Как настроить маршрутизацию между двумя микротиками?

Question

[snemand]

Коллеги, помогите с проблемой.
Есть два микротика. Оба подключены к интернету через ether1 соответственно, разные провайдеры, разные адреса. К каждому по VPN подключаются разные сотрудники.
К первому микротику подключен сервер 192.168.70.4. Ко второму - ПК 192.168.71.6.
Нужно, чтобы впн-клиенты, работающие на ПК, имели ограниченный доступ (по определенным портам) с ПК на сервер. Но никуда больше.
Соединил оба микротика через ether3.
На первом микротике объединил в бридж порты 2 и 3, дал бриджу адрес 192.168.70.1
На втором микротике первый бридж ether3 - адрес бриджа 192.168.70.7, второй бридж ether2 - адрес бриджа 192.168.71.7
На первом микротике прописал маршрут сети 192.168.71.0/24 шлюз 192.168.70.7
Проблема: Сервер и ПК пингуют как свой микротик, так и удаленный, но не пингуют друг друга.
Сервер 192.168.70.4 пингует 192.168.70.7 и 192.168.71.7
ПК ПК 192.168.71.6 пингует 192.168.70.1
В правилах файрволла микротика 2 разрешил forward между бриджами туда-сюда.
Не пойму, куда копать

Comments

[Valentin Barbolin]

Сервер 192.168.70.4 пингует 192.168.70.7 и 192.168.71.7
ПК ПК 192.168.71.6 пингует 192.168.70.1

Ты не забыл GW на клиентах прописать?

[snemand]

Шлюз сервера 192.168.70.1, шлюз ПК 192.168.71.7

[Valentin Barbolin]

snemand, Вообще по логике должно работать, но есть одно но. У тебя немного треуголья маршрутизация, возможно это как-то влияет. Пакерт от сервера пойдет на мик1 потом на мик2, потом ПК, а ответ от ПК пойдет на ми2 и сразу на Сервер, физически он пройдет через мик1,но на уровне L2.

Я бы все таки переделал на более класическую схему, выдернул eth3 на обоих мик из бриджа, прямо бы на них прописал ip 10.0.0.1 и 10.0.0.2, и настроил бы маршрутизацию.

[Disel0k]

Valentin Barbolin, асимметричные маршруты не редкость и проблемой быть не должны.

snemand, обычно дебаг микрота начинается с анализа вывода команды
export hide-sensitive
очень часто читая конфиг текстом можно и самому заметить проблему

[Артем Кайбагоров]

Схема выглядит рабочей, вероятно файрвол на ПК и Сервере не принимают icmp от неизвестных сетей. С микротика пингуются ПК и сервер? Если с микротика пинг есть, то нужен конфиг

[Юрий MikroTik]

Подозреваю у вас nat всё во всё. К тому же при проверки ping с самого mikrotik нужно указать src address

[snemand]

Valentin Barbolin,
Спасибо. Проблема таки была в шлюзах. На сервере две сетевые карты с разными ip и шлюзами, трассировка показала, что сервер отвечал через неправильный шлюз.

[snemand]

Юрий MikroTik, В целом я сильно упростил схему, к каждому из микротиков подключено много узлов, а ПК из схемы это виртуалка с доступом через влан. Поэтому заморачивался с бриджами. С правильным шлюзом на сервере схема работает.

Answer 1

[Александр Григорчук]

лучше 3 поты убрать из всех бриждей и объединить в свою маленькую сеть,
например 172.16.0.1/30 (микротик 1) 172.16.0.2/30 микротик 2
на первом прописать маршрут 192.168.71.0/24 --> 172.16.0.2
на втором прописать маршрут 192.168.70.0/24 --> 172.60.0.1