для клиента. 192.168.50.X – это IP-пространство, которое клиент использует в своей локальной сети. Исходя из этих предположений, думаю, тебе нужно избавиться от всех текущих правил src/dst и masq и начать с нуля, примерно так: Это правило src-nats перенаправляет все данные клиента на адрес 172.25.30.53 – как я и говорил выше, похоже, именно этого ты и хочешь. chain=srcnat src-address=192.168.50.0/24 action=src-nat to-addresses=172.25.30.53 to-ports=0-65535 Теперь 10.50.60.53 остается открытым для твоей системы "командования и управления". Я предполагаю, что где-то в твоей системе твой основной роутер знает, где найти адресное пространство 10.50.60.X и будет маршрутизировать запросы этого IP-адреса к соответствующему устройству…. Ты выше писал, что 10.50.60.1 не может найти устройство, но, думаю, это из-за твоих правил src/dst nat…. Ну WirelessRudy, попробуй это и дай нам знать, как получилось. Thom

WirelessRudy

Guest

31.03.2007 15:20:00

Привет, Том! Спасибо за ответ. Попробую это как можно скорее, но это будет ближе к вечеру. Ты прав насчет использования разных сетей. Я создал сеть 10.50.60.x, чтобы охватить все антенны в отдельной сети, отличной от клиентской. У меня были регулярные конфликты IP-адресов (из-за клиентов), когда все было в одной сети, а также несколько устройств SmartBridges со своей программой мониторинга, до которых невозможно было достучаться, когда все было в одной сети. Теперь я хотя бы всегда могу получить доступ ко всем CPE и AP, и программа мониторинга SmartBridge тоже работает отлично. И экономлю IP-адреса. Но если это не самый лучший способ, я был бы очень рад узнать, как это можно сделать альтернативно. Сеть растет. У нас сейчас 4 AP, три Backhaul и 26 клиентских антенн. Цель — получать по 5 CPE (все они будут MT в диапазоне 5 ГГц) в месяц. Так что, возможно, мне нужно настроить разные сети для сегментов, чтобы опережать будущие проблемы. Надеюсь, вечером расскажу, какой результат дал твой способ решения проблемы с проблемным CPE.

galaxynet

Guest

01.04.2007 13:47:00

WirelessRudy – Это моё личное мнение, основанное на моём опыте за многие годы – уверен, у других есть свои. Я пробовал и построение мостовых, и WDS сетей, но всегда возвращаюсь к маршрутизации. Да, у меня есть пара WDS-соединений в некоторых районах – это помогает держать сегментацию сети под контролем, но это скорее исключение, а не правило. Так что я вам скажу: используйте маршрутизированные сети везде, где только возможно. Можно маршрутизировать приватные IP-адреса внутри вашей сети, а при необходимости – назначать клиентам случайные публичные IP-адреса. Вы начали с хорошей идеи – разделение пространства IP-адресов клиентов и командно-контрольного. Не знаю, начали ли вы, но обязательно нарисуйте схему своей сети на бумаге – покажите маршрутизированные/мостовые сегменты с соответствующими IP и MAC-адресами... Я бы избавился от любого моста, как только смогу, перейдя на маршрутизированное оборудование. Не нужно это делать за одну ночь, просто выберите свой самый загруженный мост и начните с него, когда появится время и средства. Мосты просты в работе, но излишние затраты трафика могут стать невыгодными по мере роста вашей сети. Если вы следуете своему примеру с NAT-ом пространства IP-адресов клиентов, как вы пытаетесь сделать в этом посте, то у вас больше не возникнет конфликтов IP-адресов, вызванных клиентами. Вы сделали хороший выбор, используя 192.168.50.XX для клиентского пространства – я использую 192.168.10.xx для всех своих клиентов – почему? Ну, иногда клиент подключает домашний брандмауэр, внутреннюю беспроводную точку доступа или роутер. Большинство домашних устройств используют 192.168.0, 1, 2 или 254 в качестве третьего октета на своей стороне LAN, избегая этих IP-адресов, вы исключаете возможность конфликтов на/в CPE у клиента. И поскольку мои правила NAT (это только на CPE клиента) NAT-ят только 192.168.10.xx, в моей сети ничего больше не отображается. В моем случае я NAT-ью все CPE до 10.x.x.x. Я использовал все "x", потому что, в зависимости от того, где клиент находится в сети, последние три октета будут разными…. Вы используете 172 для своих клиентов, и это нормально. Чтобы уточнить, что у меня есть на моем CPE… сторона LAN (клиентская) ВСЕХ CPE – 192.168.10.1 – распределяется по DHCP – единственные исключения – бизнес-клиенты, которым требуется публичный IP-адрес или статические LAN IP-адреса…. С MT (и некоторыми другими CPE) установка одного и того же LAN IP-адреса для всех не является проблемой, утечек IP-адресов за пределы CPE нет. Вы можете дополнительно убедиться в этом, добавив несколько правил брандмауэра, чтобы отбрасывать всё, что не входит в диапазон IP-адресов, который вы ищете, таким образом гарантируя, что только ваше предоставленное пространство IP-адресов клиентов дойдёт до вашей сети и, в конечном итоге, в Интернет. Кроме того, имея одно и то же адресное пространство LAN, становится легче устранять проблемы клиентов – вы уже знаете, каким должен быть их адресное пространство LAN… вы понимаете, что я имею в виду. Ну, это всё на сегодня – если вы хотите ‘суду’ карту моей сети, напишите мне на thom.lawless@rapidwifi.com, и я отправлю вам файл word, в котором показана модель, которую я использую…. Том

WirelessRudy

Guest

01.04.2007 21:00:00

Привет, Том!

Ну, это очень полезная и информативная информация, которую ты предоставляешь. Я внес правила NAT из твоего первого совета, и CPE теперь работает отлично. На самом деле, у меня уже что-то подобное было, но с неправильной сетью. Да, моя цель в конечном итоге – чтобы все клиенты находились за MT CPE-роутером в своих собственных DHCP-сетях 192.168.50.xxx.

Проблема, которая все еще возникает, заключается в том, что 25 не-MT клиентов, а также иногда появляющиеся ноутбуки (гости), подключены напрямую со своим оборудованием к моей 172-й сети. Или их CPE, или их собственные ПК. Большинство их CPE прозрачные.

Что мне не совсем ясно: когда интерфейс одного из моих MT-роутеров/Ap имеет адрес 172.25.30.xxx и адрес 10.50.60.xxx, и клиент все же выдает конфликт IP в сети 172.25.30.xxx, повлияет ли это на мою контрольную сеть? Я имею в виду, приведет ли конфликт IP в сети A проблему в сети B, если обе находятся на одних и тех же интерфейсах? У меня никогда не возникало такого, но может ли это быть? Как эти сети разделены в роутерах?

172.25.30.xxx будет использоваться только для тех клиентов, которые подключаются через 2,4GHz сеть. Все CPE/клиенты в только запущенной 5GHz сети будут иметь свои собственные роутеры со своим DHCP, как описано выше. А если я дам этим 5GHz CPE также отдельную "Контрольную" сеть, скажем, 10.50.50.xxx? Бэкхол 5GHz AP-ов тот же, что и для 2,4GHz AP-ов, и работает с сетями 172.25.30.xxx и 10.50.60.xxx. Следует ли мне сейчас также дать этим бэкхол-узлам IP-адрес 10.50.50.xxx на их интерфейсе, чтобы создать отдельную 10.50.50.xxx сеть? Я думаю, это можно сделать с помощью маршрутизации, но я не знаю, как это сделать точно.

Примеры или советы, приведенные в руководстве MT-OS, Wiki и этом форуме, не такие понятные, как хотелось бы "новичкам". Большинство примеров или советов даются людьми, которые уже знают и думают, что это проще простого, или они не пишут на понятном английском. Это как если бы продвинутый 25-летний пользователь Windows пытался объяснить, как настроить электронную почту в Outlook, когда это твоя мама в 60 лет, которая только получила свой первый ПК! В 99% случаев они не говорят на одном языке, и мама больше не любит, что ее вводят в IT-мир! (И ты, потому что ты такой нетерпеливый!)

Я думаю, для большинства "новичков" или базовых продвинутых пользователей маршрутизация – самая сложная часть, которую трудно понять и с которой можно работать при настройке более широкой сети. Я думаю, что это сообщество, но и другие, не хватает четких и понятных примеров того, как выполнять маршрутизацию с использованием шлюзов, DNS-настроек, разных сетей и т.д. Это стоило мне несколько дней, чтобы выяснить, почему шлюз не был назначен клиенту DHCP, и даже когда он был назначен, он все равно не работал, потому что маршрут не существовал. Часто ты работаешь над одной проблемой, не зная, что у тебя есть и вторая проблема!

Я также не совсем понимаю, почему объединение двух интерфейсов в роутере не должно быть таким же хорошим, как наличие маршрутизации? Это просто и это работает! (У меня был парень, который пытался настроить мою сеть, и он использовал всевозможные сети и маршруты с точками доступа на каждом AP, и в результате я не знал, какая ситуация на моей собственной сети, и он потерял контроль тоже. Когда возникали проблемы, он был единственным, кто мог попытаться их решить, и со временем он тоже не мог больше! Я поблагодарил его за помощь, сбросил все роутеры к базовым настройкам и настроил простую сеть с одним диапазоном IP-адресов (теперь два, как объяснено), и это работает, это стабильно, и если возникает проблема, я могу разобраться в ней сам!)

Я свяжусь с тобой по поводу моего адреса электронной почты.

rgds

galaxynet Guest	#7 0 02.04.2007 13:33:00 Ответил тебе, Руди. Том.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры