Это описание немного сокращено в 2021г чтоб акцентировать внимание на рассматриваемой теме.
Есть роутер микротик и две ЛВС. Выполним настройки так, чтоб компьютеры обменивались пакетами на сетевом уровне и имели доступ в Интернет.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Использован MikroTik RB750Gr3 с прошивкой 6.49.
В разъем №1 подключаем провод от внешней сети (Интернет).
В разъем №2 подключаем провод от коммутатора ЛВС 8.
В разъем №3 подключаем провод от коммутатора ЛВС 9.
В сетевых адаптерах компьютеров сетей установлено получение IP-адреса по DHCP.
Внешний IP-адрес для выхода в Интернет прилетает так же по DHCP.
Порядок действий.
1.Подключение к роутеру, сброс конфигурации.
2.Назначение адресации для портов (LAN).
3.Настройка внешнего IP-адреса (WAN).
5.Правило NAT для доступа в Интернет.
1.Подключение к роутеру, сброс конфигурации.
Подключаемся через WinBox по MAC-адресу.
Сбрасываем конфигурацию роутера на пустую (blank).
No Default Configuration — не оставлять дефолтную конфигурацию;
Do Not Backup — не делать резервную копию перед сбросом конфигурации.
Через командную строку терминала.
|
1 |
/system reset-configuration no-defaults=yes skip-backup=yes |
!!! Следует помнить, что удаляя базовые настройки, удалятся параметры безопасности. Если роутер будет работать шлюзом в Интернет необходимо настроить параметры безопасности (интерфейсы доступа, учетные записи, фильтры и прочие настройки).
Подключаемся к роутеру еще раз по MAC-адресу.
2.Назначение адресации для портов (LAN).
Для порта ether2 назначим IP-адрес 192.168.8.1
Для порта ether3 назначим IP-адрес 192.168.9.1
Каждый порт будет «смотреть» в свою сеть.
IP >> Addresses >> Нажимаем синий плюс >> В окне New Address вводим параметры:
Address: 192.168.8.1/24
Network: 192.168.8.0
Interface: ether2
Нажимаем кнопку «ОК».
Точно так же назначаем адрес второму порту с данными сети 9.
В результате в окне Adress List должны появится два адреса.
Через командную строку терминала:
|
1 2 |
/ip address add interface=ether2 address=192.168.8.1/24 /ip address add interface=ether3 address=192.168.9.1/24 |
3.Получение внешнего IP-адреса.
Назначим получение внешнего IP-адреса для доступа в интернет по DHCP через первый порт роутера.
IP >> DHCP Client >> Нажимаем синий плюс >> В окне New DHCP Client настраиваем:
Interface: ether1
Нажимаем кнопку «ОК».
Настройка Add Default Route: yes — установлена изначально, не изменяем ее чтоб автоматически создался маршрут для выхода в интернет.
В результате в окне DHCP Client появится строка с интерфейсом ether1 к которому через некоторое время присвоится внешний IP провайдера.
Через командную строку терминала:
|
1 |
/ip dhcp-client add interface=ether1 disabled=no |
Следует отметить, что в данном случае провайдером, раздающим интернет, является вышестоящий роутер сети нашей же организации. По этой причине отсутствуют пароли и прочие необходимые средства авторизации и доступа. В случае предоставления доступа в Интернет на платной основе через PPPoE или при выдаче статического IP-адреса провайдером по договору или еще какие-то варианты подключения, необходимо настраивать подключение в Интернет на роутере по отдельной инструкции, для каждого случая разной.
Настроим сервер, для динамической раздачи IP-адресов в сетях.
4.1 Укажем сети для DHCP-сервера.
IP >> DHCP Server >> Вкладка Networks >> Нажимаем синий плюс.
В открывшемся окне DHCP Network вводим параметры:
Address: 192.168.8.0/24
Gateway: 192.168.8.1
DNS Servers: 192.168.8.1
Нажимаем кнопку «ОК».
Точно так же создаем сеть по адресу 192.168.9.0/24.
В результате в окне DHCP Server на вкладке Networks появятся две сети.
Через командную строку терминала:
|
1 2 |
/ip dhcp-server network add address=192.168.8.0/24 gateway=192.168.8.1 dns-server=192.168.8.1 /ip dhcp-server network add address=192.168.9.0/24 gateway=192.168.9.1 dns-server=192.168.9.1 |
4.2 Пул адресов, которые будет раздавать DHCP сервер.
IP >> Pool >> Нажимаем синий плюс >>В окне NEW IP Pool вводим параметры:
Name: LAN8
Addresses: 192.168.8.2-192.168.8.254
Нажимаем кнопку «ОК».
Точно так же создаем Пул для сети 9.
В результате в окне IP Pool появятся два Пула раздаваемых адресов для каждой сети.
Через командную строку терминала:
|
1 2 |
/ip pool add name=LAN8 ranges=192.168.8.2-192.168.8.254 /ip pool add name=LAN9 ranges=192.168.9.2-192.168.9.254 |
4.3 Создадим DHCP-сервер.
IP >> DHCP Server >> Нажимаем синий плюс >> Вводим параметры:
Name: dhcp1
Interface: ether2
Address Pool: LAN8
Нажимаем кнопку «ОК».
Повторяем действия и создаем DHCP сервер для сети 9.
В результате в окне DHCP Server можно увидеть созданные сервера.
Через командную строку терминала:
|
1 2 |
/ip dhcp-server add interface=ether2 address-pool=LAN8 disabled=no /ip dhcp-server add interface=ether3 address-pool=LAN9 disabled=no |
5.Правило NAT для доступа в Интернет.
IP >> Firewall >> Вкладка NAT >> Добавляем правило нажав синий плюс.
В открывшемся окне вводим параметры на вкладке General:
Chain: srcnat
Out.Interface: ether1
Нажимаем кнопку «Apply».
Переходим на вкладку Action.
На вкладке Action:
Action: masquerade
Нажимаем кнопку «ОК».
Через командную строку терминала:
|
1 |
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 |
Другие правила при такой конфигурации не нужны. Если в процессе работы будет настраиваться брандмауэр и появятся различные запрещающие правила, то для того, чтоб трафик между сетями не блокировался можно добавить два правила в Filter Rules и расположить их вверху списка.
|
1 2 |
/ip firewall filter add chain=forward in-interface=ether2 out-interface=ether3 action=accept /ip firewall filter add chain=forward in-interface=ether3 out-interface=ether2 action=accept |
IP >> DNS
Servers: 8.8.8.8 — публичный DNS гугл (или любой другой публичный DNS или адрес который сообщит провайдер или вообще ничего при автоматическом получении)
Dynamic Servers: 192.168.0.1 — DNS который автоматически прилетает от вышестоящего роутера.
Allow Remote Requests — отмечаем галочкой (разрешение на обработку удаленных запросов, чтоб наш роутер отвечал на DNS запросы от пользователей ЛВС)
Через командную строку терминала:
|
1 |
/ip dns set allow-remote-requests=yes servers=8.8.8.8 |
Перезагружаем роутер, для актуализации IP-адресов раздаваемых по DHCP во все компьютеры.
Или обновляем IP-адрес через командную строку каждого компьютера:
|
1 |
ipconfig -release & ipconfig -renew |
Проверяем ping между компьютерами в разных сетях.
Из сети 8 в сеть 9.
Из сети 9 в сеть 8.
Если ping не проходит нужно приостановить защиту антивируса или отключить брандмауэр на тестируемых компьютерах.
На всякий случай трассировка (для неверующих).
Из сети 8 в сеть 9.
Из сети 9 в сеть 8.
Проверяем доступ в Интернет из обоих сетей. Интернет работает.
Посмотрим что в маршрутах. IP >> Routes.
Все маршруты динамические.
DAS — dynamic, Active, Static
DAC — dynamic, Active, Connected
1-для выхода в интернет, 2-внешняя сеть от вышестоящего роутера, 3 и 4 маршруты в локальные сети
Вся конфигурация в одном файле.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Сделал всё по статье, но работать структура не хочет, если я нахожусь в сети 9 и пингую комп в Сети 8 — пакет отрубает. Через средства маршрутизатора всё видит, PING идёт, а через командную строчку ПК Сети 9 — тишина.
могут мешать антивирус и брандмауэр ПК
+1 шлюзы пингуются, машины внутри сеток — нет.
Тут вопрос к авторам статьи, разве маршрутизацию между сетями не нужно настраивать?
Динамические маршруты появляются автоматически
Я так понимаю вы каждую подсеть отдельно добавили в разные бриджи, бридж1 и бридж2?
Бриджи не создавались. Подсети просто на интерфейсах.
Не работает!
В итоге получаем DHCP сервера красным шрифтом и с подпись Invalid.
Работает. В нашей сети на оборудовании crs326 таким способом объединено уже 6 сетей. Гдето на мостах, где-то просто на интерфейсах. http://www.pc360.ru/wp-content/uploads/2022-06-17_15-28-34.png Смотрите внимательно настройку DHCP.
Добрый день.
Попробовал реализовать эту структуру на роутере RB2011
На RB2011 (шлюз в интернет)
eth1_WAN 192.168.1.1
еth2 192.168.2.1
eht3..9 клиенты с ip.192.168.1.10..254
По логике я должен пинговать из 1й подсети 2ю и обратно.
Но: из подсети 192.168.1.0 я пингую любую машину в подсети 192.168.2.0
Из подсети 192.168.2.0 я могу пинговать
192.168.2.1 (для 2й подсети это шлюз)
192.168.1.1 (шлюз rb2011)
Но подсеть 192.168.1.0 из 2й подсети для меня недоступна.
Подозреваю, что я что то не так понял, но не могу разобраться что именно.
Не сочтите за труд, подскажите плз.
В вашем случае пинг из сети 192.168.2.0 идет к шлюзу 192.168.1.1 и дальше не знает куда ему тк это ether1 а сеть на ether3-9
Я бы так сделал:
ether1 — поменять IP-адрес на что-то другое (обычно внешний IP от провайдера или через pppoe)
ether2 192.168.2.1
ether3-9 объединить в мост и назначить ему IP-адрес 192.168.1.1
Добрый день. Вы совершенно правы, а я просто опечатался, так как писал с мобильника.
На RB2011 (шлюз в интернет)
eth1_WAN 145.*.*.86 — Статический IP провайдера
еth2 192.168.2.1 — это подсеть.
eht3..9 клиенты с ip.192.168.1.10..254 — тоже подсеть,
По логике я должен пинговать из 1й подсети 2ю и обратно.
Но: из подсети 192.168.1.0 я пингую любую машину в подсети 192.168.2.0, а Из подсети 192.168.2.0 я могу пинговать
192.168.2.1 (для 2й подсети это шлюз)
192.168.1.1 (шлюз rb2011)
Но подсеть 192.168.1.0 из 2й подсети для меня недоступна.
Подозреваю, что я что то не так понял, но не могу разобраться что именно.
Не сочтите за труд, подскажите плз.
Что значит: 192.168.1.1 (шлюз rb2011)? Это должен быть шлюз для подсети 192.168.1.0/х может в этом проблема. Какой шлюз у сети 192.168.1.0?
Очень часто пинг не проходит из-за брандмауэра и антивируса. Отключите все правила firewall роутера временно. Попробуйте вместо компьютера в сети 192.168.1.0/х подключить управляемый коммутатор с IP-адресом и посмотрите будет ли проходит пинг до него.
Да, вы опять правы,
для подсети 192.168.1.0 шлюзом является именно 192.168.1.1
картина следующая:
IP->addresses->Address list
145.*.*.86 -> ether1_WAN
192.168.1.1/24 -> bridge_1 (туда входят порты 3..10)
192.168.2.1/24 -> ether2
DHCP на обе подсети
файрвол полностью отключил
не помогло, включил обратно. Забил на это и уже смирился, что так и останется, но через 2 дня все само заработало. хотя routing был на обе подсети (DAC) изначально…
я так и не понял в чем было дело.
Сейчас обе подсети пингуются и видят друг друга.
Самое непонятное — это не то, что я не пинговал 1-ю подсеть из 2-й. а непонятно, почему 2-ю в тоже время из 1-й я видел сразу. По моей логике, если что-то мешает видеть подсеть с настройками firewall по умолчанию, то это что-то должно мешать в обе стороны, ИМХО)
Искренняя благодарность за статью! )))
В этом комментарии я увидел нечто подобное тому, что мне нужно. А именно, бьюсь над настройкой Микротика таким образом. На Микротик приходит Интернет,имеется всего 5 портов, eth1 -WAN, раздается WiFi, eth 2-4 одна подсеть, eth 5 — другая подсеть. Обе подсети должны выходить в Интернет, но не должны видеть друг друга. Проще говоря надо изолировать один порт, на котором будет DHCP, DNS, интернет для отдельного компьютера (соседа). Надо ли объединять порты 2-4 в бридж? Вообще такая схема возможна? Прошу ответить, если не трудно. Заранее благодарен. А еще лучше, если бы была статья на эту тему. Весь Интернет перерыл, не нашел подобного.
Изоляция сетей в конце этого поста https://www.pc360.ru/2022/09/11/mikrotik-vlan-сегментация-сети/
Добрый день. Уже несколько дней пытаюсь настроить такую конфигурацию, но не получается. Т.е 1й порт уменя получает интернет ( интернет с статическим IP). 2, 3, 4 порт объединены в бридж и адрес на 2 порту 192.168.0.10/24. 5 6, 7 порт также в бридж2 и адрес 192.168.1.10/24. Маршруты прописаны автоматом. Только у меня dhcp нет. В итоге ничего не работает. Может быть подскажете. Как обьеденить сети?
Что значит адрес на 2 порту? Адрес нужно назначать на bridge. Пришлите конфигурацию в виде текста, посмотрим что в ней не правильно.
Да конфиг скину чить позже. Т.е порты 2,3,4 объединены в бридж и адрес 192.168.0.10/24
Добрый день.
А что делать если в сети 1 (LAN2) и сети 2(LAN3) свои DHCP-сервера и доступ в интернет сети 2 не нужен (там свой). Нужно только настроить проброс определённого IP из сети 1 в сеть 2 и обратно. Все седлал по инструкции, но соответственно пропустил шаги с настройкой DHCP-сервера и маскарадинга. Пинг не идет. Подскажите куда копать.
В таком случае нужно прописать прямой и обратный путь в маршрутах для конкретного IP-адреса или подсети.
Не подскажите, как это сделать? Аналогичная проблема, как у Василия
https://www.pc360.ru/2021/04/02/mikrotik-статические-маршруты/
Маршрутизатор один. Соответственно port1 это интернет (для сети 192.168.3.х). Port2 LAN1 это сама сеть 192.168.3.х (Где микротик выступает только как роутер с файрволом, а DHCP и DNS на домен контроллере) Port3 это LAN2 со своим интернетом и DHCP, DNS.
Если маршрутизатор один, то кто раздает Интернет в LAN2? Вы же от какого-то устройства подключаете патч-корд в микротик Port3? Это устройство должно быть маршрутизатором. Например, запрос из компьютера из LAN2 в LAN1 пойдет по указанному шлюзу в сетевом адаптере, этот шлюз будет роутером или модемом, в котором нужно прописать маршрут до микротика, ответ пойдет по такому же пути, соответственно нужен обратный маршрут.
Это все хорошо, но если допустим есть один ether2 интерфейс который подключен к неуправляемому коммутатору который должен раздавать 2 подсети, то каким способом настраивать тогда?
Конфигурация по вашей инструкции. Не настроен только eth1 и подставлены другие подсети, что сути не меняет. Также, пингуются шлюзы, а компьютеры не пингуются. Антивирусы и брандмауэры в обеих подсетях отключены для чистоты эксперимента.
Экспортните и пришлите конфиг из роутера, посмотрим что в нем не так. Еще можно использовать простейший управляемый коммутатор с IP-адресом и пинговать его в противоположной сети. У него точно нет файервола. В 90% случаев проблема оказывается в брандмауэре Windows и антивирусе.
Статья зачетная, автору респект и уважуха. Я когда-то лет 10 назад что-то похожее настраивал с небольшими поправками. На первом порту WAN (со статическим IP), на втором порту LAN_1 (со статическим IP), на третьем порту LAN_2 (распределение IP по
DHCP) и VPN SSTP с сертификатами на LAN_2. Все у кого одна сетка не пингуется из другой в разделе 5 (Настройка NAT) не указывайте «Out Interface» я вместо этого укажите «src. address» в этом случае 192.168.8.0/24 и второе такое же правило на 192.168.9.0/24 и оба с маскарадингом. Должно помочь. Интересная статейка автору за оформление респект все в картинках ну красота и не поленился же.
Доброго дня, существует ли возможность подружить mikrotik с шлюзом на винде 192.168.0.0/24 ? Или перекраивать всю сеть неизбежно?
С Windows-шлюзом не работал, не могу Вам подсказать. Можно попробовать. Чтоб ответить поточнее нужно увидеть схему сети.
Спасибо тебе огромное за данный мануал! Помог очень сильно! Прямо всё показано как надо, да ещё и с пояснениями. Что было непонятно мне, как человеку только начавшему изучать RouterOS, стало понятно.
Здоровья тебе крепкого и знай, что благодаря таким, как ты мир становится чуточку лучше!
Спасибо за такие комментарии)
Добрый день выручите пожалуйста, как сделать так у меня есть задачка которую не могу решить,
Имеется сеть с такой схемой подключения:
компьютеры и сервер неуправляемый коммутатор маршрутизатор MikroTik Интернет.
В сети уже успешно используется адресация: 172.16.64.0/24. В сеть временно надо установить сервер, который в будущем будет физически перемещен в другой офис с другой сетью, в которой будет использоваться адресация 192.168.100.0/24. при этом ip адрес сервера изменять нельзя.
Это Вы похоже решаете лабы из курсов Скоромного Д по микротик))) В этом случае нельзя подсказывать. Вам нужно самостоятельно найти ответ, он не сложный. Иначе ваш уровень не вырастет и понимание не придет.