RB1200 & Intervlan routing

Тема в разделе "Общие вопросы", создана пользователем alexisgreen, 17 окт 2017.

  1. alexisgreen

    alexisgreen Новый участник

    День добрый.
    Неожиданно получил "в наследство" в удаленном филиале RB1200 + управляемый DLINK DGS-3120 с парой downlink к простым управляемым свичам D-link . Настройка банальная - в eth1 Mikrotik воткнут едиственный аплинк от DGS, интерфейсу присвоен IP 192.168.1.1, в eth10 воткнут кабель от провайдера ( пусть будет) , интерфейсу присвоен реальный IP, вся 192.168.1.0/24 NATится через него.
    В этот же офис "прям сейчас" переезжает народ из другого закрывшегося офиса в этом городе, рассаживаться будут хаотически, есть свои сервера, другое адресное пространство 192.168.2.0/24. Задача - оставить вторую сеть "как есть",
    интернет использовать один и тот же, траффик между сетями 192.168.1.0 & 192.168.2.0 - только тот что разрешен.
    Решение VLAN ( т.к. порты находятся на разных свичах, иначе их не изолировать) + Intervlan routing + firewall.
    Что сделано: те компы что, были раньше на DLINK оставлены в 1 default vlan, создан (802.1q) vlan2 VID 2, нужные порты на свичах добавлены как нетегированные в этот влан, на порт который идет уплинком к микротику vlan 2 добавлен как тегированный.
    На микротике - на eth1 добавлен интерфейс VLAN2 с VID 2 , ему присвоен адрес 192.168.2.1/32
    В маршрутах видно, что такая сеть на микротике есть
    DAC 192.168.1.0/24 ether1 reachable 0 192.168.1.1
    DAC 192.168.2.0/24 VLAN2 reachable 0 192.168.2.1
    С Микротика пингуются хосты в обоих сетках.
    Проблема в том, что не работает роутинг между влан, с хостов 192.168.1.0/24 не пингуются хосты в 192.168.2.0 и наоборот.
    Что я делаю не так? Я думал, что по аналогии с каталистом, интерфейс есть, маршрут есть - значит роутинг работает.
    Попытка сделать бридж и засунуть туда ether1 & Vlan2 к успеху не привела..
     
  2. Kato

    Kato Участник

    начните с конфига
     
  3. alexisgreen

    alexisgreen Новый участник

    Приветствую
    конфиг ниже, реальный ип заменен на 111.111.111.111
    Код:
    # oct/17/2017 12:13:52 by RouterOS 6.40.4
    # software id = CNRR-GWK7
    #
    # model = 1200
    # serial number = 2CD4011D944B
    /interface ethernet
    set [ find default-name=ether2 ] master-port=ether1
    set [ find default-name=ether3 ] master-port=ether1
    set [ find default-name=ether4 ] master-port=ether1
    set [ find default-name=ether5 ] master-port=ether1
    set [ find default-name=ether6 ] speed=100Mbps
    set [ find default-name=ether9 ] speed=1Gbps
    /interface vlan
    add interface=ether1 name=VLAN2 vlan-id=2
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=PlastPolymer
    /ip ipsec proposal
    set [ find default=yes ] enc-algorithms=3des
    /queue interface
    set ether1 queue=ethernet-default
    set ether2 queue=ethernet-default
    set ether3 queue=ethernet-default
    set ether4 queue=ethernet-default
    set ether5 queue=ethernet-default
    set ether6 queue=ethernet-default
    set ether7 queue=ethernet-default
    set ether8 queue=ethernet-default
    set ether9 queue=ethernet-default
    set ether10 queue=ethernet-default
    /snmp community
    set [ find default=yes ] name=DuHust
    /system logging action
    set 0 memory-lines=100
    set 1 disk-lines-per-file=100
    /interface l2tp-server server
    set authentication=chap,mschap1,mschap2 default-profile=default max-mru=1400 max-mtu=1400
    /interface pptp-server server
    set max-mru=1460 max-mtu=1460
    /ip address
    add address=111.111.111.111/30 comment="\C8\ED\F2\E5\F0\ED\E5\F2" interface=ether10 network=81.23.97.164
    add address=192.168.1.1/24 comment="\CB\C2\D1 \CE\C0\CE \"\CF\EB\E0\F1\F2\EF\EE\EB\E8\EC\E5\F0\"" interface=ether1 network=192.168.1.0
    add address=192.168.2.1 interface=VLAN2 network=255.255.255.0
    /ip dhcp-server lease
    add address=192.168.1.254 mac-address=1C:7E:E5:68:C9:40 use-src-mac=yes
    add address=192.168.1.253 mac-address=84:C9:B2:3D:AA:96 use-src-mac=yes
    /ip dns
    set allow-remote-requests=yes cache-size=10240KiB max-udp-packet-size=512 servers=81.23.96.138,81.23.99.2
    /ip firewall address-list
    add address=192.168.0.0/16 list=no_nat_needed
    add address=192.168.1.6 list=nat_allowed
    add address=192.168.1.3 list=nat_allowed
    add address=192.168.1.9 list=nat_allowed
    add address=192.168.1.161 list=nat_allowed
    add address=192.168.1.168 list=nat_allowed
    add address=192.168.1.169 list=nat_allowed
    add address=192.168.1.170 list=nat_allowed
    add address=192.168.1.172 list=nat_allowed
    add address=192.168.1.190 list=nat_allowed
    add address=192.168.1.248 list=nat_allowed
    add address=192.168.1.186 list=nat_allowed
    add address=192.168.1.139 list=nat_allowed
    add address=192.168.1.164 list=nat_allowed
    add address=192.168.1.185 list=nat_allowed
    add address=192.168.1.207 list=nat_allowed
    add address=192.168.1.221 list=nat_allowed
    add address=192.168.1.5 list=nat_allowed
    add address=192.168.1.2 list=nat_allowed
    add address=192.168.1.4 list=nat_allowed
    add address=192.168.1.105 list=nat_allowed
    add address=192.168.1.246 list=nat_allowed
    add address=192.168.1.249 list=nat_allowed
    add address=192.168.1.195 list=nat_allowed
    add address=192.168.1.226 list=nat_allowed
    add address=192.168.1.100 list=nat_allowed
    add address=192.168.1.101 list=nat_allowed
    add address=192.168.1.102 list=nat_allowed
    add address=192.168.1.103 list=nat_allowed
    add address=192.168.1.104 list=nat_allowed
    /ip firewall filter
    add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
    add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
    add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
    add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
    add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
    add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
    add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
    add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
    add action=accept chain=forward comment="Mail spam bot protection" dst-address=89.111.176.249 dst-port=25 protocol=tcp src-address=192.168.1.0/24
    add action=accept chain=forward dst-address=74.125.143.108 dst-port=25 protocol=tcp src-address=192.168.1.0/24
    add action=accept chain=forward dst-address=74.125.143.109 dst-port=25 protocol=tcp src-address=192.168.1.0/24
    add action=accept chain=forward dst-address=81.23.96.14 dst-port=25 protocol=tcp src-address=192.168.1.0/24
    add action=accept chain=forward dst-address=91.228.154.82 dst-port=25 protocol=tcp src-address=192.168.1.0/24
    add action=accept chain=forward dst-address=94.100.180.160 dst-port=25 protocol=tcp src-address=192.168.1.0/24 src-port=""
    add action=accept chain=input dst-port=25 protocol=tcp
    add action=accept chain=forward dst-port=25 protocol=tcp src-address=192.168.1.2
    add action=drop chain=forward dst-port=25 protocol=tcp src-address=192.168.1.0/24
    /ip firewall nat
    add action=src-nat chain=srcnat dst-address-list=!no_nat_needed src-address=192.168.1.0/24 src-address-list=nat_allowed to-addresses=111.111.111.111
    add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=25 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111
    add action=src-nat chain=srcnat disabled=yes dst-address-list=!no_nat_needed dst-port=80 protocol=tcp src-address=192.168.1.0/24 to-addresses=111.111.111.111
    add action=src-nat chain=srcnat disabled=yes dst-address-list=!no_nat_needed dst-port=443 protocol=tcp src-address=192.168.1.0/24 to-addresses=111.111.111.111
    add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=587 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111
    add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=110 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111
    add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=143 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111
    add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=993 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111
    add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=995 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111
    add action=netmap chain=dstnat disabled=yes dst-address=111.111.111.111 dst-port=7071 protocol=tcp to-addresses=192.168.1.2 to-ports=7071
    add action=netmap chain=dstnat dst-address=111.111.111.111 dst-port=25 protocol=tcp to-addresses=192.168.1.2 to-ports=25
    add action=dst-nat chain=dstnat dst-address=111.111.111.111 dst-port=3389 protocol=tcp src-address=213.182.180.60 to-addresses=192.168.1.3 to-ports=3389
    add action=dst-nat chain=dstnat dst-address=111.111.111.111 dst-port=33389 protocol=tcp src-address=213.182.180.60 to-addresses=192.168.1.9 to-ports=3389
    add action=src-nat chain=srcnat dst-address=94.100.180.160 dst-port=465 protocol=tcp src-address=192.168.1.0/24 to-addresses=111.111.111.111
    /ip proxy
    set cache-path=web-proxy1 max-cache-size=none parent-proxy=0.0.0.0
    /ip route
    add distance=1 gateway=81.23.97.165
    /ip service
    set telnet address=192.168.1.0/24
    set ftp disabled=yes
    set www disabled=yes
    set ssh address=192.168.1.0/24
    set api disabled=yes
    set winbox address=192.168.1.0/24
    /system clock
    set time-zone-autodetect=no time-zone-name=Europe/Moscow
    /system identity
    set name=PlastPolymer
    /system ntp client
    set enabled=yes primary-ntp=80.240.216.155 secondary-ntp=93.180.6.3 
     
    Последнее редактирование модератором: 18 окт 2017
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Виндозный файрволл еще может мешать. Винда не откликается на пинг из другой подсети.