Winbox - dva rozsahy

Winbox - dva rozsahy
« kdy: 31. 08. 2022, 08:55:25 »
Ahoj / dobrý den,

můžu požádat o odpověď :

Mám mikrotik na segmentu 10.1.1.0/24 a do něho jdu přes Winbox - funguje.

Protože do toho mikrotiku mám historicky připojen cAP do jednoho portu a ten cAP přiděluje přes DHCP adresy z rozsahu 10.1.2.0/24..CAPsMan není zprovozněn. Čili je oddělen provoz mezi mikrotikem a cAP.

Z PC (OS Ubuntu), které je na segmentu 10.1.1.0/24, ale nemůžu obsluhovat ten cAP na druhém segmentu přes Winbox.

Zkoušel jsem přidat "routu" na tom PC, ale ani ping nefunguje z 10.1.1.0/24 do 10.1.2.0/24. Routu do PC jsem přidal přes nastavení sítové karty.

Musí se přesně v tom Mikrotiku na segmentu 10.1.1.0/24 něco povolit v pravidlech Firewallu nebo i v NATu ?

Jestli bude něco třeba doplnit, napiště.

Děkuji

PM


Re:Winbox - dva rozsahy
« Odpověď #1 kdy: 31. 08. 2022, 11:07:16 »
Ak v mikrotiku existuju obe siete, tak su navzajom preroutovane. Tym padom vam to blokuje firewall. Malo by stacit pridat do fitru forward pravidlo na komunikaciu medzi pc a cielovym cap. Cize nieco taketo:

src-adresa - ip pc
dst-adresa - ip cap

Kód: [Vybrat]
/ip firewall filter
add chain=forward src-address=192.168.1.x dst-address=192.168.2.y action=accept

Pravidlo treba pridat pred pravidlo chain=forward action=drop

Overit ci je vidiet z pc aj cap cez winbox sa da pomocou zalozky neighbors, kde ho musi zobrazit.
Ak tam nebude ani po pridani pravidla do firewallu vidiet, tak je problem v routovani.
« Poslední změna: 31. 08. 2022, 11:12:00 od Milan Cagap »

Re:Winbox - dva rozsahy
« Odpověď #2 kdy: 31. 08. 2022, 12:32:31 »
Dekuji, přidal jsem dle doporuceni.

Asi je problem v routovani. Kdybyste vedel jak na to, dekuji mnohokrat za pomoc.

PM


Dadko

Re:Winbox - dva rozsahy
« Odpověď #3 kdy: 31. 08. 2022, 13:17:38 »
Skor bude problem vo firewalle na cAP, nebude povoleny pristup na winbox port z inej siete, iba z LAN. Tam by som hladal chybu.


Re:Winbox - dva rozsahy
« Odpověď #4 kdy: 31. 08. 2022, 13:42:11 »
Overit ci je vidiet z pc aj cap cez winbox sa da pomocou zalozky neighbors, kde ho musi zobrazit.
Ak tam nebude ani po pridani pravidla do firewallu vidiet, tak je problem v routovani.
Pokud se nepletu, tak neighbours fungují na L2 tzn jen v rámci jednoho switche/bridge- tzn jakmile je někde oddělovací router, tak další zařízení za ním už nebudou vidět. Stejně jako se dá na mikrotik z winboxu přistupovat MAC adresou, ale zase jen v rámci toho jednoho switche. Jakmile je potřeba jít dál, tak už se musí přímo přes IP (kterou musíš vědět, jelikož discovery těch neighbours tak daleko už nefunguje)

Takže závěr: z toho prvního mikrotiku ten druhý (cAP) v neighbours bude vidět, naopak taky. Ale z PC uvidíš jen ten první MK.

Jinak rada je prostě vypnout FW a vyzkoušet jestli to pojede. Pokud ano, tak začít řešit nastavení FW. Pokud ne, tak řešit dál (vypnout FW na druhém MK atd)


Re:Winbox - dva rozsahy
« Odpověď #5 kdy: 31. 08. 2022, 14:57:30 »
Děkuji,

vyzkouším.

PM

Re:Winbox - dva rozsahy
« Odpověď #6 kdy: 02. 09. 2022, 09:11:24 »
Pokud se nepletu, tak neighbours fungují na L2 tzn jen v rámci jednoho switche/bridge- tzn jakmile je někde oddělovací router, tak další zařízení za ním už nebudou vidět. Stejně jako se dá na mikrotik z winboxu přistupovat MAC adresou, ale zase jen v rámci toho jednoho switche. Jakmile je potřeba jít dál, tak už se musí přímo přes IP (kterou musíš vědět, jelikož discovery těch neighbours tak daleko už nefunguje)

Takže závěr: z toho prvního mikrotiku ten druhý (cAP) v neighbours bude vidět, naopak taky. Ale z PC uvidíš jen ten první MK.

Jinak rada je prostě vypnout FW a vyzkoušet jestli to pojede. Pokud ano, tak začít řešit nastavení FW. Pokud ne, tak řešit dál (vypnout FW na druhém MK atd)

Mate pravdu s tym discovery. Trosku som na to pozabudol, ze to vidiet iba z hlavneho routra. Ten cez discovery musi vidiet vsetky zariadenia v routovanych sietiach.

Re:Winbox - dva rozsahy
« Odpověď #7 kdy: 02. 09. 2022, 09:14:09 »
Este si treba pozriet ci na cap v zalozke ip/services ci u winboxu nie su nastavene povolene rozsahy, z ktorych sa da na dany mikrotik prihlasit. Kedze to je dalsi sposob ochrany, ked nie je zapnuty firewall.

Re:Winbox - dva rozsahy
« Odpověď #8 kdy: 02. 09. 2022, 12:01:02 »
A zkousíš se připojit na IP CAPu 10.1.1.x nebo 10.1.2.x? Odpovídají obě dvě adresy na ping?

Ať nevěštíme a nehádáme, pošli nám z terminálu z obou dvou zařízení výstupy:
/ip address print detail
/ip route print detail
/ip services print detail

a po cenzuře
/ip firewall export