День добрый. Неожиданно получил "в наследство" в удаленном филиале RB1200 + управляемый DLINK DGS-3120 с парой downlink к простым управляемым свичам D-link . Настройка банальная - в eth1 Mikrotik воткнут едиственный аплинк от DGS, интерфейсу присвоен IP 192.168.1.1, в eth10 воткнут кабель от провайдера ( пусть будет) , интерфейсу присвоен реальный IP, вся 192.168.1.0/24 NATится через него. В этот же офис "прям сейчас" переезжает народ из другого закрывшегося офиса в этом городе, рассаживаться будут хаотически, есть свои сервера, другое адресное пространство 192.168.2.0/24. Задача - оставить вторую сеть "как есть", интернет использовать один и тот же, траффик между сетями 192.168.1.0 & 192.168.2.0 - только тот что разрешен. Решение VLAN ( т.к. порты находятся на разных свичах, иначе их не изолировать) + Intervlan routing + firewall. Что сделано: те компы что, были раньше на DLINK оставлены в 1 default vlan, создан (802.1q) vlan2 VID 2, нужные порты на свичах добавлены как нетегированные в этот влан, на порт который идет уплинком к микротику vlan 2 добавлен как тегированный. На микротике - на eth1 добавлен интерфейс VLAN2 с VID 2 , ему присвоен адрес 192.168.2.1/32 В маршрутах видно, что такая сеть на микротике есть DAC 192.168.1.0/24 ether1 reachable 0 192.168.1.1 DAC 192.168.2.0/24 VLAN2 reachable 0 192.168.2.1 С Микротика пингуются хосты в обоих сетках. Проблема в том, что не работает роутинг между влан, с хостов 192.168.1.0/24 не пингуются хосты в 192.168.2.0 и наоборот. Что я делаю не так? Я думал, что по аналогии с каталистом, интерфейс есть, маршрут есть - значит роутинг работает. Попытка сделать бридж и засунуть туда ether1 & Vlan2 к успеху не привела..
Приветствую конфиг ниже, реальный ип заменен на 111.111.111.111 Код: # oct/17/2017 12:13:52 by RouterOS 6.40.4 # software id = CNRR-GWK7 # # model = 1200 # serial number = 2CD4011D944B /interface ethernet set [ find default-name=ether2 ] master-port=ether1 set [ find default-name=ether3 ] master-port=ether1 set [ find default-name=ether4 ] master-port=ether1 set [ find default-name=ether5 ] master-port=ether1 set [ find default-name=ether6 ] speed=100Mbps set [ find default-name=ether9 ] speed=1Gbps /interface vlan add interface=ether1 name=VLAN2 vlan-id=2 /interface wireless security-profiles set [ find default=yes ] supplicant-identity=PlastPolymer /ip ipsec proposal set [ find default=yes ] enc-algorithms=3des /queue interface set ether1 queue=ethernet-default set ether2 queue=ethernet-default set ether3 queue=ethernet-default set ether4 queue=ethernet-default set ether5 queue=ethernet-default set ether6 queue=ethernet-default set ether7 queue=ethernet-default set ether8 queue=ethernet-default set ether9 queue=ethernet-default set ether10 queue=ethernet-default /snmp community set [ find default=yes ] name=DuHust /system logging action set 0 memory-lines=100 set 1 disk-lines-per-file=100 /interface l2tp-server server set authentication=chap,mschap1,mschap2 default-profile=default max-mru=1400 max-mtu=1400 /interface pptp-server server set max-mru=1460 max-mtu=1460 /ip address add address=111.111.111.111/30 comment="\C8\ED\F2\E5\F0\ED\E5\F2" interface=ether10 network=81.23.97.164 add address=192.168.1.1/24 comment="\CB\C2\D1 \CE\C0\CE \"\CF\EB\E0\F1\F2\EF\EE\EB\E8\EC\E5\F0\"" interface=ether1 network=192.168.1.0 add address=192.168.2.1 interface=VLAN2 network=255.255.255.0 /ip dhcp-server lease add address=192.168.1.254 mac-address=1C:7E:E5:68:C9:40 use-src-mac=yes add address=192.168.1.253 mac-address=84:C9:B2:3D:AA:96 use-src-mac=yes /ip dns set allow-remote-requests=yes cache-size=10240KiB max-udp-packet-size=512 servers=81.23.96.138,81.23.99.2 /ip firewall address-list add address=192.168.0.0/16 list=no_nat_needed add address=192.168.1.6 list=nat_allowed add address=192.168.1.3 list=nat_allowed add address=192.168.1.9 list=nat_allowed add address=192.168.1.161 list=nat_allowed add address=192.168.1.168 list=nat_allowed add address=192.168.1.169 list=nat_allowed add address=192.168.1.170 list=nat_allowed add address=192.168.1.172 list=nat_allowed add address=192.168.1.190 list=nat_allowed add address=192.168.1.248 list=nat_allowed add address=192.168.1.186 list=nat_allowed add address=192.168.1.139 list=nat_allowed add address=192.168.1.164 list=nat_allowed add address=192.168.1.185 list=nat_allowed add address=192.168.1.207 list=nat_allowed add address=192.168.1.221 list=nat_allowed add address=192.168.1.5 list=nat_allowed add address=192.168.1.2 list=nat_allowed add address=192.168.1.4 list=nat_allowed add address=192.168.1.105 list=nat_allowed add address=192.168.1.246 list=nat_allowed add address=192.168.1.249 list=nat_allowed add address=192.168.1.195 list=nat_allowed add address=192.168.1.226 list=nat_allowed add address=192.168.1.100 list=nat_allowed add address=192.168.1.101 list=nat_allowed add address=192.168.1.102 list=nat_allowed add address=192.168.1.103 list=nat_allowed add address=192.168.1.104 list=nat_allowed /ip firewall filter add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp add action=accept chain=forward comment="Mail spam bot protection" dst-address=89.111.176.249 dst-port=25 protocol=tcp src-address=192.168.1.0/24 add action=accept chain=forward dst-address=74.125.143.108 dst-port=25 protocol=tcp src-address=192.168.1.0/24 add action=accept chain=forward dst-address=74.125.143.109 dst-port=25 protocol=tcp src-address=192.168.1.0/24 add action=accept chain=forward dst-address=81.23.96.14 dst-port=25 protocol=tcp src-address=192.168.1.0/24 add action=accept chain=forward dst-address=91.228.154.82 dst-port=25 protocol=tcp src-address=192.168.1.0/24 add action=accept chain=forward dst-address=94.100.180.160 dst-port=25 protocol=tcp src-address=192.168.1.0/24 src-port="" add action=accept chain=input dst-port=25 protocol=tcp add action=accept chain=forward dst-port=25 protocol=tcp src-address=192.168.1.2 add action=drop chain=forward dst-port=25 protocol=tcp src-address=192.168.1.0/24 /ip firewall nat add action=src-nat chain=srcnat dst-address-list=!no_nat_needed src-address=192.168.1.0/24 src-address-list=nat_allowed to-addresses=111.111.111.111 add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=25 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111 add action=src-nat chain=srcnat disabled=yes dst-address-list=!no_nat_needed dst-port=80 protocol=tcp src-address=192.168.1.0/24 to-addresses=111.111.111.111 add action=src-nat chain=srcnat disabled=yes dst-address-list=!no_nat_needed dst-port=443 protocol=tcp src-address=192.168.1.0/24 to-addresses=111.111.111.111 add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=587 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111 add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=110 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111 add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=143 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111 add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=993 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111 add action=src-nat chain=srcnat dst-address-list=!no_nat_needed dst-port=995 protocol=tcp src-address=192.168.1.0/24 src-address-list="" to-addresses=111.111.111.111 add action=netmap chain=dstnat disabled=yes dst-address=111.111.111.111 dst-port=7071 protocol=tcp to-addresses=192.168.1.2 to-ports=7071 add action=netmap chain=dstnat dst-address=111.111.111.111 dst-port=25 protocol=tcp to-addresses=192.168.1.2 to-ports=25 add action=dst-nat chain=dstnat dst-address=111.111.111.111 dst-port=3389 protocol=tcp src-address=213.182.180.60 to-addresses=192.168.1.3 to-ports=3389 add action=dst-nat chain=dstnat dst-address=111.111.111.111 dst-port=33389 protocol=tcp src-address=213.182.180.60 to-addresses=192.168.1.9 to-ports=3389 add action=src-nat chain=srcnat dst-address=94.100.180.160 dst-port=465 protocol=tcp src-address=192.168.1.0/24 to-addresses=111.111.111.111 /ip proxy set cache-path=web-proxy1 max-cache-size=none parent-proxy=0.0.0.0 /ip route add distance=1 gateway=81.23.97.165 /ip service set telnet address=192.168.1.0/24 set ftp disabled=yes set www disabled=yes set ssh address=192.168.1.0/24 set api disabled=yes set winbox address=192.168.1.0/24 /system clock set time-zone-autodetect=no time-zone-name=Europe/Moscow /system identity set name=PlastPolymer /system ntp client set enabled=yes primary-ntp=80.240.216.155 secondary-ntp=93.180.6.3