+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

NAT + Тегирование/снятие тегов с нескольких одинаковых устройств

NAT + Тегирование/снятие тегов с нескольких одинаковых устройств, RouterOS

kvi2

Guest

08.09.2020 21:25:00

У меня есть настройка, показанная на картинке. Слева расположен подключение ПК, которое соединено через управляемый коммутатор с интерфейсом ether2 маршрутизатора CCR1016-12G. Справа находятся 10 единиц оборудования, которые подключены к интерфейсам ether3-ether12 маршрутизатора. Все устройства идентичны и имеют неизменяемые пересекающиеся MAC и IP адреса. Мне нужно установить соединение с интерфейса ether2 ко всем интерфейсам ether3-ether12. Однако с каждого интерфейса ether3-ether12 должно быть возможным подключение только к интерфейсу ether2, но не к другим. С стороне ПК необходимо снять тег VLAN200 (и наоборот), так как устройства понимают только VLAN201, VLAN202 и без тега. С стороне оборудования также необходимо выполнить обработку NAT для IP и MAC в дополнение к тегированию/без тега. Я считаю, что необходимые меры можно предпринять с маршрутизатором CCR1016-12G, но я все еще новичок в работе с маршрутизаторами... Есть ли рекомендации по шагам в RouterOS, которые нужны и в каком порядке выполнить необходимую обработку?

kvi2

Guest

02.10.2020 10:57:00

xvo, я попробовал твой пример на https://habr.com/ru/post/262091/, но он не работает. Я использовал Raspberry PI на ether3, ether4 и ether5 с идентичными адресами, как у тебя. Нет соединения от 192.168.2.2 до 192.168.2.13 или 192.168.2.14. Что-то не так? /ip route vrf
add interfaces=ether3 routing-mark=DEV3
add interfaces=ether4 routing-mark=DEV4

/ip address
add address=192.168.2.1/24 interface=ether5 network=192.168.2.0
add address=192.168.1.2/24 interface=ether3 network=192.168.1.0
add address=192.168.1.2/24 interface=ether4 network=192.168.1.0

/ip address
add address=192.168.2.13/24 interface=ether5 network=192.168.2.0
add address=192.168.2.14/24 interface=ether5 network=192.168.2.0

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=192.168.2.13 new-routing-mark=DEV3
add action=mark-routing chain=prerouting dst-address=192.168.2.14 new-routing-mark=DEV4

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=192.168.2.2 new-routing-mark=main

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=192.168.2.13 in-interface=ether5 to-addresses=192.168.1.1
add action=src-nat chain=srcnat out-interface=ether3 to-addresses=192.168.1.2
add action=dst-nat chain=dstnat dst-address=192.168.2.14 in-interface=ether5 to-addresses=192.168.1.1
add action=src-nat chain=srcnat out-interface=ether4 to-addresses=192.168.1.2

xvo

Guest

02.10.2020 20:18:00

Вы должны подключить ваш управляющий ПК (или, в вашем случае, управляющий RPi) к ether5 с адресом 192.168.2.2, а два управляемых устройства (RPi) — к ether3 и ether4, оба с адресом 192.168.1.1. С этой конфигурацией должно быть возможно достичь управляемых устройств по адресам 192.168.2.13 и 192.168.2.14 с управляющего ПК. Вы именно это и делаете, верно? И это не работает?

kvi2

Guest

08.10.2020 16:38:00

Да, настройка такая же, как на этой картинке, которая, вероятно, вам знакома: есть базовая настройка адреса ether1 для управленческих нужд. Ваша конфигурация установлена для ether3, ether4 и ether5. В устройстве нет других настроек. Темные красные стрелки и частично скрытые адреса на картинке — это соединения для управления/отладки. Пинг или ssh-соединения не работают от управляющего RPi к DEVs. Но... [root@localhost ~]# arping -c 1 -s 192.168.2.2 -I eth0 192.168.2.13 ARPING 192.168.2.13 от 192.168.2.2 eth0. Ответ из юникат от 192.168.2.13 [??:??:??:??:??:??] 0.991ms… где ответ с MAC-адресом MikroTik.

xvo

Guest

08.10.2020 19:08:00

У меня есть одна идея. Для возврата пакетов сделай следующее: /ip firewall mangle add action=mark-routing chain=prerouting dst-address=192.168.2.2 new-routing-mark=main. Эта правило срабатывает вообще? Дело в том, что dst-nat выполняется после цепочки prerouting, так что, вероятно, действие также обратит src-nat (хотя это нигде не указано на диаграмме потока пакетов). А что если изменить 192.168.2.2 на 192.168.1.2 в приведенном выше правиле?

kvi2

Guest

09.10.2020 14:47:00

Теперь ping и ssh соединения работают от управляющего RPi к DEVs! Спасибо, xvo! Вот рабочая версия настроек: /ip route vrf
add interfaces=ether3 routing-mark=DEV3
add interfaces=ether4 routing-mark=DEV4

/ip address
add address=192.168.2.1/24 interface=ether5 network=192.168.2.0
add address=192.168.1.2/24 interface=ether3 network=192.168.1.0
add address=192.168.1.2/24 interface=ether4 network=192.168.1.0

/ip address
add address=192.168.2.13/24 interface=ether5 network=192.168.2.0
add address=192.168.2.14/24 interface=ether5 network=192.168.2.0

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=192.168.2.13 new-routing-mark=DEV3
add action=mark-routing chain=prerouting dst-address=192.168.2.14 new-routing-mark=DEV4

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=192.168.1.2 new-routing-mark=main

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=192.168.2.13 in-interface=ether5 to-addresses=192.168.1.1
add action=src-nat chain=srcnat out-interface=ether3 to-addresses=192.168.1.2
add action=dst-nat chain=dstnat dst-address=192.168.2.14 in-interface=ether5 to-addresses=192.168.1.1
add action=src-nat chain=srcnat out-interface=ether4 to-addresses=192.168.1.2

xvo

Guest

09.10.2020 20:45:00

Здорово! Однако это заставляет меня задуматься, пробовал ли парень, написавший статью, когда-либо делать это именно так, как он описывал. Однажды я собрал тестовую установку, используя эту статью в качестве руководства, но сама установка имела некоторые серьезные отличия.

kvi2 Guest	#8 0 14.10.2020 10:36:00 Итак, это работает для соединений с DEVs, инициированными RPi. Как бы вы включили соединения с RPi, инициированными DEVs?

kvi2

Guest

03.11.2020 16:10:00

Я также настроил соединения, инициированные RPi, но только с метками соединений в NAT, которые были созданы на этапе предварительной обработки mangle. В противном случае мне не удалось заставить работать srcnat. Как должны работать VLAN с VRF? Должен ли быть один мост, который включает все интерфейсы, или несколько мостов?

xvo Guest	#10 0 03.11.2020 17:01:00 Я не думаю, что вам вообще нужны мосты: просто создайте vlan-интерфейсы на каждом из портов Ethernet. Дело не в том, что вы будете переключаться между портами с учетом vlan-тега, а скорее в том, что вы будете удалять тег - маршрутизировать - а затем снова добавлять тег.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры