@DimkaI
Системный адинистратор, разработчик ПО

Что не так с маршрутизацией Mikrotik?

Есть сеть:
Роутер микротик, через который есть доступ в интернет и всё, что напрямую подключено к нему, получает этот доступ. Сеть 192.168.10.0/24 И второй микротик, на котором организованы несколько сетей (192.168.1.0/24, 192.168.11.0/24, 192.168.99.0/24, 10.254.0.0/16). Второй микротик подключён к первому, и получил от него IP адрес 192.168.10.49.
Почему так сделано, не спрашивайте. Подрядчик, с которым заключали договор вместо использования сети первого микротика установил дополнительное оборудование и сейчас, имея только удалённый доступ через первый микротик пытаюсь реанимировать сеть подрядчика.

Конфигурация маршрутов первого микротика:
.    Dst. Address     Gateway                        Distance  Pref. Source
AS   0.0.0.0/0        10.2.0.1 reachable ether1      1
DAC  10.2.0.0./19     ether1 reacable                0         10.2.7.136
AS   192.168.1.0/24   192.168.0.49 reachable bridge  1
DAC  192.168.10.0/24  bridge reachable               0         192.168.10.1
AS   192.168.11.0/24  192.168.0.49 reachable bridge  1
AS   192.168.99.0/24  192.168.0.49 reachable bridge  1


Маршрутизация второго микротика:
.    Dst. Address     Gateway                         Distance  Pref. Source
DS   0.0.0.0/0        192.168.10.1 unreachable        1
DAC  10.254.0.0/16    vlan102 reachable               0         10.254.0.1
DAC  192.168.1.0/24   vlan100 reachable               0         192.168.1.1
AS   192.168.10.0/24  ether6 reachable                1
DAC  192.168.11.0/24  vlan101 reacable                0         192.168.11.1
DAC  192.168.99.0/24  vlan99 reachable                0         192.168.99.1


Так вот, вопрос - почему первый маршрут через GW 192.168.10.1 (DS 0.0.0.0/0 192.168.10.1 unreachable 1), который получен автоматически и не доступен для изменения, не работает? В то же время, из терминала второго микротика всё оборудование сети 192.168.10.0/24 пингуется, в том числе 192.168.10.1. Всё участники сетей второго микротика из сети первого микротика так же доступны. Что я упустил?

Ах, да. NAT.
Первый микротик:
0 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN
ipsec-policy=out,none


Второй микротик:
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether6 log=no log-prefix=""

1 chain=srcnat action=src-nat to-addresses=192.168.1.1
src-address=192.168.99.0/24 dst-address=192.168.1.0/24 log=no
log-prefix=""

2 chain=srcnat action=src-nat to-addresses=192.168.1.1
src-address=192.168.11.0/24 dst-address=192.168.1.0/24 log=no
log-prefix=""


Upd. Мне необходимо выпустить все подсети второго микротика в интернет. То есть сделать активным маршрут DS 0.0.0.0/0 192.168.10.1. Снести вланы к сожалению нельзя из-за уже настроенного на них оборудования и хорошо между собой функционирующего.
  • Вопрос задан
  • 228 просмотров
Пригласить эксперта
Ответы на вопрос 2
Jump
@Jump
Системный администратор со стажем.
Ну какие могут быть маршруты, если у вас там NAT?
Если нужна маршрутизация - не прячьте сети за NAT.
Ответ написан
@Fenrir89
Маршрутизация в микротике берет совпадения по наименьшей маске, поэтому маршрут /0 имеет наименьший приоритет,
и все улетает в nat

1 chain=srcnat action=src-nat to-addresses=192.168.1.1
src-address=192.168.99.0/24 dst-address=192.168.1.0/24 log=no
log-prefix=""

2 chain=srcnat action=src-nat to-addresses=192.168.1.1
src-address=192.168.11.0/24 dst-address=192.168.1.0/24 log=no
log-prefix=""


Второе правило работать не будет, точнее будет(думал про dst nat), но зачем если оно и так оттуда пришло зачем что-то менять, только ресурсы на обработку пакетов тратить
И зачем они вообще для внутренней сети, по идее и маскарадинг не нужен
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы