+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

маршрутизация между VLAN

маршрутизация между VLAN, RouterOS

networkrevolt

Guest

12.09.2021 20:48:00

Привет, не могу пинговать между VLANами. Просто пытаюсь сделать пинг. Конфигурационный файл прикрепил. Наша домашняя сеть на 192.168.1.1, но нам нужно попасть в сеть CCTV. Спасибо.

sep/12/2021 02:36:10 by RouterOS 6.47.9
software id =

/interface bridge
add name=Lan

/interface ethernet
set [ find default-name=ether1 ] disable-running-check=no
set [ find default-name=ether2 ] advertise=10000M-full disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no
set [ find default-name=ether4 ] disable-running-check=no

/interface vlan
add interface=Lan name=CCTV vlan-id=200
add interface=Lan name="Cust IP" vlan-id=60
add interface=ether1 name=ISP1 vlan-id=510
add interface=ether1 name=ISP2 vlan-id=520
add interface=ether1 name=ISP3 vlan-id=530
add interface=ether1 name=ISP4 vlan-id=540
add interface=Lan name=Management vlan-id=10
add interface=Lan name=Routers vlan-id=15
add interface=Lan name=Servers vlan-id=30

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip pool
add name=dhcp_pool0 ranges=10.200.10.2-10.200.10.254
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254
add name=dhcp_pool2 ranges=10.2.8.1-10.2.10.0,10.2.10.2-10.2.15.254
add name=dhcp_pool3 ranges=10.30.10.2-10.30.10.254
add name=dhcp_pool4 ranges=10.2.15.2-10.2.15.254
add name=dhcp_pool5 ranges=10.20.8.1-10.20.10.0,10.20.10.2-10.20.15.254

/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=CCTV name=dhcp1
add address-pool=dhcp_pool1 disabled=no interface=Lan name=dhcp2
add address-pool=dhcp_pool2 disabled=no interface=Management name=dhcp3
add address-pool=dhcp_pool3 disabled=no interface=Servers name=dhcp4
add address-pool=dhcp_pool4 disabled=no interface=Routers name=dhcp5
add address-pool=dhcp_pool5 disabled=no interface="Cust IP" name=dhcp6

/interface bridge port
add bridge=Lan interface=ether2

/ip address
add address=50.221.xx.xxx/29 interface=ISP1 network=50.221.xx.xxx
add address=10.200.10.1/24 interface=CCTV network=10.200.10.0
add address=192.168.1.1/24 interface=Lan network=192.168.1.0
add address=65.156.xx.xxx/29 interface=ISP3 network=65.156.xx.xxx
add address=10.2.10.1/21 interface=Management network=10.2.8.0
add address=10.2.15.1/24 interface=Routers network=10.2.15.0
add address=10.30.10.1/24 interface=Servers network=10.30.10.0
add address=10.20.10.1/21 interface="Cust IP" network=10.20.8.0

/ip dhcp-client
add disabled=no interface=ether1

/ip dhcp-server network
add address=10.2.8.0/21 gateway=10.2.10.1
add address=10.2.15.0/24 dns-server=8.8.8.8,75.75.75.75 gateway=10.2.15.1
add address=10.20.8.0/21 dns-server=8.8.8.8,75.75.75.75 gateway=10.20.10.1
add address=10.30.10.0/24 dns-server=8.8.8.8,75.75.75.75 gateway=10.30.10.1
add address=10.200.10.0/24 gateway=10.200.10.1
add address=192.168.1.0/24 dns-server=192.168.1.1,8.8.8.8,75.75.75.75 gateway=192.168.1.1

/ip dns
set servers=75.75.75.75

/ip firewall address-list
add address=10.2.8.0/21 list=TO-ISP1
add address=10.2.15.0/24 list=TO-ISP1
add address=10.20.10.0/24 list=TO-ISP1
add address=10.30.10.0/24 list=TO-ISP3
add address=10.200.10.0/24 list=TO-ISP3
add address=192.168.1.0/24 list=TO-ISP3

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=TO-ISP1 passthrough=yes src-address-list=TO-ISP1
add action=mark-routing chain=prerouting new-routing-mark=TO-ISP3 passthrough=yes src-address-list=TO-ISP3

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ISP1
add action=masquerade chain=srcnat out-interface=ISP3

/ip route
add check-gateway=ping distance=1 gateway=50.221.xx.xx routing-mark=TO-ISP1
add check-gateway=ping distance=1 gateway=65.156.xxx.xx routing-mark=TO-ISP3
add check-gateway=ping comment=pings distance=1 gateway=50.221.xx.xx
add check-gateway=ping distance=1 gateway=65.156.xx.xx

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes

/system identity
set name="Core Router 1"

networkrevolt

Guest

29.09.2021 19:58:00

Привет, я вернулся и настроил PCC, но успеха пока нет. Могу пинговать из маршрутизатора, когда включен один из WAN, но как только включаю второй — всё перестаёт работать. Они постоянно показывают это с одним LAN-портом, а мне нужно, чтобы работало на всех VLAN, поэтому я пытаюсь настроить это только через ether2 и мост (bridge). Но без результата. Сейчас пробуем только с двумя ISP, остальные добавим позже, когда эти два заработают.

Вот что у меня есть. Думаю, я что-то пропустил или напутал.

/interface bridge add name=BL vlan-filtering=yes
/interface ethernet set [ find default-name=ether1 ] disable-running-check=no
set [ find default-name=ether2 ] advertise=10000M-full disable-running-check=no
set [ find default-name=ether3 ] disable-running-check=no

/interface vlan
add interface=BL name=CCTV vlan-id=200
add disabled=yes interface=BL name=Cust_IP vlan-id=60
add disabled=yes interface=ether1 name=ISP1-510 vlan-id=510
add interface=ether1 name=ISP2-520 vlan-id=520
add interface=ether1 name=ISP3-530 vlan-id=530
add interface=ether1 name=ISP4-540 vlan-id=540
add interface=ether1 name=ISP5-550 vlan-id=550 add disabled=yes
interface=BL name=Management vlan-id=10 add disabled=yes
interface=BL name=Routers vlan-id=15 add disabled=yes
interface=BL name=Servers vlan-id=30 add disabled=yes
interface=BL name=lanusers vlan-id=11

/interface list
add name=WAN
add name=LAN
add name=Manage

/ip pool
add name=dhcp_pool-10 ranges=10.10.2.2-10.10.2.254
add name=dhcp_pool-11 ranges=192.168.1.2-192.168.1.254
add name=dhcp_pool-15 ranges=10.15.2.2-10.15.2.254
add name=dhcp_pool-30 ranges=10.30.2.2-10.30.2.254
add name=dhcp_pool-60 ranges=10.60.2.2-10.60.2.254
add name=dhcp_pool-200 ranges=10.200.2.2-10.200.2.254

/ip dhcp-server
add address-pool=dhcp_pool-10 disabled=no interface=Management name=dhcp10
add address-pool=dhcp_pool-11 disabled=no interface=lanusers name=dhcp11
add address-pool=dhcp_pool-15 disabled=no interface=Routers name=dhcp15
add address-pool=dhcp_pool-30 disabled=no interface=Servers name=dhcp30
add address-pool=dhcp_pool-60 disabled=no interface=Cust_IP name=dhcp60
add address-pool=dhcp_pool-200 disabled=no interface=CCTV name=dhcp200

/tool user-manager customer set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw

/interface bridge port add bridge=BL frame-types=admit-only-vlan-tagged ingress-filtering=yes interface=ether2

/interface bridge vlan add bridge=BL tagged=BL,ether2 vlan-ids=10,11,15,30,60,200

/interface list member
add interface=ether1 list=WAN
add interface=ISP1-510 list=WAN
add interface=ISP2-520 list=WAN
add interface=ISP3-530 list=WAN
add interface=ISP4-540 list=WAN
add interface=ISP5-550 list=WAN
add interface=Management list=Manage
add interface=Management list=LAN
add interface=lanusers list=LAN
add interface=Routers list=LAN
add interface=Servers list=LAN
add interface=Cust_IP list=LAN
add interface=CCTV list=LAN
add interface=ether2 list=LAN

/ip address
add address=192.168.1.2/24 disabled=yes interface=ether2 network=192.168.1.0
add address=65.156.xx.xx/29 interface=ISP3-530 network=65.156.xx.xx
add address=10.10.2.1/24 interface=Management network=10.10.2.0
add address=192.168.1.1/24 interface=lanusers network=192.168.1.0
add address=10.15.2.1/24 interface=Routers network=10.15.2.0
add address=10.30.2.1/24 interface=Servers network=10.30.2.0
add address=10.60.2.1/24 interface=Cust_IP network=10.60.2.0
add address=10.200.2.1/24 interface=CCTV network=10.200.2.0
add address=50.221.xx.xx/29 interface=ISP1-510 network=50.221.xx.xx

/ip cloud set update-time=no

/ip dhcp-server network
add address=10.10.2.0/24 dns-server=10.10.2.1 gateway=10.10.2.1
add address=10.200.10.0/24 dns-server=10.200.2.1 gateway=10.200.10.1

/ip dns set servers=192.168.1.26,8.8.8.8

/ip dns static add address=192.168.1.46 name=revoltwireless.net

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related log-prefix=fasttrack
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=drop-invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN log=yes log-prefix="not DSTNATed"

/ip firewall mangle
add action=accept chain=prerouting dst-address=50.221.xx.xx
add action=accept chain=prerouting dst-address=65.156.xx.xx
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=BL new-connection-mark=WAN1 passthrough=yes per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=BL new-connection-mark=WAN2 passthrough=yes per-connection-classifier=both-addresses:2/0
add action=mark-routing chain=prerouting connection-mark=WAN1 in-interface=BL new-routing-mark=ISP1-mark passthrough=yes
add action=mark-routing chain=prerouting connection-mark=WAN2 in-interface=BL new-routing-mark=ISP3-mark passthrough=yes
add action=mark-routing chain=output connection-mark=WAN1 new-routing-mark=ISP1-mark passthrough=yes
add action=mark-routing chain=output connection-mark=WAN2 new-routing-mark=ISP3-mark passthrough=yes

ISP1-510 not ready

add action=mark-connection chain=prerouting connection-mark=WAN1 in-interface=ISP1-510 new-connection-mark=WAN1 passthrough=yes
add action=mark-connection chain=prerouting connection-mark=WAN2 in-interface=ISP3-530 new-connection-mark=WAN2 passthrough=yes

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

/ip route
add check-gateway=ping distance=1 gateway=50.221.xx.xx routing-mark=ISP1-mark
add check-gateway=ping distance=1 gateway=65.156.xx.xx routing-mark=ISP3-mark
add check-gateway=ping distance=1 gateway=50.221.xx.xx
add distance=2 gateway=65.156.xx.xx

/system identity set name="Core Router 1 (NEW)"

/tool user-manager database set db-path=user-manager

networkrevolt Guest	#3 0 01.10.2021 18:06:00 Кто-нибудь хорошо разбирается в mangle? Я не понимаю, что сделал не так. Это мост с VLAN на одном порту. Может, что-то упустил.

anav Guest	#4 0 01.10.2021 19:51:00 Ты сравнивал свои правила с теми, что были в презентациях из предыдущего поста?

networkrevolt Guest	#5 0 02.10.2021 02:28:00 Да, я сделал, они сделали это с одним Ethernet против bridge/vlans. Так что не знаю, нужно ли что-то менять для этого.

tdw Guest	#6 0 02.10.2021 12:47:00 Я не вдавался в детали правил искажения, но ни одно искажение не будет работать нормально, пока fasttrack не отключен.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры