classic.ISPforum.cz

Zdravím,
mám router RB750 a chci jej využít k oddělení 2 sítí, které budou propojeny jen přes jeden port (firewall)....

síť 1 - ether1
síť 2 - ether2,3,4,5 (vhozené do bridge, např. s názvem MyBridge)

takže provedu:

/interface bridge add name="MyBridge"
/interfarce bridge port add interface=ether2 bridge=MyBridge
/interfarce bridge port add interface=ether3 bridge=MyBridge
/interfarce bridge port add interface=ether4 bridge=MyBridge
/interfarce bridge port add interface=ether5 bridge=MyBridge

Síť 1 bude např. 10.0.0.x, pro mikrotik přiřadím třeba adresy 10.0.0.10 a 2. sít, která bude třeba v rozsahu 192.168.0.x, přiřadím pro mikrotik adresu 192.168.0.10...

/ip address add address=10.0.0.10/24 interface=ether1
/ip address add address=192.168.0.10/24 interface=MyBridge

Jak jsem psal, tyto dvě sítě by se neměly nějak vidět, jediné co potřebuji je, aby když se dotáže ze sítě 1 na IP adresu mikrotiku přiřazené v této síti a na port např. 1111, aby to přesměrovalo na nějaké zařízení a port, které bude v druhé síti např. na adrese 192.168.0.20 a poslouchat na portu např. 2222...

/ip firewall nat add chain=dstnat protocol=tcp dst-port=1111 action=dst-nat to-address=192.168.0.20 to-port=2222

ale aby to fungovalo, tak je třeba (i kduž chci, aby ty sítě byly jinak oddělené?) přidat maškarádu...

/ip firewall nat add chain=srcnat action=masquerade

Do routů jsem kromě defaultních přidal ještě toto...

/ip route add dst-address=0.0.0.0/0 gateway=192.168.0.1,10.0.0.1

Takto, jak jsem to popsal výše, to pěkně funguje, ale jen když se v dané síti ptá ze stejného adresního rozsahu, tj. ze strany sítě 1 se ptám z nějakého zařízení s IP 10.0.0.x nebo z druhé strany 192.168.0.x. Ale jakmile se snažím na IP mikrotiku dostat z jiného adresního rozsahnu, třeba 10.20.30.x, 192.168.50.x.... tak se na zařízení nedostanu. Což je, podlě mě, klasický případ špatně nastavené brány na cílovém zařízení (tomto mikrotiku).

Resp. po přidání roury, kde gateway=192.168.0.1,10.0.0.1 to funguje (téměř) vždy jen z jedné strany a to z té, kterou gateway jsem uvedl jako první. Když poradí prohodím, tak se prohodí i síť, ze které je to dostupné. Vím, že to zadání routy, kde uvadím jakoby primární a sekudární gateway není košér, ale netuším, jak to tomu mikrotikovi vysvětlit, aby...

pro síť 1 používal gateway 10.0.0.1
pro sít 2 používal gateway 192.168.0.1

napadlo mě místo té routy dst-address=0.0.0.0/0 gateway=192.168.0.1,10.0.0.1 použít toto...

/ip route add dst-address=10.0.0.0/24 gateway=10.0.0.1
/ip route add dst-address=192.168.0.1/24 gateway=192.168.0.1

To netvářilo se to, že by to nějak pomohlo (pravda, po cestě je spousta routeru, manažovatelných switchů... a třeba po změne pořadí gateway v prvním případě routy to vždy chvílio trvalo, než se to projevilo). A jen tak bokem ...po přidání těchto dvou rout se v tabulce objevily tyto dvě routy modrou barvou. Co znamená modrá barva v tabulce v WinBoxu? Zkoušel jsem hledat, ale dnes se mnou strýček google nějak nechce moc spolupracovat.

Ještě poznamenám, že...

ether1 = přípojka sítě 1
ether2 = přípojka sítě 2
ether3 = zařízení 1
ether4 = zařízení 2
ether5 = zařízení 3

A i když není není dostupný mikrotik z jiného adresního rozsahu sítě 2 (tj. jiného než 192.168.0.x), tak zaříení na ether3-5 z jiného adresního prostoru sítě 2 dostupné jsou.

teda, nejak vobec nechapem ako to chces mat zapojene - na prve precitanie sa mi zda ze to mas zle nastavene a zcasti to to ide omylom:)
druhy krat citat nestiham

odpoviem aspon na jednu otazku - ta modra farba vo winboxe ti oznacuje ze ak to je napriklad routa modrym pismom, tak tam mas nejaku inu ktora ju nahradza.

preco sa mi to zda divne - chces aby ti jedno zariadenie oddelovalo dve siete, ALE pritom sa chces dostavat z uplne inych sieti do tych co mas na nom vytvorene.

asi by som tvoju situaciu riesil skor obycajnym switchom, prepojit co potrebujes, nastavit rozsahy a potom na brany dropoval pakety z jednej - 10.x.x.x do druhej 192.168.x.x siete.
mikrotik by mal mat v tvojom pripade jednu branu, ak chces mat viacej, mangloval(oznackoval) by som pakety z jednej siete a z druhej a prideloval takto routy.

bud nieco nechapem, alebo napis este zopar udajov - kde je brana do netu, ci tam mas zvysok switche.ci sa iba tieto dve siete medzi sebou nesmu vidiet

Zdravím, ano, je to atyp. I známí, kterří dělají pro providery internetu na to čučeli. Jde o to, že síť 1 ani síť 2 mi neříká pane. Jedna je jednoho zákazníka, druhá jiného. Já jen dodávám zařízení, IP dostávám přidělené. Je to prostě nějaký rozsáhlý intranet, který spravuje prozměnu zase někdo jiný, než je uživatel dodaného zařízení.

No, ale bych to nezamotával ještě více. V sítí 2 je nějaké zařízení (nazvěme jej BlackBox a má za úkol dělat takový datový server pro 3. stranu v síti 1) a tento BlackBox komunikuje přes TCP s dalším zařízením v síti 2 (převodníkem TCP-IP/Modbus) ze kterého tato data získává. V síti 2 je dále nějaký místní operátorský panel, který vizualizuje data z převodníku TCP-IP/Modbus a dále je v síti 2 někde na centrále umístěn hlavní server, který tato data doluje a poskytuje pro vzdálené operátorské panely v síti 2 a zaznamenává historii. A z této technologie je třeba přes ten BlacBox poskytnou data ještě úplně jinému subjektu, který ma vlastní sít. Data poskytuji přes onen BlackBox. Ale nemužu jej umístit adresně (IP) do sítě 1, protože tento BlackBox potřebuje mít datové TCP spojení s výše uvedeným převodníkem TCP-IP/Modbus. Tyto dvě sítě nějsou vzájemně vůbec viditelné, protě dostanu do technologie dva kabely, každý z jiné sítě. Přišlo mi, že mikrotik je natolik univerzální, že by to snad pro něj neměl být nějaký problém.

Mimo jiné jsem dnes zkusil zadat tyto routy...

/ip route add dst-address=0.0.0.0/0 gateway=10.0.0.1,192.168.0.1
/ip route add dst-address=10.0.0.10 gateway=10.0.0.1
/ip route add dst-address=192.168.0.10 gateway=192.168.0.1

Píši to teď z paměti, snad jsem to napsal správně. IP adresy jsou ve skutečnosti úplně jiné, tyto uvádím pro větší přehlednost. Nějak to na mě neřvalo, že by se mu to nelíbilo. Ani modrou barvou se ten řádek nevybarvil (nějak jsem vydedukoval, že modře se řádek podsvítil, když nebyla brána platná). A je divné, že při tomto zadání jsem se dostal v síti 2 z jiného adresního prostoru sítě 2 WinBoxem na 192.168.0.10, ale když jsem dal ping na 192.168.0.10, tak odezva nebyla. Jak to vypadá z druhé strany, tj. viditelnosti mikrotiku z jiného adresního prostoru sítě 1 zatím nevím (dělám to na dálku a do sítě 1 nemám přístup, takže to uvidím behěm týdne).

Možná by byl názornější obrázek. Mohu nějaký načmárat. Jen nevím, jak se tu přidává? Asi bych jej musel uložit někam na internet a zde dát jen odkaz? Nebo je možné jej sem vložit přímo?

Co se týká mangle, tak o tom jsem slyšel, že něco takového existuje. Ale nevím, jak přesně to pracuje. Něco jsem zkoušel, ale jak jsem psal, tak tomu nerozumím a nefungovalo to. Asi bych uměl označit packety sitě 1 a 2. Ale co pak s nimi dále (jaká Action)?

skusim si to nacarbat ako si to opisal. zatial ma napadlo taketo riesenie - dat tomu blackboxu a tomu prevodniku ip adresy z ineho rozsahu, ktory mozem routovat po celej sieti - nie ip z rozshaov ktore sa nesmu vidiet/byt pristupne. napriklad nejake /30 rozsahy, jeden pre blackbox, jeden pre prevodnik a tie by boli dostupne z kazdej siete v intranete. ostatne by boli pooddelovane firewall pravidlami.

ano,je mi jasne ze toto mozno nebude mozne pomenit z niekolkych dovodov, takze to nemusi byt idealne riesenie.

Co se týká IP adres, tak ty si vybírat nemohu, jsou mi přidělené. Udělal jsem nějaký náčtek, snad se tu dobře přilinkoval...



IP adresy uvedené v obrázku jsou jen pro zpřehlednění a zjednodušení situace. Ve skutečnosti jsou úplně jiné. Místo Mikrotiku bývá běžně obyč. switch. Mikrotik jsem tu dal jen proto, že potřebuji doručit z modulu BB na adrese 192.168.0.20 data na zařízení v úplně jiné síti oddělené síti (v obrázku PC1, ve skutečnosti to třeba neni klasické PC, ale opět pro zjednodušení předpokládejme, že to klasické PC je). Tento modul BB ale nemohu dát do sítě 1, protože potřebuje komunikovat se zařízením CONV. ethernet/modbus na adrese 192.168.0.40. V obrázku je zelenýma čárama se šipkami v bloku mikrotiku nakresleno, co s čím komunikuje v siti 2 a červeně co potřebuji doručit do sítě 1.

V mém prvním příspěvku dotazu je uvedena konfigurace, kterou jsem použil. A když přistupuji dle obrázku z místa PC2 a PC3, tak bylo vše v pořádku. Problém nastal, když jsem chtěl přistupovat na zařízení z PC1 a PC4. Když jsem dal routu...

/ip route add dst-address=0.0.0.0/0 gateway=192.168.0.1,10.0.0.1

...tak to bylo přístupné vždy jen z jedné strany, tj. buď jen z PC1 nebo jen z PC2, což záleželo na pořadí uvedencýh gateway. Po změně vždy chvíli trvalo (aspoň z místa PC4), než ze změna projevila. Včera jsem ještě zkusil přidat routy...

/ip route add dst-address=10.0.0.0/24 gateway=10.0.0.1
/ip route add dst-address=192.168.0.1/24 gateway=192.168.0.1

A vypadá to, že v defaultní výše uvedene route 0.0.0.0/0 už nelze ovlivňovat pořadí gateway. Z PC4 mám přístupný port Winboxu, ale kupodivu PING je bez odezvy. To tedy nevím proč (není pro mě až tak důležitý, ale může to být příznak, že není neco v pořádku). Jestli je teď v této konfiguraci přístup z PC1 nemohu momentálně ověřit. To budu vědět, až to dodavatelé v síti 1 ověřit. A kdyby to nešlo, tak bych měl rád v záloze další plán, co vyzkoušet.