2 подсети один шлюз как настроить на микротике?

Question

[Олег Шевченко]

Подскажите как настроить 2 подсети, не пересекающиеся , что бы в обоих был доступ к интернету

Answer 1

[pr0l]

к каждому бриджу (порту) добавляешь ip нужной сети
дхцп в каждую сеть на интерфейс сети
прописываешь нат в каждую сеть
в ip-route-rules прописываешь ipсетей и правило unreachable
вланы грузят ЦП

Answer 2

[Сергей]

Например настроить 2 бриджа на Mikrotik'е, и каждый из них выпустить в сеть.
Или использовать VLAN. Или еще кучей способов.

Comments

[Олег Шевченко]

Сергей а могли бы чуть подробнее рассказать как сделать с помощью VLAN? если можно в скайпе. А то у меня что то не вышло. Я новичек в этом деле. Спасибо!

[Сергей]

Олег Шевченко: Производительнее будет обойтись бриджами т.к. коммутация пакетов будет на аппаратном уровне. VLAN требует больше процессорного времени.
В графическом интерфейсе микротика VLAN выглядит как обычный интерфейс, только без привязки к аппаратным портам. Так что, если вы знаете, что хотите получить, то вы сможете это сделать самостоятельно.

[Олег Шевченко]

Сергей честно говоря сегодня и бриджами пробовал, один бридж у меня подсеть 192.168.1.0 и в нем же wifi в этой же подсети. Появилась необходимость второй подсети не пересекающеся 192.168.0.0, создал второй бридж к нему дхцп . Туда же добавил. Wan интерфейс. Но что то не заработало , что я не так сделал , направьте пожалуйста

[Сергей]

Скорее всего вы не назначили ни одному интерфейсу IP шлюза по умолчанию второй подсети. WAN не следует включать в Bridge, достаточно правил в Firewall и Routes.

К примеру Bridge1 содержит Eth11, Eth12 и WLAN1, а Bridge2 - Eth21 и Eth22. Внешний интерфейс WAN.
При такой конфигурации вам должно быть достаточно:
1) NAT всего исходящего трафика, если необходимо.
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN to-addresses=0.0.0.0
2) Назначить на мастер-порт IP-адрес, который будет шлюзом по умолчанию данной подсети.
Например Eth11 - 192.168.0.1
Например Eth21 - 192.168.1.1
3) Проверить ip/Firewall и ip/Routes на наличие правил разрешающих пересылку пакетов из подсетей на внешний интерфейс.

Вроде все. Писал по памяти, поэтому нюансы могут отличаться.

[Олег Шевченко]

Сергей: спасибо большое, буду пробовать !

[Wexter]

Сергей:

Производительнее будет обойтись бриджами т.к. коммутация пакетов будет на аппаратном уровне. VLAN требует больше процессорного времени.

Можно поподробнее про этот бред? С каких пор бриджы стали аппаратными? Почему VLAN требует больше процессора?

[Олег Шевченко]

Wexter может подскажите тогда как лучше мне поступить ? как настроить VLAN или Bridge?

[Wexter]

Олег Шевченко: какая у вас модель роутера? обе сети в один порт приходят?

[Олег Шевченко]

Wexter: модель роутера RB-2011UiAS-2HnD. 2 провайдера. один через SFP другой eth3(порт сам по себе), Настроена балансировка(делал сам по мануалам из инета- работает =))). eth2 -192.168.0.1 (это основной локальный интерфейс). eth7 192.168.1.1 (нужно сделать вот не могу понять как) может как то прислать все настройки? что бы было понятно есть такая возможность в микротике? Спасибо!

[Wexter]

Олег Шевченко: так просто добавьте адрес 192.168.1.1 на порт eth7. единственное я не знаю ваших настроек файрвола и возможно они не дадут так просто выход в интернет для второй сети

[Олег Шевченко]

Wexter: добавлял, не работает. Знаете как получается, комп говорит что инет есть, но роутер даже не пингуется. и еще вопрос в том что шлюз и днс останутся то в другой подсети ?

[Wexter]

Олег Шевченко: комп получает настройки по dhcp или статикой? если по dhcp то нужно поднять ещё один сервер для этой сети на порту eth7. В настройках шлюз и днс указать 192.168.1.1

[Олег Шевченко]

Wexter: Я правильно понимаю что в файрволе достаточно input и forward для 192.168.1.1?

[Олег Шевченко]

Wexter: дхцп поднят

[Олег Шевченко]

Большое спасибо! разобрался , все работает!

[Олег Шевченко]

Wexter: С вашего позволения еще вопрос задам, как сделать так что бы сеть 192.168.1.1 могла видеть только один комп в сети 192.168.0.1

[Wexter]

Олег Шевченко: в таблице filter разрешите forward из 192.168.1.0/24 к 192.168.0.1
/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.0.1 action=accept

[Олег Шевченко]

Wexter: Отлично спасибо! Я делал тоже самое но перепутал input и forward=( Еще раз благодарю за помощь!

[Сергей]

Wexter: https://habrahabr.ru/post/313248/
Для обработки Бриджа достаточно чипа коммутации, как в неуправляемом свитче. Для более глубокого анализа трафика, в том числе VLAN используются мощности CPU.

[Wexter]

Сергей: а теперь перечитайте статью и подумайте ещё раз

[Артем]

Wexter: судя по запросу топикстартера, у него не CRS, а в статье в самом конце сказано, сто работает это только на CRS, на 951м вланы уже бегут через CPU...

[Wexter]

Артем: RTFM https://wiki.mikrotik.com/wiki/%D0%A0%D1%83%D0%BA%...

[Сергей]

Wexter: Опять таки возможности чипов коммутации отличаются, и не все могут работать с VLAN (см. таблицу в мануале). Так что без указания конкретной железки стоит предпочитать bridge. На этом предлагаю данный спор закрыть.