+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Пинг через несколько подсетей

Пинг через несколько подсетей, RouterOS

ahbutler

Guest

30.06.2016 20:19:00

Приветствую! Это моя первая попытка настроить трафик между несколькими подсетями на RB2011UiAS. Конфигурация следующая: порт 1 подключен к интернету через masquerade. Порт 2 — LAN с диапазоном IP 192.168.95.x, шлюз 192.168.95.254. Порты 2-9 объединены в мост. Порт 10 отдельный и имеет IP 172.16.95.253. С терминала роутера могу пинговать адреса в сети 172.16.95.X и получать ответы. С компьютера в подсети 192.168.95.X могу пинговать только шлюз 172.16.95.253, но больше ничего в этой подсети не доступно. Заранее спасибо за любые советы.

ahbutler

Guest

04.08.2016 21:38:00

Сегодня обнаружил кое-что интересное. Если подключить ноутбук с Windows 10 в порт 10 и настроить IP 172.16.95.254, маску 255.255.0.0 и шлюз 172.16.95.253, то можно без проблем обмениваться трафиком между ноутом, интернетом и устройствами в подсети 192.168.95.X. Но если убрать ноут и назначить те же настройки IP телефону AllWorx, то с терминала роутера пингуется AllWorx, а вот из сети 192.168.95.X – нет. Что я упускаю? Заранее спасибо, Аарон.

ZeroByte

Guest

04.08.2016 21:45:00

Похоже, у вас могут быть неправильно настроены маски подсетей или шлюзы по умолчанию, или что-то в этом роде. Выполните команды /ip address export, /ip firewall filter export, /ip firewall nat export и выложите результаты здесь. Закройте (скройте) свои публичные IP-адреса, а приватные оставьте без изменений.

Arcee

Guest

04.08.2016 21:45:00

Отсутствуют правила файрвола. Нужно разрешить трафик между сетями. Это не сделается само собой. Учти, что ты всегда сможешь пропинговать хост в сети, который физически подключен, прямо из терминала. Отправлено с моего SM-G920I через Tapatalk.

ahbutler

Guest

04.08.2016 21:55:00

/ip address add address=192.168.95.254/24 comment="Default LAN Gateway" interface=bridge-local network=192.168.95.0
add address=X.X.X.X/30 comment="WAN Static Gateway" interface=ether1-gateway network=X.X.X.X
add address=172.16.95.253/16 interface=ether10-slave-local network=172.16.0.0

/ip firewall filter
add chain=input dst-port=8291 protocol=tcp
add chain=input dst-port=5003 protocol=tcp
add chain=input protocol=gre
add chain=input dst-port=1723 protocol=tcp
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway
add action=dst-nat chain=dstnat dst-address=X.X.X.X dst-port=595 protocol=tcp to-addresses=192.168.95.200 to-ports=595

Не могу понять, как правила файрвола на роутере могут влиять, если ноутбук с такой же настройкой работает нормально, а AllWorx — нет? Спасибо, Аарон.

docmarius

Guest

04.08.2016 22:30:00

Ваш коммутатор, скорее всего, отказывается отвечать на запросы ping от источников вне своей подсети в целях безопасности (встроенный файрвол коммутатора). Чтобы это заработало, возможно, потребуется настроить masquerade или src-nat на ether10: /ip firewall nat add action=masquerade chain=srcnat out-interface=ether10-slave-local

ahbutler

Guest

04.08.2016 22:38:00

На самом деле проблема в самом коммутаторе AllWorx. Но почему тогда роутер может "пинговать" AllWorx и получать ответ? Мне сказали, что пинг из терминала обходится через правила фаервола, из-за чего я думал, что проблема именно в фаерволе Mikrotik. Но если это так, почему же тогда текущие правила фаервола работают нормально, когда к тому же порту подключен ноутбук с Windows 10, настроенный с той же IP-конфигурацией? Спасибо всем за советы. Действительно хочется лучше понять, как это всё должно работать.

docmarius

Guest

04.08.2016 22:40:00

Пинги от роутера исходят с IP локального интерфейса, а пинги из сети имеют IP из другого подсети. Windows10 принимает ICMP с любого источника, а ваш коммутатор — нет. Просто попробуйте правило src-nat: /ip firewall nat add action=masquerade src-address=192.168.95.0/24 chain=srcnat out-interface=ether10-slave-local

ahbutler Guest	#9 0 04.08.2016 22:54:00 Отлично! Src-nat всё исправил! Огромное спасибо за решение и объяснение, почему именно так работает.

docmarius Guest	#10 0 04.08.2016 22:58:00 Веселитесь!

ahbutler Guest	#11 0 04.08.2016 23:01:00 Я всё ещё недостаточно понимаю, что именно делает правило Src-nat, но подозреваю, что оно подменяет исходный IP, чтобы казалось, что он приходит с 172.16.X.X?

docmarius Guest	#12 0 04.08.2016 23:09:00 Абсолютно верно, ты всё понял. Для источников из твоей сети 192.168.95.0/24, которые выходят через ether10, будет подставлен адрес источника 172.16.95.253 (IP интерфейса) во все пакеты. Маршрутизатор будет отслеживать соединения, и ответы будут иметь адрес назначения, подставленный обратно к их оригинальным. Весь трафик из 192.168.95.0/24 будет выглядеть так, будто он исходит с самого роутера на ether10. Исходящие соединения вместе с соответствующими ответами не будут затронуты, потому что они тоже отслеживаются.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры