Jump to content

Question

Posted

Всех приветствую.

Имеется сеть 192.168.31.0/24, во главе которой стоит Mikrotik. В неё смотрит WAN порт роутера Keenetic, имеющего адрес 192.168.31.253 (172.31.31.1) и раздающего в своей подсети адреса вида 172.31.31.0/24.

Задача в следующем: организовать нормальную маршрутизацию между сетями. На Микротике прописаны соответствующие маршруты и проблем с маршрутизацией из подсети 192.168.31.0/24 в подсеть 172.31.31.0/24 никаких нет. В обратном же случае пакеты не желают идти через Микротик и направляются напрямую адресату. На стороне Кинетика никаких маршрутов прописано не было. Только добавлены правила фаервола и убрана галка "Использовать NAT" в Мои сети и Wi-Fi-Домашняя сеть.

image.png.6f3b044ee9bdcd2a7238f03d85c942e6.png

image.thumb.png.2469b625c5dee13dcba788154d8dd60b.png

Полагаю проблема в некорректной настройке на стороне Кинетика. А именно - работающий NAT на WAN порте, так как доступ к клиентам подсети 192.168.31.0/24 из 172.31.31.0/24 присутствует даже без прописывания маршрутов на стороне Кинетика.

Что было сделано:

1. В CLI была прописана команда no ip nat Home - не дало никакого эффекта

2. При попытке добавить статический маршрут в подсеть 192.168.31.0/24 через шлюз 172.31.31.1, пакеты между подсетями перестают ходить вовсе в обе стороны.

В итоге получаем следующее (пример):

При попытке доступа к веб морде принтера 192.168.31.10 с ПК 172.31.31.153, ПК ломится напрямую на адрес 192.168.31.10 с WAN, а сам принтер отвечает через Микротик, который видит ответные пакеты SYN,ACK от принтера без первоначального запроса SYN от ПК. Подскажите пожалуйста, как в данном случае решить проблему?

3 answers to this question

Recommended Posts

  • 1
Posted (edited)
12 часов назад, RainerFord сказал:

...так как доступ к клиентам подсети 192.168.31.0/24 из 172.31.31.0/24 присутствует даже без прописывания маршрутов на стороне Кинетика.

Естественно, для клиентов сети 172.31.31.0/24 это по факту "Интернет" т.е. маршрут по умолчанию.

Цитата

В обратном же случае пакеты не желают идти через Микротик и направляются напрямую адресату.

Т. к. вы отключили NAT адреса источника в пакетах не подменяются и направляются напрямую в 192.168.31.0/24.

В обратном же случае, сеть отличается от 192.168.31.0/24 и поэтому сначала пакет отправляется на шлюз 192.168.31.1

12 часов назад, RainerFord сказал:

В неё смотрит WAN порт роутера Keenetic, имеющего адрес 192.168.31.253 (172.31.31.1)

Выделите один порт LAN под интерфейс 192.168.31.253, а остальные оставьте в Bridge 172.31.31.1. Другими словами не используйте WAN.

https://help.keenetic.com/hc/ru/articles/360001790380-Пример-объединения-сетей-двух-интернет-центров-соединив-их-выделенным-кабелем-Ethernet

Edited by mrGhotius
  • 0
Posted (edited)

Вроде как более-менее разобрался. Теперь пакеты исправно ходят между двумя сетками по адекватным маршрутам. Однако же, если делать так, как указано непосредственно в примере, то в сетке за Кинетиком (в моём случаем подсеть 172.31.31.0/24) и на самом Кинетике не будет доступа в Интернет, который также раздаёт Микротик. Есть, конечно, вариант выделить под WAN Кинетика отдельный порт с отдельным адресом(не в бридже с LAN) на Микротике и настроить через него проводное соединение на Кинетике. Вероятнее всего это будет работать. Пока не проверял на железе. Тем не менее, в этом случае Кинетик у меня будет подключен к микротику двумя кабелями - порт WAN, соответственно, для Интернета и LAN для объединения локальных сетей. В случае, если на Кинетике прописать маршрут по умолчанию со шлюзом 192.168.31.1, Интернет на самом Кинетике появляется, однако, клиенты всё так же остаются без доступа в Интернет.

Исходя из новых вводных, уточню вопрос: А можно ли сделать такую же топологию, с такой же логикой, как в примере, только с одним Интернет-провайдером и задействовав при этом один порт на Кинетике и для Интернета, и для объединения локальных сетей?

Edited by RainerFord
  • 0
Posted (edited)
8 часов назад, RainerFord сказал:

Исходя из новых вводных, уточню вопрос: А можно ли сделать такую же топологию, с такой же логикой, как в примере, только с одним Интернет-провайдером и задействовав при этом один порт на Кинетике и для Интернета, и для объединения локальных сетей?

А вам принципиально разные сети? Просто не совсем понимаю, зачем такой огород городить если вы все равно разрешаете обмен между подсетями? Оставьте один роутер, а другой в режим ТД. Надо вам разные подсети, не вопрос, выделяйте VLAN на роутере. Главное все "рулится" на одном устройстве.

Edited by mrGhotius

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.