Почему не работает маршрутизация?

Question

[Capitollium]

Привет!
Есть три роутера микротик, 1 и 3 - роутеры частных домов, 2 как-бы "интернет"!
Почему в моем случае не работает маршрутизация, не пингуються хосты в обе стороны?
Какие маршруты добавить на втором маршрутизаторе?

spoiler

Comments

[Akina]

Рассмотрим прохождение пакета.

192.168.1.2 посылает пинг на 172.16.1.2. Поскольку адрес назначения не является адресом подсети какого-либо интерфейса и не входит в подсеть какого-либо частного маршрута, используется маршрут по умолчанию. Соответственно узел формирует пакет с параметрами: источник = 192.168.1.2, адрес назначения 172.16.1.2, следующий хоп 192.168.1.1, и отправляет его.

192.168.1.1 принимает этот пакет для маршрутизации, ибо не является хостом назначения, но является следующим хопом. Поскольку адрес назначения не является адресом подсети какого-либо интерфейса и не входит в подсеть какого-либо частного маршрута, используется маршрут по умолчанию. Соответственно узел формирует пакет с параметрами: источник = 4.4.4.1, адрес назначения 172.16.1.2, следующий хоп 4.4.4.2, и отправляет его. Одновременно формируется запись NAT-преобразования с характеристиками пришедшего и отправленного пакетов - последующие пакеты с теми же характеристиками будут преобразовываться в соответствии с этой записью (в обоих направлениях).

4.4.4.2 принимает этот пакет для маршрутизации. Поскольку на нём нет преобразования адресов, а адрес назначения является приватным адресом, который не маршрутизируется в Инете, полученный пакет отправляется в корзину (drop). Его путь закончился.

192.168.1.2, выждав положенное время, констатирует "Timeout".

В общем, чтобы два узла, каждый из которых находится за NAT, смогли пинговать друг друга, либо между узлами 4.4.4.1 и 5.5.5.2 следует поднять прямой канал (VPN), либо необходим некий промежуточный узел в Инете, который обеспечит установление такого туннеля либо сам выступит в роли такого туннеля. При этом оба узла с приватными адресами должны будут заранее обратиться к этому промежуточному узлу с просьбой их обслуживать.

Answer 1

[Antonio Solo]

если забыть что сети серые и используется NAT, то откуда "2" знает как маршрутизировать трафик для 192.168 и 172.16 ?

- убрать NAT c "1" и "3" и настроить его на "2"
- явно прописать маршруты на 2 (и наверно на 1 и 3)

Comments

[res2001]

Адреса 4.х.х.х. и 5.х.х.х - белые.
Capitollium, не используй белые адреса для внутренних сетей! Возьми любую подсеть из серых для сети между маршрутизаторами. Так же можно использовать подсеть 10.0.0.0/8 - она то же серая.
Зачем у тебя выделены отдельные подсети для маршрутизаторов (4.4.4.0 и 5.5.5.0)? Я бы сделал одну подсеть для всех маршрутизаторов. Клиенты пусть сидят в своих собственных подсетях.
На маршрутизаторах 1 и 3 прописать маршрут по умолчанию через 2.
На 2 прописать маршруты для клиентских подсетей через соответствующие маршрутизаторы.
NAT - только на 2

[Akina]

если забыть что ... используется NAT, то откуда "2" знает как маршрутизировать трафик для 192.168 и 172.16 ?

А если не забывать, то маршрутизатору 2 и не надо знать о существовании указанных подсетей.

[Antonio Solo]

Akina, ты хоть сам-то понял что написал ?

[Akina]

Antonio Solo, Да, конечно.

Во-первых, если "забыть" - то решаться будет совершенно другая задача. Вот оно точно автору надо, а? нет, я допускаю, что он мог спросить не то, что хотел, но сперва бы получить от него это признание, а потом уже отвечать на незаданный вопрос.

Во-вторых, если "не забывать", то общая схема распадается на три, в каждой из которых любой целевой узел либо находится в подсети одного из интерфейсов, либо достижим через шлюз по умолчанию - т.е. никаких частных маршрутов не нужно от слова "вообще".

Ну и последнее. Маршрутизация через NAT (а в описываемой схеме пакет просто обязан будет на "дальнем" NAT лезть "против шерсти") в общем случае невозможна без соответствующего маппинга (port mapping, DMZ или иное) на NAT-роутерах. Но если задача поставлена, вероятно, она решаема, т.е. такая настройка на роутерах уже имеется.

[Antonio Solo]

Akina, у человека конкретный вопрос - как организовать сеть что бы работал пинг из 192.168.1.2 на 172.16.1.2.

это можно реализовать если
1) убрать NAT на 1 и 3 и поставить его на 2
2) прописать ручками маршруты на 1 2 3 что бы пакеты проходили

или по-твоему это работать не будет ?

[Akina]

Antonio Solo,

это можно реализовать если
1) убрать NAT на 1 и 3 и поставить его на 2

С учётом, что

2 как-бы "интернет"!

? Я как-то слабо себе представляю перенос NAT с локального роутера в Инет...

или по-твоему это работать не будет ?

Работать будет только если из-за NAT пинать того, кто NAT-ом не прикрыт. А в исходной и нарисованной тобой схемах это невозможно, хоть один да за NAT, и второй до него не допингуется. См. мой комментарий к вопросу.

[Antonio Solo]

Akina, если уж он рисует "2" у себя то надо полагать что этот "2" у него под контролем

иаче как он так смело интерфейсы рисует

[Akina]

Antonio Solo, А что ему делать, если надо создавать схему, работающую абы через Инет, в каком-нить Cisco Packet Tracer? Поневоле он должен нарисовать абсолютно маршрутизирующий блок (в данном случае - роутер 2), а потом думать, что это неподконтрольный чёрный ящик.

Answer 2

[AUser0]

А с самого центрального Микротика-2 эти копьютеры пингуются?
Если нет - надо на нем добалять route для этих подсеток. Или BGP.

Comments

[Antonio Solo]

ты ему сразу посоветуй AS заводить