@goldenmouse

Добрый день.
Mikrotik RB951G-2HnD настроен так:
порт 1 - WAN (интернет от провайдера)
порты 2-4 + wifi - бридж на корпоративную сеть 192.168.87.0/24
порт 5 - вторая сеть 192.168.50.0/24
virtualAP - гостевая сеть 192.168.70.0/24

Адресация, пулы, DHCP настроены корректно, т.е. устройства получают нужный адрес, видят только свою сеть. Сети изолированы через Routes.
Всё работает отлично кроме того, что интернет есть только в основной сети, а во второй и гостевой интернета нет.
Я понимаю, что, скорее всего, проблема в нат и файрволе.

Ниже соответствующие настройки:

[admin@MikroTik TCF 1] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=accept src-address=192.168.50.0/24 log=no log-prefix=""
1 chain=srcnat action=accept src-address=192.168.70.0/24 log=no log-prefix=""
2 chain=srcnat action=masquerade src-address=192.168.70.0/24 log=no log-prefix=""
3 ;;; Internet for local
chain=srcnat action=masquerade src-address=192.168.87.0/24 out-interface=ether1-gateway log=no log-prefix=""
4 ;;; Internet for guest wifi
chain=srcnat action=masquerade src-address=192.168.70.0/24 out-interface=ether1-gateway log=no log-prefix=""
5 ;;; Internet for OLMA
chain=srcnat action=masquerade src-address=192.168.50.0/24 out-interface=ether1-gateway log=no log-prefix=""
6 XI ;;; default configuration
chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""
7 I ;;; lte1 not ready
chain=srcnat action=masquerade out-interface=*8 log=no log-prefix=""
8 ;;; masq. vpn traffic
chain=srcnat action=masquerade src-address=192.168.89.0/24 log=no log-prefix=""
<- настройки портКнокинга и удалённого доступа ->
15 D ;;; upnp 192.168.87.160: EA Tunnel
chain=dstnat action=dst-nat to-addresses=192.168.87.160 to-ports=3659 protocol=udp dst-address=<- провайдер -> in-interface=ether1-gateway
16 D ;;; upnp 192.168.87.42: Skype TCP at 192.168.87.42:47009 (3502)
chain=dstnat action=dst-nat to-addresses=192.168.87.42 to-ports=47009 protocol=tcp dst-address=<- провайдер -> in-interface=ether1-gateway
17 D ;;; upnp 192.168.87.156: Teredo
chain=dstnat action=dst-nat to-addresses=192.168.87.156 to-ports=65217 protocol=udp dst-address=<- провайдер -> in-interface=ether1-gateway
18 D ;;; upnp 192.168.87.169: Teredo
chain=dstnat action=dst-nat to-addresses=192.168.87.169 to-ports=51606 protocol=udp dst-address=<- провайдер -> in-interface=ether1-gateway
19 D ;;; upnp 192.168.87.42: Skype UDP at 192.168.87.42:47009 (3502)

[admin@MikroTik TCF 1] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
<- настройки портКнокинга ->
4 chain=portKnocking action=return log=no log-prefix=""
5 ;;; Drop invalid connection packets
chain=input action=drop connection-state=invalid log=no log-prefix=""
6 ;;; Allow Ping
chain=input action=accept protocol=icmp log=no log-prefix=""
7 ;;; Allow RDP from PortKnockin authorized
chain=input action=accept protocol=tcp src-address-list=portKnocking_AllowRDP
8 ;;; Allow to internet from local
chain=forward action=accept connection-state="" src-address=192.168.87.0/24 in-interface=bridge-local out-interface=ether1-gateway log=no log-prefix=""
9 XI ;;; Allow to internet from Guest wifi
chain=forward action=accept src-address=192.168.70.0/24 in-interface=bridge-guest-wifi out-interface=ether1-gateway log=no log-prefix=""
10 XI ;;; Access internet for guest wifi
chain=forward action=accept src-address=192.168.70.0/24 in-interface=bridge-guest-wifi log=no log-prefix=""
11 ;;; Access internet for guest wifi
chain=forward action=accept src-address=192.168.70.0/24 in-interface=wlan2 log=no log-prefix=""
12 XI ;;; Allow to internet from OLMA
chain=forward action=accept src-address=192.168.50.0/24 in-interface=bridge-olma log=no log-prefix=""
13 ;;; Allow to internet from OLMA
chain=forward action=accept src-address=192.168.50.0/24 in-interface=ether5-local log=no log-prefix=""
14 ;;; Access to router only from local
chain=input action=accept src-address=192.168.87.0/24
15 ;;; Access to router only from OLMA
chain=input action=accept src-address=192.168.50.0/24
16 ;;; Access to router only from Guest wifi
chain=input action=accept src-address=192.168.70.0/24
17 ;;; default configuration
chain=forward action=accept connection-state="" log-prefix=""
18 ;;; Allow established connections
chain=input action=accept connection-state=established log=no log-prefix=""
19 ;;; Allow related connections
chain=input action=accept connection-state=related log=no log-prefix=""
20 ;;; Allow UDP
chain=input action=accept protocol=udp
21 ;;; allow l2tp
chain=input action=accept protocol=udp dst-port=1701 log=no log-prefix=""
22 ;;; allow pptp
chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""
23 ;;; allow sstp
chain=input action=accept protocol=tcp dst-port=443 log=no log-prefix=""
24 ;;; Block_social
chain=forward action=reject reject-with=tcp-reset layer7-protocol=social protocol=tcp src-address-list=Block_social
25 XI ;;; A8:5B:78:A5:2D:1F
chain=forward action=drop src-mac-address=A8:5B:78:A5:2D:1F log=no log-prefix=""
26 I ;;; lte1 not ready
chain=input action=drop in-interface=*8 log=no log-prefix=""
27 ;;; All other forward drop
chain=forward action=drop connection-state=invalid log=no log-prefix=""

Прошу помочь советом, где я ошибся и как сделать так, чтобы интернет в тех двух сетях появился.
Спасибо.

0

@corlovito

покажите еще настройки интерфейсов и их ип адресацию на микротике и таблицу маршрутизации

0

@.None

что-то я не воспринимаю конфиги микротка в текстовом виде

в настройках есть ошибки, типа
это правило пропускает всех куда угодно, не зависимо от того что вы укажите далее

по моему мнению, много лишних правил, правила не оптимизированы, в NAT применена фильтрация, чего делать не рекомендуют

в этой куче сложновато разобраться почему нет интернета на гостевом wi-fi
9 правило не имеет смысла, поскольку 10 все разрешает, в т.ч. доступ в локальную сеть предприятия

ну и так далее

ставите логирование на src-address=192.168.70.0/24 и смотрите куда идут пакеты или куда не идут...

0

@goldenmouse

Спасибо за отклики.

[admin@MikroTik TCF 1] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 R ;;; WAN
ether1-gateway ether 1500 1598 4074 4C:5E:0C:78:A2:26
1 RS ;;; LAN
ether2-local ether 1500 1598 4074 4C:5E:0C:78:A2:27
2 RS ;;; Bridge to TCF2
ether3-local ether 1500 1598 4074 4C:5E:0C:78:A2:28
3 RS ;;; LAN to accounting
ether4-local ether 1500 1598 4074 4C:5E:0C:78:A2:29
4 R ;;; Bridge to OLMA
ether5-local ether 1500 1598 4074 4C:5E:0C:78:A2:2A
5 RS wlan1 wlan 1500 1600 2290 4C:5E:0C:78:A2:2B
6 wlan2 wlan 1500 1600 2290 4E:5E:0C:78:A2:2B
7 R bridge-local bridge 1500 1598 4C:5E:0C:78:A2:27

[admin@MikroTik TCF 1] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; local network
192.168.87.1/24 192.168.87.0 bridge-local
1 ;;; Interntet
<- интернет -> ether1-gateway
2 ;;; Guest wifi
192.168.70.1/24 192.168.70.0 wlan2
3 ;;; OLMA
198.168.50.1/24 198.168.50.0 ether5-local

[admin@MikroTik TCF 1] > ip dhcp network print
# ADDRESS GATEWAY DNS-SERVER WINS-SERVER DOMAIN
0 ;;; OLMA
192.168.50.0/24 192.168.50.1 192.168.50.1
1 ;;; guest wifi
192.168.70.0/24 192.168.70.1 192.168.70.1
2 ;;; local
192.168.87.0/24 192.168.87.1 192.168.87.1

[admin@MikroTik TCF 1] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 <- интернет -> 1
1 DC 192.168.70.0/24 192.168.70.1 wlan2 255
2 ADC 192.168.87.0/24 192.168.87.1 bridge-local 0
3 ADC 198.168.50.0/24 198.168.50.1 ether5-local 0
4 ADC <- интернет -> ether1-gateway 0

[admin@MikroTik TCF 1] > ip route rule print
Flags: X - disabled, I - inactive
0 src-address=192.168.87.0/24 dst-address=192.168.70.0/24 action=unreachable
1 src-address=192.168.70.0/24 dst-address=192.168.87.0/24 action=unreachable
2 src-address=192.168.87.0/24 dst-address=192.168.50.0/24 action=unreachable
3 src-address=192.168.50.0/24 dst-address=192.168.87.0/24 action=unreachable
4 src-address=192.168.70.0/24 dst-address=192.168.50.0/24 action=unreachable
5 src-address=192.168.50.0/24 dst-address=192.168.70.0/24 action=unreachable

[admin@MikroTik TCF 1] > interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON
0 ether2-local bridge-local 0x80 10 none
1 wlan1 bridge-local 0x80 10 none
2 ether3-local bridge-local 0x80 10 none
3 ether4-local bridge-local 0x80 10 none

9 и 10 правила неактивны, активно только 11-е (это если про гостевую сеть). Их я привёл для того, чтобы показать, что с этими правилами тоже не работает.

Подскажите, какие активные правила и фильтры нужно отключить, по вашему мнению. Буду рад совету.

Все правила, касающиеся интернета, находятся выше этого и должны (по идее) работать. Я его отключил на всякий случай, но ситуация не изменилась.

0

@corlovito

а в гостевых сетях шлюз пингуется ? порты как самостоятельные вы настроили ?

0

@goldenmouse

Пингуются только свои шлюзы (192.168.50.1 и 192.168.70.1 соответственно).

Да, каждый порт настроен как самостоятельный, без мастер-порта.

Приложил скрины, может так будет понятнее.

Миниатюры

     

   

0

@corlovito

а почему для 87 сети в правиле маскарадинга out-interface bridge-local указан ?

0

@.None

DC 192.168.70.0/24 192.168.70.1 wlan2 255

маршрут синий, distance 255
такого быть не должно

попробуйте отключить интерфейс wlan2 и включить заново

0

@goldenmouse

если вопрос про правила нат с номером 12 и 13, то это проброс портов и переадресация на нужный комп в сети.

попробовал переподключить, ситуация не изменилась. Более того, создал новый wlan3, и когда меняю в Address List интерфейс с wan2 на wan3, то становится так:
DC 192.168.70.0/24 192.168.70.1 wlan3 255
маршрут синий, distance 255

Что это может быть и как исправить?

0

@corlovito

тогда мне нечего больше сказать

0

@.None

если есть желание, давай id и pass teamviewer в ЛС, посмотрю что там.

с синим маршрутом выяснил опытным путем, пока к этой виртуальной точке никто не подключается, маршрут будет не активный, как только кто-то подключается, маршрут приходит в норму.

0

@goldenmouse

Если честно, я не понял смысла этой фразы.
Вся проблема кроется в этих правилах и мне их надо отключить?
Или просто про эти правила нечего больше сказать?

0

@corlovito

как можно правилом маскарадинга проброс портов делать ?

0

@goldenmouse

1) Это решение для доступа к конкретному компу по конкретному порту внутри сети. Правила для доступа к этому же компу извне находятся выше. Решение было взято из интернета и оно работает. Все мы всегда чему-то учимся и если бы я был гуру, я бы не задавал вопрос на форуме, а отвечал бы на него.
2) Это решение влияет на изначальную проблему? Если нет, то прошу помочь мне именно в данном вопросе.

0

@.None

я же перелагал, давай через TeamViewer посмотрю и найдем в чем проблема

0

@menshik777

помогите разобраться.
Интернет идет от Билайна через сервер по L2TP. Серевер имеет сетку 10.65.0.151.
В организации У ВСЕХ прописаны настройки вручную IP4 10.65.0.XX маска 255.255.255.0 основной 10.65.0.151.
DHCP ни что не раздает.
Подключаю я mikrotik rb2011. в порт 2 вставляю сетку в порт 3 мой компьютер.
Если прописать настройки wi-fi модулю ноутбука (10.65.0.190, маска 255.255.255.0, основной 10.65.0.151) и подключиться к Wi-FI Mikrotik то все работает и интернет и сеть.
Если поставить настройки на автомат и подключиться к Virtual WI-FI (с именем) mobile, то IP он получает нормальный (из пула скажем 10.5.5.254), но интернета нет. Допинговаться могу до маршрутизатора 10.65.0.84. 151 не пингуется. Ковырял много настроек по разным вариантам с форумов.
Если в НАТ ставить ether2, то ругается, что он в brige, ставил brige-go, выводил порты из бриджа 2 и 3 и прописывал на них.

Что не так?

0