Доступ в интернет через 2 MikroTik, как?

Question

[Warchik2107]

Есть локальная сеть компании и один шлюз Mikrotik с NAT-ом. Всё работает, всё хорошо. Адрес бриджа 172.27.180.200

Появилась потребность подключить к интернету смежное подразделение таким образом, чтобы они имели доступ ТОЛЬКО в интернет, и не имели в нашу локальную сеть. Для этого с пыльной полки был взят ещё один микротик. На нём один порт ether6 настроен для них.
- Выставлен статический адрес - 192.168.0.1
- Настроен DHCP сервер на раздачу с этого порта
- Выставлен 0.0.0.0 маршрут на 172.27.180.200

Получается следующее: с САМОГО микротика 192.168.0.1 идут пинги И в локальную сеть И в интернет, всё хорошо. Локалку потом отрежу. Однако с ноутбука, подключенного на ether6 пинги идут ТОЛЬКО в локалку, а в интернет - нет.

Ситуация исправляется прописыванием правила src-nat или masquerade на новом микротике, интернет на конечном устройстве появляется. Без NAT-a не работает.

Почему? Что я упускаю? Ведь NAT-ом должен быть только внешний шлюз, да и маршруты настроены правильно, иначе пинги бы с самого микрота в интернет не шли. Почему у меня без NAT-а на втором микротике не появляется интернет на порту ether6 ? По логике он же должен получить пакет с порта и направить его, согласно маршруту на шлюз, не меняя адрес источника.

Пробовал на основном микротике 172.27.180.200 прописывать обратный маршрут до 192.168.0.1 - не помогло.

Такая же проблема возникала при настройке VPN тоннеля между другими микротиками. Маршруты были прописаны, пинги между ними ходили, но оконечные устройства друг друга не видели, пока не пропишешь маскарад.

Answer 1

[agpecam]

172.27.180.200 не знает, что сеть 192.168.0.0/24 находится за 172.27.180.202

Comments

[Warchik2107]

Да, вы правы) Банальная невнимательность
Утром сел за комп и сразу понял, в чём проблема

Я на 172.27.180.200 прописал маршрут так:



А нужно было так:



Спасибо!

Answer 2

[akelsey]

основной микротик имеет адрес 192.168.0.1/24, он же шлюз по умолчанию для всей сети 192.168.0.1/24, и тут вопросы,
- какой адрес имеет второй микротик на своем интерфейсе (ну пусть будет 192.168.0.2/24)?
- какой шлюз по умолчанию получают устройства во второй сети (тот же ноутбук)?

Comments

[Warchik2107]

Не, не так

Есть локальная сеть компании и один шлюз Mikrotik с NAT-ом. Всё работает, всё хорошо. Адрес бриджа 172.27.180.200

Это основной микротик

Для этого с пыльной полки был взят ещё один микротик. На нём один порт ether6 настроен для них.
- Выставлен статический адрес - 192.168.0.1
- Настроен DHCP сервер на раздачу с этого порта
- Выставлен 0.0.0.0 маршрут на 172.27.180.200

Это второй, новый.
В локалку он смотрит бриджом с адресом 172.27.180.202, а на порту N6 - 192.168.0.1

Раздаёт сеть 192.168.0.0/24 со шлюзом 192.168.0.1, всё стандартно. Днс-ы вписаны сразу провайдерские.

Здесь проблем с этим нет, адреса раздаются и сеть работает. Локальная. Интернета нет пока не пропишешь маскарад на новом микроте, хотя NAT есть на основном 172.27.180.200, куда указан маршрут.

[akelsey]

Warchik2107, nat для 192.168.0.0/24 разрешен на первом микроте?

[Warchik2107]

akelsey, что именно имеешь ввиду? Там просто правило src-nat на внешний IP провайдера