Помогите пожалуйста c маршрутизацией Есть Микротик с такой конфигурацией. ether1 - WAN Bridge=ether2-master,ether2,ether3,wlan IP 192.168.25.1/24 ether5 IP 192.168.0.165/24 Проблема: Клиенты 192.168.0.0/24 и 192.168.25.0/24 без проблем ходят в интернет Но клиенты 192.168.0.0/24 и 192.168.25.0/24 не видят друг друга. т.е. например ping с 192.168.0.5 на 192.168.25.252 не проходит и наоборт с 192.168.25.252 не получается подключиться по RDP на 192.168.0.60 Подскажите пожалуйста, в чем я накосячил. IpSec удалось настроить, а тут что-то забуксовал. :-( Конфиг - ниже # feb/21/2017 06:05:32 by RouterOS 6.38.1 # /interface bridge add admin-mac=E4:8D:8C:AC:03:35 auto-mac=no comment=defconf name=bridge /interface ethernet set [ find default-name=ether1 ] comment=WAN set [ find default-name=ether2 ] comment="WI-FI 192.168.25.1" name=\ ether2-master set [ find default-name=ether3 ] master-port=ether2-master set [ find default-name=ether4 ] master-port=ether2-master set [ find default-name=ether5 ] comment="LOCAL 192.168.0.165" /interface ipip add allow-fast-path=no ipsec-secret=0-Parmezan4ik=20 !keepalive local-address=\ 195.24.154.22 name=DN<->KHE remote-address=194.79.21.2 /ip neighbor discovery set ether1 discover=no /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\ dynamic-keys wpa-pre-shared-key=poliwf41 wpa2-pre-shared-key=poliwf41 add authentication-types=wpa-psk,wpa2-psk eap-methods="" \ management-protection=allowed mode=dynamic-keys name=wifi \ supplicant-identity="" wpa-pre-shared-key=poliwf41 wpa2-pre-shared-key=\ poliwf41 /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors \ frequency=auto mode=ap-bridge security-profile=wifi ssid=IT-MIKROTIK \ wireless-protocol=802.11 /interface wireless nstreme set wlan1 enable-polling=no /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,3des /ip pool add name=dhcp ranges=192.168.25.10-192.168.25.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge lease-time=10h10m name=\ dhcpwifi /tool user-manager customer set admin access=\ own-routers,own-users,own-profiles,own-limits,config-payment-gw /interface bridge port add bridge=bridge comment=defconf interface=ether2-master add bridge=bridge comment=defconf interface=wlan1 /ip address add address=192.168.25.1/24 comment=defconf interface=bridge network=\ 192.168.25.0 add address=195.24.154.22/30 interface=ether1 network=195.24.154.20 add address=192.168.0.165/24 interface=ether5 network=192.168.0.0 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid interface=ether1 /ip dhcp-server network add address=192.168.25.0/24 comment=defconf dns-server=\ 195.24.128.65,195.24.128.164,192.168.0.1,192.168.0.40 domain=polyfarb \ gateway=192.168.25.1 netmask=24 ntp-server=192.168.0.1 /ip dns set allow-remote-requests=yes servers=195.24.128.65,195.24.128.164,8.8.8.8 /ip dns static add address=192.168.25.1 name=mikrotik /ip firewall filter add action=accept chain=forward connection-state=established,related \ dst-address=172.16.0.0/21 src-address=192.168.0.0/16 add action=accept chain=input comment=KHE:IP-Sec dst-port=500 protocol=udp add action=accept chain=input protocol=ipsec-esp add action=accept chain=input protocol=ipsec-ah add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp add action=accept chain=input protocol=udp add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept established,related" \ connection-state=established,related add action=drop chain=input comment="defconf: drop all from WAN" disabled=yes \ in-interface=ether1 add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related disabled=yes add action=accept chain=forward comment="defconf: accept established,related" \ connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface=ether1 /ip firewall nat add action=accept chain=srcnat comment=To_Kherson disabled=yes dst-address=\ 172.16.0.0/21 src-address=192.168.0.0/16 add action=masquerade chain=srcnat comment="defconf: masquerade" \ out-interface=ether1 add action=accept chain=srcnat disabled=yes dst-address=192.168.25.0/24 \ src-address=192.168.0.0/24 /ip ipsec peer add address=194.79.21.2/32 disabled=yes nat-traversal=no secret=0-Parmezan4ik=20 /ip ipsec policy set 0 disabled=yes add disabled=yes dst-address=172.16.0.0/21 sa-dst-address=194.79.21.2 \ sa-src-address=195.24.154.22 src-address=192.168.0.0/16 tunnel=yes /ip route add check-gateway=ping distance=1 gateway=195.24.154.21 add distance=1 dst-address=172.16.0.0/21 gateway=DN<->KHE add check-gateway=ping distance=1 dst-address=192.168.0.0/16 gateway=\ 192.168.0.1 /ip service set telnet disabled=yes set ftp disabled=yes set api disabled=yes set api-ssl disabled=yes /ip upnp set enabled=yes /ip upnp interfaces add interface=bridge type=internal add interface=ether1 type=external add interface=ether5 type=internal add interface=ether2-master type=internal add interface=ether3 type=internal add interface=ether4 type=internal /system clock set time-zone-name=Europe/Kiev /system ntp client set enabled=yes primary-ntp=192.168.0.1 /system ntp server set enabled=yes /system routerboard settings set init-delay=0s /tool mac-server set [ find default=yes ] disabled=yes add interface=bridge /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=bridge /tool user-manager database set db-path=user-manager
причин неработоты может быт 3: 1. фаервол у вас в правилах не вижу запрещающего правила на forward между сетями 2. маршрутизация тут должно все быть нормально, но на всякий случай покажите ip route print detail 3. фаерволы на ПК, тут дело вот в чем, даже встроенный в windows брандмауэр блокирует пакеты из "чужой" сети, для ПК из сети 192.168.0.0/24 пакеты из сети 192.168.25.0/24 являются "чужими", и с высокой вероятностью им дропаются, не говоря об установленных на ПК защитного ПО (антивирусы/фаерволы), на время теста отключите все защитное ПО (антивирусы/сетевые экраны) скорей всего причина в 3 по поводу фаервола, каждый конечно настраивает как хочет, но есть основные принципы и рекомендации, например, никакая фильтрация не должна осуществляться в NAT если все же пинг не заработает, попробуйте по очереди отключать, на время проверки, запрещающие правила в firewall filter (может я чего не досмотрел в конфиге), так методом исключения можно найти правило которое блокирует прохождение пакетов.
ip route print detail Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 0 A S dst-address=0.0.0.0/0 gateway=195.24.154.21 gateway-status=195.24.154.21 reachable via ether1 check-gateway=ping distance=1 scope=30 target-scope=10 1 A S dst-address=172.16.0.0/21 gateway=DN<->KHE gateway-status=DN<->KHE reachable distance=1 scope=30 target-scope=10 2 ADC dst-address=192.168.0.0/24 pref-src=192.168.0.165 gateway=ether5 gateway-status=ether5 reachable distance=0 scope=10 3 ADC dst-address=192.168.25.0/24 pref-src=192.168.25.1 gateway=bridge gateway-status=bridge reachable distance=0 scope=10 4 ADC dst-address=195.24.154.20/30 pref-src=195.24.154.22 gateway=ether1 gateway-status=ether1 reachable distance=0 scope=10
Файрволл специально потушен на 2-х компах. 192.168.0.60 и 192.168.25.252. Кое что добавил в конфиг. Но ситуация стала еще непонятнее для меня. Между клиентами 192.168.0.0/24 и 192.168.25.0/24 получился какой-то диод т.е. например ping с 192.168.0.60 на 192.168.25.252 проходит, а пинг с 192.168.25.252 на 192.168.0.60 не проходит. И не получается подключиться по RDP с 192.168.25.252 на 192.168.0.60 (терм. сервер) Во вложении файл с конфигурацие, который был получен командой export file=config_backup_20170227.rsc Подскажите пожалуйста, в чем я накосячил? /ip firewall filter add action=accept chain=forward connection-state=established, related \ dst-address=172.16.0.0/21 src-address=192.168.0.0/16 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Для IpSec-туннеля необходимо? add action=accept chain=forward dst-address=192.168.25.0/24 in-interface=\ ether5 out-interface=bridge src-address=192.168.0.0/24 ^^^^^^^^^^^^^^^^^^ Для прохода с 192.168.0.0/24 на 192.168.25.0/24 необходимо? add action=accept chain=forward dst-address=192.168.0.0/24 in-interface=\ bridge out-interface=ether5 src-address=192.168.25.0/24 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Для прохода с 192.168.25.0/24 на 192.168.0.0/24 необходимо? И по нату? /ip firewall nat add action=accept chain=srcnat comment=To_Kherson disabled=yes dst-address=\ 172.16.0.0/21 src-address=192.168.0.0/16 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Необходимо, чтобы туннель не маскарадился? Сейчас он отключен. Необходимо включить? add action=accept chain=srcnat dst-address=192.168.25.0/24 src-address=\ 192.168.0.0/24 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Необходимо, чтобы пакеты между сетями не маскарадились? add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=\ 192.168.25.0/24 Необходимо, чтобы пакеты между сетями не маскарадились? Поправьте меня пожалуйста, если я в чем-то ошибаюсь. Огромное спасибо.
Да, в другом городе тоже стоит такой же Mikrotik и между роутерами поднят ipsec в качестве корпоративного канала. С той стороны живет сетка: 172.16.0.0/21 (в другом городе) Эта сетка без проблем видна и все работает.
Конфиг 2-го роутера. # mar/07/2017 12:07:32 by RouterOS 6.38.1 # software id = 6T7A-286J # /interface bridge add name=Office /interface ethernet set [ find default-name=ether3 ] master-port=ether2 set [ find default-name=ether4 ] master-port=ether2 set [ find default-name=ether5 ] master-port=ether2 /interface ipip add allow-fast-path=no ipsec-secret=20-SorbonA-17 !keepalive local-address=\ 194.79.21.2 name=KHE-<->DN1 remote-address=195.24.154.22 /ip neighbor discovery set ether1 discover=no /interface wireless security-profiles add authentication-types=wpa2-psk eap-methods="" management-protection=\ allowed mode=dynamic-keys name=POLYMER supplicant-identity="" \ wpa2-pre-shared-key=zaqxswcde321 /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \ country=ukraine disabled=no frequency=auto mode=ap-bridge \ security-profile=POLYMER ssid=POLYMER wireless-protocol=802.11 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,3des /ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254 /ip dhcp-server add address-pool=default-dhcp name=defconf /interface bridge port add bridge=Office interface=wlan1 add bridge=Office interface=ether2 /ip address add address=172.16.1.2/24 comment=LAN interface=Office network=172.16.1.0 add address=194.79.21.2/30 interface=ether1 network=194.79.21.0 add address=193.109.129.39/27 interface=ether1 network=193.109.129.32 /ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 name=router /ip firewall filter add action=accept chain=forward connection-state=established,related \ disabled=yes dst-address=192.168.0.0/16 src-address=172.16.0.0/21 add action=accept chain=input comment=IPSec dst-port=500 protocol=udp add action=accept chain=input protocol=ipsec-esp add action=accept chain=input protocol=ipsec-ah add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp add action=accept chain=input protocol=udp add action=accept chain=input comment="accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept establieshed,related" \ connection-state=established,related add action=drop chain=input comment="defconf: drop all from WAN" disabled=yes \ in-interface=ether1 add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related disabled=yes add action=accept chain=forward comment="defconf: accept established,related" \ connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface=ether1 /ip firewall nat add action=accept chain=srcnat comment=To_Dnepr dst-address=192.168.0.0/16 \ src-address=172.16.0.0/21 add action=masquerade chain=srcnat out-interface=ether1 add action=dst-nat chain=dstnat comment="Kerio VPN" dst-port=4090 \ in-interface=ether1 protocol=tcp to-addresses=172.16.1.1 to-ports=4090 add action=dst-nat chain=dstnat dst-port=4090 in-interface=ether1 protocol=\ udp to-addresses=172.16.1.1 to-ports=4090 add action=dst-nat chain=dstnat comment=Mail dst-port=25 in-interface=ether1 \ protocol=tcp to-addresses=172.16.1.1 to-ports=25 add action=dst-nat chain=dstnat dst-port=110 in-interface=ether1 protocol=tcp \ to-addresses=172.16.1.1 to-ports=110 add action=dst-nat chain=dstnat dst-port=3000 in-interface=ether1 protocol=\ tcp to-addresses=172.16.1.1 to-ports=3000 /ip ipsec peer add address=195.24.154.22/32 disabled=yes nat-traversal=no secret=\ 20-SorbonA-17 /ip ipsec policy set 0 disabled=yes add disabled=yes dst-address=192.168.0.0/16 sa-dst-address=195.24.154.22 \ sa-src-address=194.79.21.2 src-address=172.16.0.0/21 tunnel=yes /ip route add distance=1 gateway=194.79.21.1 add distance=1 dst-address=172.16.5.0/24 gateway=172.16.1.1 add distance=1 dst-address=192.168.0.0/16 gateway=KHE-<->DN1 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes /system clock set time-zone-name=Europe/Kiev /system leds set 0 interface=wlan1 /system ntp client set enabled=yes primary-ntp=82.193.117.90 secondary-ntp=91.236.251.29 /system ntp server set broadcast=yes enabled=yes multicast=yes /system routerboard settings set init-delay=0s /tool mac-server set [ find default=yes ] disabled=yes add /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add