Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: mracekpavel78 31. 08. 2022, 08:55:25
-
Ahoj / dobrý den,
můžu požádat o odpověď :
Mám mikrotik na segmentu 10.1.1.0/24 a do něho jdu přes Winbox - funguje.
Protože do toho mikrotiku mám historicky připojen cAP do jednoho portu a ten cAP přiděluje přes DHCP adresy z rozsahu 10.1.2.0/24..CAPsMan není zprovozněn. Čili je oddělen provoz mezi mikrotikem a cAP.
Z PC (OS Ubuntu), které je na segmentu 10.1.1.0/24, ale nemůžu obsluhovat ten cAP na druhém segmentu přes Winbox.
Zkoušel jsem přidat "routu" na tom PC, ale ani ping nefunguje z 10.1.1.0/24 do 10.1.2.0/24. Routu do PC jsem přidal přes nastavení sítové karty.
Musí se přesně v tom Mikrotiku na segmentu 10.1.1.0/24 něco povolit v pravidlech Firewallu nebo i v NATu ?
Jestli bude něco třeba doplnit, napiště.
Děkuji
PM
-
Ak v mikrotiku existuju obe siete, tak su navzajom preroutovane. Tym padom vam to blokuje firewall. Malo by stacit pridat do fitru forward pravidlo na komunikaciu medzi pc a cielovym cap. Cize nieco taketo:
src-adresa - ip pc
dst-adresa - ip cap
/ip firewall filter
add chain=forward src-address=192.168.1.x dst-address=192.168.2.y action=accept
Pravidlo treba pridat pred pravidlo chain=forward action=drop
Overit ci je vidiet z pc aj cap cez winbox sa da pomocou zalozky neighbors, kde ho musi zobrazit.
Ak tam nebude ani po pridani pravidla do firewallu vidiet, tak je problem v routovani.
-
Dekuji, přidal jsem dle doporuceni.
Asi je problem v routovani. Kdybyste vedel jak na to, dekuji mnohokrat za pomoc.
PM
-
Skor bude problem vo firewalle na cAP, nebude povoleny pristup na winbox port z inej siete, iba z LAN. Tam by som hladal chybu.
-
Overit ci je vidiet z pc aj cap cez winbox sa da pomocou zalozky neighbors, kde ho musi zobrazit.
Ak tam nebude ani po pridani pravidla do firewallu vidiet, tak je problem v routovani.
Pokud se nepletu, tak neighbours fungují na L2 tzn jen v rámci jednoho switche/bridge- tzn jakmile je někde oddělovací router, tak další zařízení za ním už nebudou vidět. Stejně jako se dá na mikrotik z winboxu přistupovat MAC adresou, ale zase jen v rámci toho jednoho switche. Jakmile je potřeba jít dál, tak už se musí přímo přes IP (kterou musíš vědět, jelikož discovery těch neighbours tak daleko už nefunguje)
Takže závěr: z toho prvního mikrotiku ten druhý (cAP) v neighbours bude vidět, naopak taky. Ale z PC uvidíš jen ten první MK.
Jinak rada je prostě vypnout FW a vyzkoušet jestli to pojede. Pokud ano, tak začít řešit nastavení FW. Pokud ne, tak řešit dál (vypnout FW na druhém MK atd)
-
Děkuji,
vyzkouším.
PM
-
Pokud se nepletu, tak neighbours fungují na L2 tzn jen v rámci jednoho switche/bridge- tzn jakmile je někde oddělovací router, tak další zařízení za ním už nebudou vidět. Stejně jako se dá na mikrotik z winboxu přistupovat MAC adresou, ale zase jen v rámci toho jednoho switche. Jakmile je potřeba jít dál, tak už se musí přímo přes IP (kterou musíš vědět, jelikož discovery těch neighbours tak daleko už nefunguje)
Takže závěr: z toho prvního mikrotiku ten druhý (cAP) v neighbours bude vidět, naopak taky. Ale z PC uvidíš jen ten první MK.
Jinak rada je prostě vypnout FW a vyzkoušet jestli to pojede. Pokud ano, tak začít řešit nastavení FW. Pokud ne, tak řešit dál (vypnout FW na druhém MK atd)
Mate pravdu s tym discovery. Trosku som na to pozabudol, ze to vidiet iba z hlavneho routra. Ten cez discovery musi vidiet vsetky zariadenia v routovanych sietiach.
-
Este si treba pozriet ci na cap v zalozke ip/services ci u winboxu nie su nastavene povolene rozsahy, z ktorych sa da na dany mikrotik prihlasit. Kedze to je dalsi sposob ochrany, ked nie je zapnuty firewall.
-
A zkousíš se připojit na IP CAPu 10.1.1.x nebo 10.1.2.x? Odpovídají obě dvě adresy na ping?
Ať nevěštíme a nehádáme, pošli nám z terminálu z obou dvou zařízení výstupy:
/ip address print detail
/ip route print detail
/ip services print detail
a po cenzuře
/ip firewall export