Prosím o pomoc

[kodlkal]

Dobrý den,
samozřejmě LAMA dotaz, mikrotik RB751, eth1-Wan-dhcp client, eth2-Lan-192.168.100.1/24-dhcp server, eth3-Lan-10.10.10.1/24-dhcp server. Nat vyřešen buď maškarádou nebo src-nat, ale ani v jednom případě se sítě nevidí!!
Tzn. PC1-192.168.100.254 pingne nejdál jen na bránu 10.10.10.1, ale už ne na PC2-10.10.10.2! Jak na to?
Díky

[sub_zero]

před tu maškarádu si dej pravidla:

Kód: Vybrat vše

chain=scrnat src-address=192.168.100.0/24 dst-address=10.10.10.0/24 action=accept
chain=scrnat src-address=10.10.10.0/24 dst-address=192.168.100.0/24 action=accept

nebo v těch dvouch maškarádách definuje, že se uplatňují kamkoli, jen ne do té druhé LAN - tzn !dst-address=xxx.xxx.xxx.xxx

tím vytvoříš vyjímku za NATu pro ty dvě sítě. Protože nyní, když pingneš z jedné sítě do druhé, tak se Ti požadavky posílají přes tu maškarádu, případně srcnat ven do WANu

[kodlkal]

Díky za odpověď, ale pravidla nefungují!
Přikládám výpis NAT:

Kód: Vybrat vše

 chain=dstnat action=dst-nat to-addresses=192.168.100.254 to-ports=9 protocol=udp
     in-interface=Wan dst-port=9

 1   chain=srcnat action=accept src-address=192.168.100.0/24 dst-address=10.10.10.0/24

 2   chain=srcnat action=accept src-address=10.10.10.0/24 dst-address=192.168.100.0/24

 3   chain=srcnat action=src-nat to-addresses=xx.xx.xx.xx src-address=192.168.100.0/24

 4   chain=srcnat action=src-nat to-addresses=xx.xx.xx.xx src-address=10.10.10.0/24

 5 X chain=srcnat action=masquerade out-interface=Wan


[Repkins]

1. Koukám, že maškarádu máš udělanou dobře, ale máš ji vypnutou.
2. K tomu, abys z jednoho subnetu na straně LAN dopingnul kamkoliv do druhýho subnetu nepotřebuješ nic nastavovat, o to se stará router. Pokud nedopingneš, někde je poblém třeba s gatewayí na tom cílovým PC

Zkontroluj routes a na DHCP serverech v tom routeru, jestli přidělují správnou gateway těm PC.

Do netu se z těch PC dostaneš?
Na PC máš povolenu odezvu na PING?

[kodlkal]

To Repkins:
Maškaráda je teď vypnutá, NAT jde přes src-naty, internet OK, když jedu přes src-naty nebo přes maškarádu, ale pingy nic(pingy jsou povolené!).
PC mají správně DHCP přiděleny svoje brány, ale pingneš max. na bránu druhýho subnetu - dál ne!
Díky

[tom-tom]

Ty src-naty mezi podsítěma můžeš s klidem zrušit a zapnout tu původní maškaru, protože ji máš definovanou jen na pakety směrující ven přes WAN, tzn. že provoz mezi 192.168.100.0/24 a 10.10.10.0/24 tím neprochází.
Pak si udělej z PC tracert do té druhé podsítě a výsledek sem hoď spolu s výpisem rout na routeru.
Tak mě napadá, RB751 má výchozí konfiguraci eth1-WAN a ostatní porty jako LAN spřažené do switche - tohle jsi rozdělil?

[kodlkal]

To tom-tom:
Protože jsem s tím nemohl pohnout, tak jsem resetnul tika a začal jsem znovu s tím, že jsem zadal víc subnetů(vidět v Route list), abych mohl zkoušet, ale stejně je výsledek, že subnety se nevidí!!
Route list:

Kód: Vybrat vše

 #   ADDRESS            NETWORK         INTERFACE                               
 0 D xx.xx.xx.xx/24   89.102.30.0     Wan                                     
 1   192.168.100.1/24   192.168.100.0   Bridge1                                 
 2   192.168.99.1/24    192.168.99.0    Lan4                                     
 3   192.168.98.1/24    192.168.98.0    Wifi                                     
 4   192.168.97.1/24    192.168.97.0    Lan2   

Tracert PC 192.168.97.2 na 192.168.100.254:

Kód: Vybrat vše

C:\Users\Karlos>tracert -h 5 192.168.100.254

Výpis trasy k 192.168.100.254 s nejvýše 5 směrováními

  1    < 1 ms    < 1 ms    < 1 ms  192.168.97.1
  2     *        *        *     Vypršel časový limit žádosti.
  3     *        *        *     Vypršel časový limit žádosti.
  4     *        *        *     Vypršel časový limit žádosti.
  5     *        *        *     Vypršel časový limit žádosti.

Trasování bylo dokončeno.

Po resetu tika následoval remove configurations na čisto!

[ludvik]

Kdyby tohle nefungovalo, tak nefunguje Internet vůbec ... Sice jsem ti moc nepomohl, ale je to tak.

[Ajfel]

Dobrý den,
samozřejmě LAMA dotaz, mikrotik RB751, eth1-Wan-dhcp client, eth2-Lan-192.168.100.1/24-dhcp server, eth3-Lan-10.10.10.1/24-dhcp server. Nat vyřešen buď maškarádou nebo src-nat, ale ani v jednom případě se sítě nevidí!!
Tzn. PC1-192.168.100.254 pingne nejdál jen na bránu 10.10.10.1, ale už ne na PC2-10.10.10.2! Jak na to?
Díky

Nejjednodussi bude, kdyz das nekomu pristup, aby ti to zkouknul cele.

[hafieror]

podrobně jsem to nečetl, ale nejsou eth2 a eth3 nastaveny jako switch a ne oddělené porty?

[tom-tom]

Předpokládám, že 10.10.10.0/24 subnet už tam teda nemáš a že na 192.168.100.254 si alespoň z mikrotiku pingneš.

Teď by nás teoreticky mohly zajímat ty ethernety /interface ethernet print
a jakou roli zde hraje bridge1 /interface bridge port print

[kodlkal]

To tom-tom:
Poslal jsem SZ!

[tom-tom]

Já taky

[tom-tom]

Takže abysme si to shrnuli...
Routy OK, masky podsítí OK, ethernety nejsou na switchi, krom maškary na wan není ve firewallu nic, co by blokovalo ICMP..
Takhle bych řekl, že ti to funguje, ale protože máš na některém (nebo všech) PC windows, sice sis povolil odpovědi na ping, ale to platí jen v rámci konkrétní podsítě.
Tím by se vysvětlovalo, že net ti jde, dokonce z mikrotiku ten PC opingneš pod adresou jeho brány, ale ostatní ICMP pakety to zahazuje.

Zkus na chvíli uplně vypnout ve windows firewall na obou PC, myslím že ten ping půjde

[kodlkal]

To tom-tom:
Bingo, po vypnutí firewalů jsou subnety viditelné, ale přišel jsem na jednu zvláštní věc:
Když v maškarádě nenadefinuješ odchozí interface(necháš ho prázdný), tak se PC vidí i ze zaplýma firewalama! Pingy, sdílení - OK!
Jak je to možný? Díky