RB - propojení dvou sítí

Návody a problémy s konfigurací.
RybaNaPet
Příspěvky: 12
Registrován: 3 weeks ago

RB - propojení dvou sítí

Příspěvekod RybaNaPet » 2 weeks ago

Dobrý den,

mám tu - pro někoho možná - stupidní dotaz (sám se v prostředí Mikrotiku nepohybuji a určitě se to bude množit :) ).
Potřeboval bych propojit 2 fyzicky oddělené sítě, kde routerboardy a další síťové prvky jsou umístěny ve stejném rozvaděči.
viz. obrázek
síť wan-lan.png
síť wan-lan.png (6.45 KiB) Zobrazeno 1395 x

Momentálně je to nastavené tak, že z LAN2 do LAN1 se leze skrz L2TP. (červený nákres)
Představuji si to tak, že kabelem propojím oba routery a nastaví se nějaké routování. (zelený nákres)
Podmínka je taková, že z LAN2 se lze dostat do LAN1 ale opačně z LAN1 do LAN2 ne.
Jakým způsobem, nebo spíše jak to vyřešit ?

Děkuji za pomoc a ochotu.

><(((">
0 x
><(((">

Noxus28
Příspěvky: 374
Registrován: 7 years ago

Příspěvekod Noxus28 » 2 weeks ago

krok 1. pridat v ip/routes pravidlá kde sa ktorá sieť nachádza
na RB1. dst.address= adresa sieteLAN2 gateway=verejna ip RB2
na RB2. dst.address= adresa sieteLAN1 gateway=verejna ip RB1

krok 2. firewall/filter
na RB1. chain=forward src.addr.=adresa sieteLAN1 dst.addr.=adresa sieteLAN2 connection state=new, invalid action=drop
na RB1. chain=forward src.addr.=adresa sieteLAN1 dst.addr.=adresa sieteLAN2 connection state=etabilished,related action=accept
na RB2. chain=forward src.addr.=adresa sieteLAN2 dst.addr.=adresa sieteLAN1 action=accept

Záleží aj na tom čo už vo firewalle máš a môže do komunikácie zasahovať či už na verejkách alebo do LAN rozsahov
PS: písal som to z hlavy popri ceste tak dúfam že som sa nikde moc neuklepol
1 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

RybaNaPet
Příspěvky: 12
Registrován: 3 weeks ago

Příspěvekod RybaNaPet » 2 weeks ago

Super. :)

Vyzkouším až nebude provoz a případně dám vědět.
Není tedy jakkoliv nutné propojovat routery mezi sebou (půjde to vlastně jen přes ten switch, chápu to správně) ?
Mohl bych poprosit o laické vysvětlení:

connection state=new, invalid action=drop
connection state=etabilished,related action=accept

Ten poslední krok chápu (action=accept), něco ve smyslu že "povolit provoz z LAN2 do LAN1".

Díky!
0 x
><(((">

Noxus28
Příspěvky: 374
Registrován: 7 years ago

Příspěvekod Noxus28 » 2 weeks ago

áno chápeš to správne, keďže to je na switchy (a pravdepodobne aj verejné IP z jedného rozsahu čiže tieto nešifrované dáta nebudú behať cez pol republiky) nie je potrebné robiť prepoj.
connection state:
new - naviazanie nového spojenia ( to ty nechceš z LAN1 do LAN2 iba opačne)
invalid - chybné spojenie (trebárs odpoveď na už uzavretú komunikáciu atď)
estabilished - nadviazané spojenie (to chceš - je to spojenie ktoré nadviazala LAN2 a LAN1 naň odpovedá)
related - odvodené spojenie (to tiež chceš - môže sa stať že spojenie sa "rozdvojí" na iný port, protokol atď)

veľa zdaru
1 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

RybaNaPet
Příspěvky: 12
Registrován: 3 weeks ago

Příspěvekod RybaNaPet » 1 week ago

Tak jsem to tam naházel a v ip/routes mě to hlásí "unreachable". Ping na obě veřejné IP z každého routeru funkční.
Zkontroloval jsem firewall, jestli to něco neblokuje, ale nic tomu nenasvědčuje. Myslím že problém bude v tom že už v těch routách mě to hlásí "unreachable" ??
Děkuji za rady.
0 x
><(((">

Noxus28
Příspěvky: 374
Registrován: 7 years ago

Příspěvekod Noxus28 » 1 week ago

a sú tie verejky RBčok z jedného rozsahu? prvý riadok je tam automaticky po pridaní verejnej ip na rozhranie
druhý si musíš pridať sám


v podstate okrem iného by mali byť v ip route 2 riadky

Kód: Vybrat vše

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
3 ADC  78.x.x.0/24       78.x.x.70          ether1_gateway          0
7 A S  192.168.10.0/24   78.x.x.70          78.x.x.71               1
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

RybaNaPet
Příspěvky: 12
Registrován: 3 weeks ago

Příspěvekod RybaNaPet » 1 week ago

Jedna je
xxx.xxx.146.253/29
Druhá je
xxx.xxx.146.115/29
0 x
><(((">

Noxus28
Příspěvky: 374
Registrován: 7 years ago

Příspěvekod Noxus28 » 1 week ago

no, čiže nie sú z jedného rozsahu. momentálne ma teda nenapadá čo s tým okrem káblového prepoja medzi RB
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

RybaNaPet
Příspěvky: 12
Registrován: 3 weeks ago

Příspěvekod RybaNaPet » 1 week ago

Takže tedy jaký postup ?
Propojím přes libovolné etherX porty oba routery (porty vyndám z bridge1, a nechám je samostatně).
A teď, jak to nastavit ? To už nevím.

Děkuji za rady.
0 x
><(((">

Noxus28
Příspěvky: 374
Registrován: 7 years ago

Příspěvekod Noxus28 » 1 week ago

ano vyber na každom RB jeden port ktorý bude vybratý z bridge a nebude na ňom žiadny konfig.
1. na porty nastav IP adresu z rozsahu ktorý nikde nepoužívaš, napr 10.10.10.1/30 a na druhý 10.10.10.2/30
a ďalej pokračuj tak ako som ti už písal len miesto verejných IP použi tieto.
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

RybaNaPet
Příspěvky: 12
Registrován: 3 weeks ago

Příspěvekod RybaNaPet » 2 days ago

Tak propoj kabelem + nastavení routy funguje.
Nicméně stále se z LAN1 dostanu do LAN2 (zkouším ping z RB1 na RB2, a mělo by to fungovat jen opačně).
Co konkrétně z toho zajišťuje, aby se povolila jen jednosměrná komunikace ? Kde by mohla být chyba.
Nemá u nějakého toho chainu být místo forward - input (oprava) ?
Díky. :)
Naposledy upravil(a) RybaNaPet dne 16 Apr 2019 16:25, celkem upraveno 1 x.
0 x
><(((">

mirek.k
Příspěvky: 695
Registrován: 10 years ago

Příspěvekod mirek.k » 2 days ago

RybaNaPet píše:Tak propoj kabelem + nastavení routy funguje.
Nicméně stále se z LAN1 dostanu do LAN2 (zkouším ping z RB1 na RB2, a mělo by to fungovat jen opačně).
Co konkrétně z toho zajišťuje, aby se povolila jen jednosměrná komunikace ? Kde by mohla být chyba.
Nemá u nějakého toho chainu být místo forward - drop ?
Díky. :)

Forward je chain a drop je akce. To opravdu zaměnit nejde.
0 x

RybaNaPet
Příspěvky: 12
Registrován: 3 weeks ago

Příspěvekod RybaNaPet » 2 days ago

mirek.k píše:
RybaNaPet píše:Tak propoj kabelem + nastavení routy funguje.
Nicméně stále se z LAN1 dostanu do LAN2 (zkouším ping z RB1 na RB2, a mělo by to fungovat jen opačně).
Co konkrétně z toho zajišťuje, aby se povolila jen jednosměrná komunikace ? Kde by mohla být chyba.
Nemá u nějakého toho chainu být místo forward - drop ?
Díky. :)

Forward je chain a drop je akce. To opravdu zaměnit nejde.

Opraveno na "input". :)
0 x
><(((">

Noxus28
Příspěvky: 374
Registrován: 7 years ago

Příspěvekod Noxus28 » 2 days ago

RB sa na seba dopingajú ad1. už len kôly tomu že RB1 pingá z IP toho spoja a ad2. na to aby sa nedopingali potrebuješ pravidlá v INPUT rsp OUTPUT (čo je podla mňa zbytočné keďže sa aj tak vidia na spojovacej sieti)

Forward je už to čo prelezie do siete čiže z PC na PC rsp z PC na LAN IP RB2
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

RybaNaPet
Příspěvky: 12
Registrován: 3 weeks ago

Příspěvekod RybaNaPet » 2 days ago

Pořád se z PC v LAN1 dostanu třeba na sdílené složky (cokoliv) do PC v LAN2.
Přikládám printscreen firewall/filter na RB1.
propoj.png
propoj.png (9.49 KiB) Zobrazeno 258 x

Na RB2 firewall/filter je "accept, forward, src. 51.0/24, dst. 0.0/20.
0 x
><(((">


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 2 hosti