routovani mezi sitemi

[gepard]

Ahoj, potreboval bych jeste poradit. Z meho pohledu se ten MikroTik chova nepredvidatelne.
Konfiguruju v grafice, konzoli mikrotik neznam.

Potrebuju:

eth1 - wan
sfp+ - 10.0.0.1/24 (chci videt do internetu)
eth2 - 10.25.0.1/24 (nechci)
eth3 - 10.0.35.1/24 (nechci)
eth4 - 10.0.36.1/24 (chci videt do internetu)

Pocitam, ze na firewallu si potom zablokuju, co kam muze a co kam nemuze.
K tomu jsem se jeste nedostal.

V teto chvili:
ze site 10.0.0.1/24 pingam do internetu, pingnu eth2, pingnu eth3, NEpingnu eth4
ze site 10.25.0.1/24 take pingam do internetu, pingnu vsechny site
ze site 10.0.35.1/24 nevim, jeste jsem tuto cast neresil
ze site 10.0.36.1/24 take pingam do internetu, NEpingnu sfp+, pingnu eth2, pingnu eth3

V podstate beze zmeny konfigurace:

Behem jednoho dne jsem nakonfiguroval, co jsem potreboval.
Resil jsem vse z pohledu site sfp+ 10.0.0.0/24, ze stroje 10.0.0.170.
Vecer jsem pingnul eth2, eth3 i eth4 (myslim tim IP adresu prirazenou danemu portu) a stroj v eth2.
Rano jsem prisel a NEpingnul jsem eth3.
Po cca. trech dnech (mam i jine veci na praci) jsem nepingnul dalsi interface (ted nevim ktery).
Dale po cca. dalsich dvou dnech sly opet pingnout vsechny interface vc. stroje v siti 10.25.0.0/24 (eth2).

V zasade beze zmeny konfigurace. Nastavil jsem jen DNS a DHCP, WAN
a na zacatku jednotlive interface.

Ve chvili, kdy vse slo videt jsem zajasal (predcasne) a jal se konfigurovat veci v siti 10.0.36.0/24
tedy sitove prvky a stroje s te siti, na MikroTik router jsem nesah.

Po pripojeni te site k MikroTiku do interface eth4 najednou nesel ze site 10.0.0.0/24 pingnout.
Jak vyse pisu v sekci v teto chvili, to je aktualni stav, co lze odkud videt.

Jestli to pozoruju spravne, tak se v teto chvili vzajemne nevidi site 10.0.0.0/24 a 10.0.36.0/24.
Uz koukam po nejakem skoleni.

Tady jsem nasel routy:

Kód: Vybrat vše

7 items
            Dst. Address    Gateway            Distance / Routing Mark / Pref. Source     
-D   AS     0.0.0.0/0       10.0.40.1 reachable ether1    1           
-    DAC    10.0.40.0/24    ether1 reachable              0        10.0.40.2   
-    DAC    10.0.0.0/24     sfp-sfpplus1 reachable        0        10.0.0.1   
-    DC     10.0.35.0/24    ether3 unreachable            255      10.0.35.1   
-    DAC    10.0.36.0/24    ether4 reachable              0        10.0.36.1   
-D   S      10.0.36.0/24    ether4 reachable              1           
-    DAC    10.25.0.0/24    ether2 reachable              0        10.25.0.1


Mate prosim nekdo predstavu, co se tam deje?
Jednu routu jsem si tam pridal, ale nepomohlo.
Na to, ze je 10.0.35.0/24 unreachable, ji pingam docela slusne.
Zato 10.0.36.0/24 jakozto reachable, nepingnu. Pred pridanim stat. zaznamu, ani pote.

Diky.

[rsaf]

Křišťálovou kouli mám v servise, nevidíme do zbytku konfigurace, takže jenom pár hintů:
- z pohledu firewallu je úplně něco jiného pingat na adresu na (libovolném) interface routeru (to se řídí pravidly v input/output) a na adresu v dané podsíti (pravidla ve forward)
- když port na kterém je adresy nemá link, shodí se i ta adresa = nepingneš to
- ve chvíli kdy se do toho hrabe (pingáš na adresu která není zkonfigurovaná, takže to míří do WAN apod.) může se poměrně snadno stát, že vzniknou záznamy v connections, do toho se přidá fasttrack a ono to pak zdánlivě nereaguje na změnu konfigurace.
- odhaduji že za to může prasácky napsaný firewall + úplné nepochopení jednoduchého routingu (bordel v maskách, chybějící GW...). V takto jednoduchém scénáři to na 800% není chyba Mikrotiku.

[ludvik]

Jak píše předřečník. Routing funguje "sám", v těchto jednoduchých případech. Nastavení sítě na rozhraní vytvoří také záznam v routovací tabulce. Pokud odněkud přijde paket, podívá se do ní (dle cílové adresy) a tam to pošle. Pokud nenajde, pošle default routou. Pokud ani to, tak se zahodí.
Samozřejmě musí být správně nastaven i cíl. Pokud neví kam to vrátit (typicky špatně GW), tak to nefunguje. Ale princip tam je stejný, i když je třeba jen jedno rozhraní.
Čili jakékoliv závady "občas to neroutuje" jsou na straně firewallu, který do těch paketů kouká a může je měnit či zahazovat.

V každém případě, pokud chceš radu, je vhodné být konkrétnější. Třeba poskytnout export konfigurace (mluvíš o firewallu, ale my ho opravdu nevidíme). Možná ho někdo přečte a najde chybu.

[gepard]

Co mam poslat z toho firewallu? Filter Rules, Mangle, Raw, Adress Lists, Layer7 Protocols, vsechny tyto zalosky jsou prazdne.
Ruzne se meni zaznamy v connections.

NAT

Kód: Vybrat vše

          #    Action    Chain    Src. Address    Dst. Address    Protocol    Src. Port    Dst. Port    Any. Port    In. Interface    Out. Interface    In. Interface List    Out. Interface List    Src. Address List    Dst. Address List    Bytes    Packets     
-D        0          masquerade    srcnat                                        WAN            772.8 KiB    3 376   


Service port

Kód: Vybrat vše

          Name    Ports    SIP Direct Media    SIP Timeout     
D        dccp               
D        ftp    21           
D        h323               
D        irc    6667           
D        pptp               
D        sctp               
D        sip    5060, 5061    yes    01:00:00   
D        tftp    69           
D        udplite               


Vic tam toho neni.

[gepard]

Router je novy
Do internetu se dostanu z kazde site

[gepard]

Nemohu pingnout ze stroje 10.0.0.170 do 10.0.36.254. Vsechny masky jsou 255.255.255.0
Mohu pingnout z 10.25.0.5 do 10.0.36.1. Ale uz ne ale do 10.0.36.254.

[pepulis]

Nemohu pingnout ze stroje 10.0.0.170 do 10.0.36.254. Vsechny masky jsou 255.255.255.0
Mohu pingnout z 10.25.0.5 do 10.0.36.1. Ale uz ne ale do 10.0.36.254.

10.0.36.1 je brana a na tu pingnout pujde, pokud to neni zakazane ve fw. Je povoleny ping na zarizeni, co ma ip 10.0.36.254? Jinak je to jen o tom nastavit spravne fw, tj. co se z ktereho segmentu ma kam dostat = accept a nebo zakazat = drop. Ip services neni podstatne pro omezovani provozu v lokalni siti.

[ludvik]

co je to 10.0.36.254? tam bude zakázaný ping.

[rsaf]

Vykašli se na to! Dej někomu, kdo ví co dělá pár stokorun aby ti to nastavil. S takhle nastaveným routerem si koleduješ o malér.

[rsaf]

Nebo to nastav přes quickset a upravuj to, co vyrobil quickset, zhruba:
- přidat další bridge pro další LANy, nastavit na ně adresy
- přehodit porty do těch bridge do kterých patří
- všechny ty bridge stričit do interface-listu LAN
Takhle by jsi měl mít nastavení, ve kterém se všechny sítě dostanou do internetu a (snad) všechny vzájemně mezi sebou. Potom už bude potřeba jen přidat zakazovací FW pravidla aby se jednotlivé sítě nedostaly tam, kam nemají.

[gepard]

Je povoleny ping na zarizeni, co ma ip 10.0.36.254?

Ano

Jinak je to jen o tom nastavit spravne fw

Prozatim je fw vypnuty, router je novy, cerstve vybaleny z krabice.

Vykašli se na to! Dej někomu, kdo ví co dělá pár stokorun aby ti to nastavil.

Kolega, co dela mikrotik je pryc a nevim kdy se vrati.
Ted to potrebuju nastavit, pak to necham jemu, at to prekontroluje.

Nebo to nastav přes quickset

V quick set jsem nastavil zaklad

V teto chvili to vypada, ze to chodi.

Ze site 10.0.0.0/24 se dostanu ted vsude
do site 10.0.36.0/24 jsem pridal stroj 10.0.36.200


10.0.36.253 je management adresa switche (nema separatni management port), switch pro sit 10.0.36.0/24 (sit pro management vsech zarizeni)

10.0.36.252 je management adresa dalsiho switche (ma management port)

Takze pingnu vse, problem je ze nepingnu management porty sitovych prvku.

Ze stroje 10.0.0.170 pingnu stroj 10.0.36.200 (a i dalsi)
Bohuzel nepingnu 10.0.0.36.253 ani 10.0.36.252 (namagement porty sitovych prvku)

Pritom, kdyz se pripojim primo do te site
a mam adresu 10.0.36.170, tak pak pingnu a pripojim se na http://10.0.36.253 i .252


Ze by to chtelo nastavit default gateway?
Prvni switch (.36.253) tam jsem takovou polozku nenasel
Druhy switch (.36.252) tam se po pokusu o nastaveni def. gw na 10.0.36.1 tato polozka sama vynuluje zpet na na 0.0.0.0

Potrebuju se dostat na management port tech sitovych prvku.

[gepard]

Tak to vypada pro tuto chvili poreseno. Pracoval jsem mezi vice sitemi a nedostupnost z 10.0.0.0/24 vypada na problem stroje ze ktereho jsem pracoval. Po zmene IP to chce restart celeho stroje, ne jen networkingu. Pak problem neni. A na switchi .36.252 jsem nejakym zpusobem def. ge nastavil. Sice ve webovem rozhrani porad pise def. gw 0.0.0.0, ale v konzoli vypise spravne def. gw 10.0.36.1, jak jsem nastavil. A switch .36.253 (cisco), tam jsem def. gw fakt nenasel. Nastavil jsem mu statickou routu do site 10.0.0.0/24 a vypada, ze taky chodi. Tak snad je to ok.

[ludvik]

Na (lepších) switchích je poměrně běžné, že nikde není kolonka default gateway. Ona to je totiž routa jako každá jiná a také se tak s ní pracuje.