RB - propojení dvou sítí

[RybaNaPet]

Dobrý den,

mám tu - pro někoho možná - stupidní dotaz (sám se v prostředí Mikrotiku nepohybuji a určitě se to bude množit ).
Potřeboval bych propojit 2 fyzicky oddělené sítě, kde routerboardy a další síťové prvky jsou umístěny ve stejném rozvaděči.
viz. obrázek

síť wan-lan.png (6.45 KiB) Zobrazeno 5452 x

Momentálně je to nastavené tak, že z LAN2 do LAN1 se leze skrz L2TP. (červený nákres)
Představuji si to tak, že kabelem propojím oba routery a nastaví se nějaké routování. (zelený nákres)
Podmínka je taková, že z LAN2 se lze dostat do LAN1 ale opačně z LAN1 do LAN2 ne.
Jakým způsobem, nebo spíše jak to vyřešit ?

Děkuji za pomoc a ochotu.

><(((">

[Noxus28]

krok 1. pridat v ip/routes pravidlá kde sa ktorá sieť nachádza
na RB1. dst.address= adresa sieteLAN2 gateway=verejna ip RB2
na RB2. dst.address= adresa sieteLAN1 gateway=verejna ip RB1

krok 2. firewall/filter
na RB1. chain=forward src.addr.=adresa sieteLAN1 dst.addr.=adresa sieteLAN2 connection state=new, invalid action=drop
na RB1. chain=forward src.addr.=adresa sieteLAN1 dst.addr.=adresa sieteLAN2 connection state=etabilished,related action=accept
na RB2. chain=forward src.addr.=adresa sieteLAN2 dst.addr.=adresa sieteLAN1 action=accept

Záleží aj na tom čo už vo firewalle máš a môže do komunikácie zasahovať či už na verejkách alebo do LAN rozsahov
PS: písal som to z hlavy popri ceste tak dúfam že som sa nikde moc neuklepol

[RybaNaPet]

Super.

Vyzkouším až nebude provoz a případně dám vědět.
Není tedy jakkoliv nutné propojovat routery mezi sebou (půjde to vlastně jen přes ten switch, chápu to správně) ?
Mohl bych poprosit o laické vysvětlení:

connection state=new, invalid action=drop
connection state=etabilished,related action=accept

Ten poslední krok chápu (action=accept), něco ve smyslu že "povolit provoz z LAN2 do LAN1".

Díky!

[Noxus28]

áno chápeš to správne, keďže to je na switchy (a pravdepodobne aj verejné IP z jedného rozsahu čiže tieto nešifrované dáta nebudú behať cez pol republiky) nie je potrebné robiť prepoj.
connection state:
new - naviazanie nového spojenia ( to ty nechceš z LAN1 do LAN2 iba opačne)
invalid - chybné spojenie (trebárs odpoveď na už uzavretú komunikáciu atď)
estabilished - nadviazané spojenie (to chceš - je to spojenie ktoré nadviazala LAN2 a LAN1 naň odpovedá)
related - odvodené spojenie (to tiež chceš - môže sa stať že spojenie sa "rozdvojí" na iný port, protokol atď)

veľa zdaru

[RybaNaPet]

Tak jsem to tam naházel a v ip/routes mě to hlásí "unreachable". Ping na obě veřejné IP z každého routeru funkční.
Zkontroloval jsem firewall, jestli to něco neblokuje, ale nic tomu nenasvědčuje. Myslím že problém bude v tom že už v těch routách mě to hlásí "unreachable" ??
Děkuji za rady.

[Noxus28]

a sú tie verejky RBčok z jedného rozsahu? prvý riadok je tam automaticky po pridaní verejnej ip na rozhranie
druhý si musíš pridať sám


v podstate okrem iného by mali byť v ip route 2 riadky

Kód: Vybrat vše

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
3 ADC  78.x.x.0/24       78.x.x.70          ether1_gateway          0
7 A S  192.168.10.0/24   78.x.x.70          78.x.x.71               1

[RybaNaPet]

Jedna je
xxx.xxx.146.253/29
Druhá je
xxx.xxx.146.115/29

[Noxus28]

no, čiže nie sú z jedného rozsahu. momentálne ma teda nenapadá čo s tým okrem káblového prepoja medzi RB

[RybaNaPet]

Takže tedy jaký postup ?
Propojím přes libovolné etherX porty oba routery (porty vyndám z bridge1, a nechám je samostatně).
A teď, jak to nastavit ? To už nevím.

Děkuji za rady.

[Noxus28]

ano vyber na každom RB jeden port ktorý bude vybratý z bridge a nebude na ňom žiadny konfig.
1. na porty nastav IP adresu z rozsahu ktorý nikde nepoužívaš, napr 10.10.10.1/30 a na druhý 10.10.10.2/30
a ďalej pokračuj tak ako som ti už písal len miesto verejných IP použi tieto.

[RybaNaPet]

Tak propoj kabelem + nastavení routy funguje.
Nicméně stále se z LAN1 dostanu do LAN2 (zkouším ping z RB1 na RB2, a mělo by to fungovat jen opačně).
Co konkrétně z toho zajišťuje, aby se povolila jen jednosměrná komunikace ? Kde by mohla být chyba.
Nemá u nějakého toho chainu být místo forward - input (oprava) ?
Díky.

[mirek.k]

Tak propoj kabelem + nastavení routy funguje.
Nicméně stále se z LAN1 dostanu do LAN2 (zkouším ping z RB1 na RB2, a mělo by to fungovat jen opačně).
Co konkrétně z toho zajišťuje, aby se povolila jen jednosměrná komunikace ? Kde by mohla být chyba.
Nemá u nějakého toho chainu být místo forward - drop ?
Díky.

Forward je chain a drop je akce. To opravdu zaměnit nejde.

[RybaNaPet]

Tak propoj kabelem + nastavení routy funguje.
Nicméně stále se z LAN1 dostanu do LAN2 (zkouším ping z RB1 na RB2, a mělo by to fungovat jen opačně).
Co konkrétně z toho zajišťuje, aby se povolila jen jednosměrná komunikace ? Kde by mohla být chyba.
Nemá u nějakého toho chainu být místo forward - drop ?
Díky.

Forward je chain a drop je akce. To opravdu zaměnit nejde.

Opraveno na "input".

[Noxus28]

RB sa na seba dopingajú ad1. už len kôly tomu že RB1 pingá z IP toho spoja a ad2. na to aby sa nedopingali potrebuješ pravidlá v INPUT rsp OUTPUT (čo je podla mňa zbytočné keďže sa aj tak vidia na spojovacej sieti)

Forward je už to čo prelezie do siete čiže z PC na PC rsp z PC na LAN IP RB2

[RybaNaPet]

Pořád se z PC v LAN1 dostanu třeba na sdílené složky (cokoliv) do PC v LAN2.
Přikládám printscreen firewall/filter na RB1.

propoj.png (9.49 KiB) Zobrazeno 4315 x

Na RB2 firewall/filter je "accept, forward, src. 51.0/24, dst. 0.0/20.