classic.ISPforum.cz

Zdravim, mam router Mikrotik RB951G-2HnD, v soucasnosti je pouzivan jako brana do internetu, to znamena ze v portu 1, ktery je jako wan, je kabel od poskytovatele a nastavena fixni IP (napriklad 213.155.43.1), ostatni porty a wifi jsou NAT, kde je zapnut dhcp (rozsah 192.168.2.0-254). Potreboval bych aby napriklad z portu 2 se stal dalsi wan a na nem bude dalsi ip (napriklad 192.168.125.100) prirazena od dhcp (tento dhcp nelze vypnout). Na wan2 neni pristup k internetu, veskery provoz by mel porad byt smerovany na wan1, jen adresy z rozsahu 192.168.125.XXX by byli smerovany na wan2. Lze s timto routrem neco takoveho realizovat? Zkoumal jsem ruzna reseni, ale vetsinou se dve wan pouzivaly jako brany do internetu a delil se mezi ne provoz. Predem dekuji za kazdou radu

Pokud správně rozumím, mělo by stačit vyjmout port 2 z bridge a nastavit na něm dhcp klienta.

A místo masquarade použit src nat pro jednu podsít a src nat pro tu druhou s definovaným těch dvou IP "wanovych"

Řešení se dvěma WAN jsou většinou pro dvě internetové přípojky, protože to WAN tak trochu znamená "směr do světa". Ty se chceš asi připojit ještě k jiné privátní síti, takže:
- jeden z portů (ether2) vyhoď z LAN switche/bridge
- v IP, DHCP Client přidej na ether2 DHCP klienta, vyškrtni use peer DNS, use peer NTP a Add default route dej na No (anebo na ether2 přidej nějakou pevnou IP adresu ze sítě 192.168.125)
- v IP, Firewall, NAT přidej pravidlo kde bude chain:srcnat, out interface:ether2 a action:masquerade
- teoreticky to bude vyžadovat, v závislosti na tom co vše máš ve firewallu nastaveno, ještě přidat nebo upravit nějaká další firewallová pravidla.

Při tomto řešení se ty ze sítě 192.168.2.x dostaneš na zařízení ze sítě 192.168.125.x (můžeš se připojit na NAS, tisknout na síťové tiskárně...) ale naopak to nepůjde. Ale když jsi to chtěl jako druhý WAN, tak je to takto asi správně.

mirek.k píše:Pokud správně rozumím, mělo by stačit vyjmout port 2 z bridge a nastavit na něm dhcp klienta.

Čímž si to rozbije, protože si z dané sítě natáhne DHCP a defaultroute a fungovat to stejně nebude, protože buďto to musí odNATovat nebo udělat routu na tom druhém routeru... Rada nad zlato!

Nemusí, pokud tedy ovšem v DHCP klientu bude mít "Add Default Route" na no a nezapomene mít nezaškrtnuto (prázdno) v políčku "Use Peer DNS". V tom případě si nerozbije vůbec nic.

Dekuju za odpovedi, snazim se zatim vyjmout port 2 z bridge, ale v mam tam jen ether2-master a wlan1. Screen je v priloze

Nejprve musíš u portů 3, 4 a 5 v nastavení nastavit master-port na none (teď tam máš nastaveno ether2-master), pak je můžeš přidat do bridge a ether2 vyjmout (a klidně rovnou přejmenovat na ether2 nebo něco jiného, ať je to přehledné). Doporučuji to dělat přes Wi-Fi, rozhraní wlan1 si tím šachováním neodpojíš. Při nastavování přes kabel tě to dvakrát vykopne a není to chyba.

Tak jsem to dal dokupy, reseni od rsaf funguje. Mel jsem jen problem s tim parametrem master-port, v poslednich verzich fw parametr zmizel a je to uplne jinak, viz: https://forum.mikrotik.com/viewtopic.php?t=130403

Dekuji vsem zucastnenym

Já vím, že to je v posledních verzích jinak, navíc tam byly nějaké chyby, takže se na produkčních věcech zatím držím starší verze. I proto jsem psal tak neurčitě, že je třeba ten port vyhodit ze switche/bridge.
Mohl jsi si to zjednodušit a jako "druhý wan" použít ether5 - nemusel by jsi předělávat ten master.

Myghael píše:Nemusí, pokud tedy ovšem v DHCP klientu bude mít "Add Default Route" na no a nezapomene mít nezaškrtnuto (prázdno) v políčku "Use Peer DNS". V tom případě si nerozbije vůbec nic.

Jak že nerozbije? Přidá si defaultroute do sítě, před kterou NECHCE jít do internetu, to je OK? Přidá si do resolveru DNS servery z nějaké "pochybné" sítě, to je OK?
U sebe v sítí má 192.168.2.x, v té "vedlejší" síti je 192.168.125.x. Jak, prosím, budou stroje ve vedlejší síti vědět, kam poslat odpovědi na požadavky z 192.168.2.x?

Píšu, že to má mít na "no" a to samé s DNS, takže si nepřidá vůbec nic.

To aby se neco ze site 192.168.125.x dostalo do 192.168.2.x nepotrebuju. Je to zarizeni, ktere se standartne do site nepripojuje, spravne ppripojeni k nemu by se melo delat naprimo jen kabelem (PC<->zarizeni), proto v nem je aktivni ten dhcp, co nelze vypnout.