Propojení dvou sítí, statické routování

[michnzee]

Ahoj všichni, řeším momentálně jednu konfiguraci dvou routerů, myslím si, že to bude v nějaké drobnosti která mi stále nefunguje, třeba mě někdo nakopne tou maličkostí, která mi uniká.

Potřeboval bych, abych se proroutoval mezi dvěma sítěmi (aby obě firmy mohly na společný server). Obě sítě fungují samostatně bez problémů, co se mi nedaří je dostat se z horního RB3011, ze sítě 192.168.1.0/24, do dolního RB3011, do sítě 192.168.2.0/24, respektive na server v druhé síti. Ano vím, toto se řeší statickým routováním, povolením subnetů ve firewallu, nicméně mi tam nesedí ten bridge, nebo nevím proč se tam neustále nedostanu.

Mám dvě sesterské firmy, které fungují zcela samostatně, ale v části rozvodů využívají datové rozvody kolegů od vedle. Každá firma má RB3011, verze 6.41.2, každá firma má svého ISP. Ilustativní obrázek topologie níže:

isp.png (150.37 KiB) Zobrazeno 4274 x

Horní RB3011:
Eth10 - WAN ISP1
Eth9 - LAN 192.168.1.0/24 (pro místní síť první firmy)
Eth1, Eth2, Eth3, Eth4, Eth5 je spojen do Bridge, na Eth5 je nastavena statická IP adresa 192.168.2.2 z rozsahu druhé firmy. Na těchto portech jsou připojené technologie druhé firmy, zde funguje vše OK.

Dolní RB3011:
Eth1 - WAN ISP2
Eth2 - LAN 192.168.2.0/24 (pro místní síť druhé firmy)
Eth3, Eth4, Eth5, Eth6 je spojen do Bridge, na portu Eth6 je umístěn server s adresou 192.168.2.3.

Potřeboval bych, abych na horním RB3011 měl porty Eth1-Eth5 spojené dohromady kvůli rozšíření sítě druhé firmy. Jenže právě asi ten Bridge na prvním RB dělá to, že se nemám vlastně jak dostat do té druhé sítě (do druhého RB). Nebo se pletu?

[Myghael]

Na každém RB si vyhraď jeden libovolný port, a ty vyhrazené porty spoj. No a na tom propoji si nahodíš nějaký spojovací rozsah (třeba 192.168.3.0/24, ať je to jednodušší), tedy horní router bude mít adresu třeba 192.168.3.1 a spodní 192.168.3.2. Pak už jenom dáš nahoře routu destination 192.168.2.0/24 a gateway 192.168.3.2, dole si dáš destination 192.168.1.0/24 a gateway 192.168.3.1. Pak by ti to mělo normálně chodit.

[michnzee]

Tak to bude asi právě ono, co mi furt nedocházelo. Díky moc, zkusím to.

Ještě se zeptám, když vyřadít jeden port z toho horního Bridge, ty ostatní 4 porty (eth1-eth4) dostanou adresy z rozsahu druhé firmy? To asi těžko, že?

[Myghael]

NE.

V podstatě vzato nyní na každém routeru bude jen jeden bridge, a ten bude propojovat porty použité v té dané firmě, myšleno fyzické porty. Další dva porty budou na tomto bridgi nezávislé, totiž přívod konektivity (WAN od ISP) a propoj obou firem. Stejně tak budou zvlášť i ty tři sítě (WAN, LAN, propoj) na každém routeru.

[rsaf]

Nastavit to jde, ale je to hrozná prasečina. Na každém RB přidat statickou routu, destination bude protější síť, gateway bude adresa protějšího mikrotika. Ale pořád to bude hrozná prasečina.

Správně má být mezi dvěma routery oddělená spojovací síť, pokud je potřeba více oddělených sítí v jedněch prostorách, patří tam switche s VLANami.

Že si mají pořídit RB3011 jsi jim poradil ty ?

[Myghael]

Tou oddělenou spojovací sítí máš na mysli co? Vždyť jsem mu poradil udělat si jednu síťku sloužící jen jako propoj, tak jaká prasečina? Vždyť přesně to tam je. Ano, bylo by to lepší řešit pomocí switchů a VLAN, ale tazatel má RB3011 tak to holt bude RB3011. Už v prvním příspěvku tazatel psal, že má v každé firmě RB3011 a samostatně to funguje k jeho spokojenosti, řešit chtěl jen propojení.

[rsaf]

Sorry, reagoval jsem přímo na tazatele. Oddělená spojovací síť ať samostatná nebo ve VLANě je OK.

[michnzee]

Jasné, propojení funguje nyní bez problémů - děkuji za správnou cestu.

Nyní ale potřebuji vyřešit nebo docílit toho, aby mi dhcp server ze spodní firmy přiděloval IP adresy zařízením, které jsou připojené v tom prvním bridgi (eth1-eth4) u horní firmy. Ačkoli se statickými routy to funguje dobře, napadlo mě využít Eoip tunel a DHCP pustit přes něj. To se také povedlo, ale jakmile si bridge na horní firmě vypůjčí ip adresu (dhcp klient), automaticky dosadí dynamickou routu směřující do spodní firmy. Tudíž to začne fungovat stejně jako na začátku. Existuje ještě něco jiného?

[michnzee]

Sorry, reagoval jsem přímo na tazatele. Oddělená spojovací síť ať samostatná nebo ve VLANě je OK.

Díky, já jsem spíš opožděně reagoval - využití spojovací sítě byla správná cesta, takto jsem to udělal a funguje to dobře - propojení sítí funguje obousměrně. Problém je ale to DHCP pro zařízení, které jsou napojené v bridgi (eth1-eth4) u horní firmy, u kterých se na to můžu samozřejmě vykašlat a všem nastavit statické adresy (což s ohledem na množství počítačů a dalších zařízení je nic moc), nebo o to nechat postarat se DHCP server.

[Myghael]

Problém by být neměl - jen je potřeba DHCP server a vše ostatní pouštět na tom bridgi, ne na některém z těch rozhraní. Takže DHCP na bridge, a pak jen zkontrolovat, že v tom bridgi jsou opravdu jen ta rozhraní, která se používají v té horní firmě. Pak by absolutně neměl být problém.

[michnzee]

Problém by být neměl - jen je potřeba DHCP server a vše ostatní pouštět na tom bridgi, ne na některém z těch rozhraní. Takže DHCP na bridge, a pak jen zkontrolovat, že v tom bridgi jsou opravdu jen ta rozhraní, která se používají v té horní firmě. Pak by absolutně neměl být problém.

To je právě to, pokud nastavím DHCP klienta na Bridge na horní firmě a ačkoli obdrží adresu od DHCP serveru ze spodní firmy (to je tak správně), automaticky to vytvoří dynamickou routu na spodní firmy a obejde to tu spojovací síť (a statickou routu). Respektive beru v potaz to, že jsem využil eoip tunel. Bez eoip tunelu Bridge adresu od DHCP serveru nedostane.

[jenda.master]

nemas na tom DHCP klientovy zapnuto "add default route"

[michnzee]

nemas na tom DHCP klientovy zapnuto "add default route"

To nemám, to jsem odškrtnul hned na začátku

[rsaf]

Na těch bridge by snad žádný DHCP klient neměl být ne ???

[Myghael]

nemas na tom DHCP klientovy zapnuto "add default route"

To nemám, to jsem odškrtnul hned na začátku

K čemu proboha DHCP klienta?