Это описание немного сокращено в 2021г чтоб акцентировать внимание на рассматриваемой теме.
Есть роутер микротик и две ЛВС. Выполним настройки так, чтоб компьютеры обменивались пакетами на сетевом уровне и имели доступ в Интернет.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Использован MikroTik RB750Gr3 с прошивкой 6.49.
В разъем №1 подключаем провод от внешней сети (Интернет).
В разъем №2 подключаем провод от коммутатора ЛВС 8.
В разъем №3 подключаем провод от коммутатора ЛВС 9.
В сетевых адаптерах компьютеров сетей установлено получение IP-адреса по DHCP.
Внешний IP-адрес для выхода в Интернет прилетает так же по DHCP.
Порядок действий.
1.Подключение к роутеру, сброс конфигурации.
2.Назначение адресации для портов (LAN).
3.Настройка внешнего IP-адреса (WAN).
5.Правило NAT для доступа в Интернет.
1.Подключение к роутеру, сброс конфигурации.
Подключаемся через WinBox по MAC-адресу.
Сбрасываем конфигурацию роутера на пустую (blank).
No Default Configuration — не оставлять дефолтную конфигурацию;
Do Not Backup — не делать резервную копию перед сбросом конфигурации.
Через командную строку терминала.
|
1 |
/system reset-configuration no-defaults=yes skip-backup=yes |
!!! Следует помнить, что удаляя базовые настройки, удалятся параметры безопасности. Если роутер будет работать шлюзом в Интернет необходимо настроить параметры безопасности (интерфейсы доступа, учетные записи, фильтры и прочие настройки).
Подключаемся к роутеру еще раз по MAC-адресу.
2.Назначение адресации для портов (LAN).
Для порта ether2 назначим IP-адрес 192.168.8.1
Для порта ether3 назначим IP-адрес 192.168.9.1
Каждый порт будет «смотреть» в свою сеть.
IP >> Addresses >> Нажимаем синий плюс >> В окне New Address вводим параметры:
Address: 192.168.8.1/24
Network: 192.168.8.0
Interface: ether2
Нажимаем кнопку «ОК».
Точно так же назначаем адрес второму порту с данными сети 9.
В результате в окне Adress List должны появится два адреса.
Через командную строку терминала:
|
1 2 |
/ip address add interface=ether2 address=192.168.8.1/24 /ip address add interface=ether3 address=192.168.9.1/24 |
3.Получение внешнего IP-адреса.
Назначим получение внешнего IP-адреса для доступа в интернет по DHCP через первый порт роутера.
IP >> DHCP Client >> Нажимаем синий плюс >> В окне New DHCP Client настраиваем:
Interface: ether1
Нажимаем кнопку «ОК».
Настройка Add Default Route: yes — установлена изначально, не изменяем ее чтоб автоматически создался маршрут для выхода в интернет.
В результате в окне DHCP Client появится строка с интерфейсом ether1 к которому через некоторое время присвоится внешний IP провайдера.
Через командную строку терминала:
|
1 |
/ip dhcp-client add interface=ether1 disabled=no |
Следует отметить, что в данном случае провайдером, раздающим интернет, является вышестоящий роутер сети нашей же организации. По этой причине отсутствуют пароли и прочие необходимые средства авторизации и доступа. В случае предоставления доступа в Интернет на платной основе через PPPoE или при выдаче статического IP-адреса провайдером по договору или еще какие-то варианты подключения, необходимо настраивать подключение в Интернет на роутере по отдельной инструкции, для каждого случая разной.
Настроим сервер, для динамической раздачи IP-адресов в сетях.
4.1 Укажем сети для DHCP-сервера.
IP >> DHCP Server >> Вкладка Networks >> Нажимаем синий плюс.
В открывшемся окне DHCP Network вводим параметры:
Address: 192.168.8.0/24
Gateway: 192.168.8.1
DNS Servers: 192.168.8.1
Нажимаем кнопку «ОК».
Точно так же создаем сеть по адресу 192.168.9.0/24.
В результате в окне DHCP Server на вкладке Networks появятся две сети.
Через командную строку терминала:
|
1 2 |
/ip dhcp-server network add address=192.168.8.0/24 gateway=192.168.8.1 dns-server=192.168.8.1 /ip dhcp-server network add address=192.168.9.0/24 gateway=192.168.9.1 dns-server=192.168.9.1 |
4.2 Пул адресов, которые будет раздавать DHCP сервер.
IP >> Pool >> Нажимаем синий плюс >>В окне NEW IP Pool вводим параметры:
Name: LAN8
Addresses: 192.168.8.2-192.168.8.254
Нажимаем кнопку «ОК».
Точно так же создаем Пул для сети 9.
В результате в окне IP Pool появятся два Пула раздаваемых адресов для каждой сети.
Через командную строку терминала:
|
1 2 |
/ip pool add name=LAN8 ranges=192.168.8.2-192.168.8.254 /ip pool add name=LAN9 ranges=192.168.9.2-192.168.9.254 |
4.3 Создадим DHCP-сервер.
IP >> DHCP Server >> Нажимаем синий плюс >> Вводим параметры:
Name: dhcp1
Interface: ether2
Address Pool: LAN8
Нажимаем кнопку «ОК».
Повторяем действия и создаем DHCP сервер для сети 9.
В результате в окне DHCP Server можно увидеть созданные сервера.
Через командную строку терминала:
|
1 2 |
/ip dhcp-server add interface=ether2 address-pool=LAN8 disabled=no /ip dhcp-server add interface=ether3 address-pool=LAN9 disabled=no |
5.Правило NAT для доступа в Интернет.
IP >> Firewall >> Вкладка NAT >> Добавляем правило нажав синий плюс.
В открывшемся окне вводим параметры на вкладке General:
Chain: srcnat
Out.Interface: ether1
Нажимаем кнопку «Apply».
Переходим на вкладку Action.
На вкладке Action:
Action: masquerade
Нажимаем кнопку «ОК».
Через командную строку терминала:
|
1 |
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 |
Другие правила при такой конфигурации не нужны. Если в процессе работы будет настраиваться брандмауэр и появятся различные запрещающие правила, то для того, чтоб трафик между сетями не блокировался можно добавить два правила в Filter Rules и расположить их вверху списка.
|
1 2 |
/ip firewall filter add chain=forward in-interface=ether2 out-interface=ether3 action=accept /ip firewall filter add chain=forward in-interface=ether3 out-interface=ether2 action=accept |
IP >> DNS
Servers: 8.8.8.8 — публичный DNS гугл (или любой другой публичный DNS или адрес который сообщит провайдер или вообще ничего при автоматическом получении)
Dynamic Servers: 192.168.0.1 — DNS который автоматически прилетает от вышестоящего роутера.
Allow Remote Requests — отмечаем галочкой (разрешение на обработку удаленных запросов, чтоб наш роутер отвечал на DNS запросы от пользователей ЛВС)
Через командную строку терминала:
|
1 |
/ip dns set allow-remote-requests=yes servers=8.8.8.8 |
Перезагружаем роутер, для актуализации IP-адресов раздаваемых по DHCP во все компьютеры.
Или обновляем IP-адрес через командную строку каждого компьютера:
|
1 |
ipconfig -release & ipconfig -renew |
Проверяем ping между компьютерами в разных сетях.
Из сети 8 в сеть 9.
Из сети 9 в сеть 8.
Если ping не проходит нужно приостановить защиту антивируса или отключить брандмауэр на тестируемых компьютерах.
На всякий случай трассировка (для неверующих).
Из сети 8 в сеть 9.
Из сети 9 в сеть 8.
Проверяем доступ в Интернет из обоих сетей. Интернет работает.
Посмотрим что в маршрутах. IP >> Routes.
Все маршруты динамические.
DAS — dynamic, Active, Static
DAC — dynamic, Active, Connected
1-для выхода в интернет, 2-внешняя сеть от вышестоящего роутера, 3 и 4 маршруты в локальные сети
Вся конфигурация в одном файле.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Сделал всё по статье, но работать структура не хочет, если я нахожусь в сети 9 и пингую комп в Сети 8 — пакет отрубает. Через средства маршрутизатора всё видит, PING идёт, а через командную строчку ПК Сети 9 — тишина.
могут мешать антивирус и брандмауэр ПК
+1 шлюзы пингуются, машины внутри сеток — нет.
Тут вопрос к авторам статьи, разве маршрутизацию между сетями не нужно настраивать?
Динамические маршруты появляются автоматически
Я так понимаю вы каждую подсеть отдельно добавили в разные бриджи, бридж1 и бридж2?
Бриджи не создавались. Подсети просто на интерфейсах.
Не работает!
В итоге получаем DHCP сервера красным шрифтом и с подпись Invalid.
Работает. В нашей сети на оборудовании crs326 таким способом объединено уже 6 сетей. Гдето на мостах, где-то просто на интерфейсах. http://www.pc360.ru/wp-content/uploads/2022-06-17_15-28-34.png Смотрите внимательно настройку DHCP.
Добрый день.
Попробовал реализовать эту структуру на роутере RB2011
На RB2011 (шлюз в интернет)
eth1_WAN 192.168.1.1
еth2 192.168.2.1
eht3..9 клиенты с ip.192.168.1.10..254
По логике я должен пинговать из 1й подсети 2ю и обратно.
Но: из подсети 192.168.1.0 я пингую любую машину в подсети 192.168.2.0
Из подсети 192.168.2.0 я могу пинговать
192.168.2.1 (для 2й подсети это шлюз)
192.168.1.1 (шлюз rb2011)
Но подсеть 192.168.1.0 из 2й подсети для меня недоступна.
Подозреваю, что я что то не так понял, но не могу разобраться что именно.
Не сочтите за труд, подскажите плз.
В вашем случае пинг из сети 192.168.2.0 идет к шлюзу 192.168.1.1 и дальше не знает куда ему тк это ether1 а сеть на ether3-9
Я бы так сделал:
ether1 — поменять IP-адрес на что-то другое (обычно внешний IP от провайдера или через pppoe)
ether2 192.168.2.1
ether3-9 объединить в мост и назначить ему IP-адрес 192.168.1.1
Добрый день. Вы совершенно правы, а я просто опечатался, так как писал с мобильника.
На RB2011 (шлюз в интернет)
eth1_WAN 145.*.*.86 — Статический IP провайдера
еth2 192.168.2.1 — это подсеть.
eht3..9 клиенты с ip.192.168.1.10..254 — тоже подсеть,
По логике я должен пинговать из 1й подсети 2ю и обратно.
Но: из подсети 192.168.1.0 я пингую любую машину в подсети 192.168.2.0, а Из подсети 192.168.2.0 я могу пинговать
192.168.2.1 (для 2й подсети это шлюз)
192.168.1.1 (шлюз rb2011)
Но подсеть 192.168.1.0 из 2й подсети для меня недоступна.
Подозреваю, что я что то не так понял, но не могу разобраться что именно.
Не сочтите за труд, подскажите плз.
Что значит: 192.168.1.1 (шлюз rb2011)? Это должен быть шлюз для подсети 192.168.1.0/х может в этом проблема. Какой шлюз у сети 192.168.1.0?
Очень часто пинг не проходит из-за брандмауэра и антивируса. Отключите все правила firewall роутера временно. Попробуйте вместо компьютера в сети 192.168.1.0/х подключить управляемый коммутатор с IP-адресом и посмотрите будет ли проходит пинг до него.
Да, вы опять правы,
для подсети 192.168.1.0 шлюзом является именно 192.168.1.1
картина следующая:
IP->addresses->Address list
145.*.*.86 -> ether1_WAN
192.168.1.1/24 -> bridge_1 (туда входят порты 3..10)
192.168.2.1/24 -> ether2
DHCP на обе подсети
файрвол полностью отключил
не помогло, включил обратно. Забил на это и уже смирился, что так и останется, но через 2 дня все само заработало. хотя routing был на обе подсети (DAC) изначально…
я так и не понял в чем было дело.
Сейчас обе подсети пингуются и видят друг друга.
Самое непонятное — это не то, что я не пинговал 1-ю подсеть из 2-й. а непонятно, почему 2-ю в тоже время из 1-й я видел сразу. По моей логике, если что-то мешает видеть подсеть с настройками firewall по умолчанию, то это что-то должно мешать в обе стороны, ИМХО)
Искренняя благодарность за статью! )))
В этом комментарии я увидел нечто подобное тому, что мне нужно. А именно, бьюсь над настройкой Микротика таким образом. На Микротик приходит Интернет,имеется всего 5 портов, eth1 -WAN, раздается WiFi, eth 2-4 одна подсеть, eth 5 — другая подсеть. Обе подсети должны выходить в Интернет, но не должны видеть друг друга. Проще говоря надо изолировать один порт, на котором будет DHCP, DNS, интернет для отдельного компьютера (соседа). Надо ли объединять порты 2-4 в бридж? Вообще такая схема возможна? Прошу ответить, если не трудно. Заранее благодарен. А еще лучше, если бы была статья на эту тему. Весь Интернет перерыл, не нашел подобного.
Изоляция сетей в конце этого поста https://www.pc360.ru/2022/09/11/mikrotik-vlan-сегментация-сети/
Добрый день. Уже несколько дней пытаюсь настроить такую конфигурацию, но не получается. Т.е 1й порт уменя получает интернет ( интернет с статическим IP). 2, 3, 4 порт объединены в бридж и адрес на 2 порту 192.168.0.10/24. 5 6, 7 порт также в бридж2 и адрес 192.168.1.10/24. Маршруты прописаны автоматом. Только у меня dhcp нет. В итоге ничего не работает. Может быть подскажете. Как обьеденить сети?
Что значит адрес на 2 порту? Адрес нужно назначать на bridge. Пришлите конфигурацию в виде текста, посмотрим что в ней не правильно.
Да конфиг скину чить позже. Т.е порты 2,3,4 объединены в бридж и адрес 192.168.0.10/24
Добрый день.
А что делать если в сети 1 (LAN2) и сети 2(LAN3) свои DHCP-сервера и доступ в интернет сети 2 не нужен (там свой). Нужно только настроить проброс определённого IP из сети 1 в сеть 2 и обратно. Все седлал по инструкции, но соответственно пропустил шаги с настройкой DHCP-сервера и маскарадинга. Пинг не идет. Подскажите куда копать.
В таком случае нужно прописать прямой и обратный путь в маршрутах для конкретного IP-адреса или подсети.
Не подскажите, как это сделать? Аналогичная проблема, как у Василия
https://www.pc360.ru/2021/04/02/mikrotik-статические-маршруты/
Маршрутизатор один. Соответственно port1 это интернет (для сети 192.168.3.х). Port2 LAN1 это сама сеть 192.168.3.х (Где микротик выступает только как роутер с файрволом, а DHCP и DNS на домен контроллере) Port3 это LAN2 со своим интернетом и DHCP, DNS.
Если маршрутизатор один, то кто раздает Интернет в LAN2? Вы же от какого-то устройства подключаете патч-корд в микротик Port3? Это устройство должно быть маршрутизатором. Например, запрос из компьютера из LAN2 в LAN1 пойдет по указанному шлюзу в сетевом адаптере, этот шлюз будет роутером или модемом, в котором нужно прописать маршрут до микротика, ответ пойдет по такому же пути, соответственно нужен обратный маршрут.
Это все хорошо, но если допустим есть один ether2 интерфейс который подключен к неуправляемому коммутатору который должен раздавать 2 подсети, то каким способом настраивать тогда?
Конфигурация по вашей инструкции. Не настроен только eth1 и подставлены другие подсети, что сути не меняет. Также, пингуются шлюзы, а компьютеры не пингуются. Антивирусы и брандмауэры в обеих подсетях отключены для чистоты эксперимента.
Экспортните и пришлите конфиг из роутера, посмотрим что в нем не так. Еще можно использовать простейший управляемый коммутатор с IP-адресом и пинговать его в противоположной сети. У него точно нет файервола. В 90% случаев проблема оказывается в брандмауэре Windows и антивирусе.