RB - propojení dvou sítí

rybanapet

Dobrý den,

mám tu - pro někoho možná - stupidní dotaz (sám se v prostředí Mikrotiku nepohybuji a určitě se to bude množit :) ).

Potřeboval bych propojit 2 fyzicky oddělené sítě, kde routerboardy a další síťové prvky jsou umístěny ve stejném rozvaděči.

viz. obrázek

síť wan-lan.png

Momentálně je to nastavené tak, že z LAN2 do LAN1 se leze skrz L2TP. (červený nákres)

Představuji si to tak, že kabelem propojím oba routery a nastaví se nějaké routování. (zelený nákres)

Podmínka je taková, že z LAN2 se lze dostat do LAN1 ale opačně z LAN1 do LAN2 ne.

Jakým způsobem, nebo spíše jak to vyřešit ?

Děkuji za pomoc a ochotu.

><(((">

noxus28

krok 1. pridat v ip/routes pravidlá kde sa ktorá sieť nachádza

na RB1. dst.address= adresa sieteLAN2 gateway=verejna ip RB2

na RB2. dst.address= adresa sieteLAN1 gateway=verejna ip RB1

krok 2. firewall/filter

na RB1. chain=forward src.addr.=adresa sieteLAN1 dst.addr.=adresa sieteLAN2 connection state=new, invalid action=drop

na RB1. chain=forward src.addr.=adresa sieteLAN1 dst.addr.=adresa sieteLAN2 connection state=etabilished,related action=accept

na RB2. chain=forward src.addr.=adresa sieteLAN2 dst.addr.=adresa sieteLAN1 action=accept

Záleží aj na tom čo už vo firewalle máš a môže do komunikácie zasahovať či už na verejkách alebo do LAN rozsahov

PS: písal som to z hlavy popri ceste tak dúfam že som sa nikde moc neuklepol

rybanapet

Super. :)

Vyzkouším až nebude provoz a případně dám vědět.

Není tedy jakkoliv nutné propojovat routery mezi sebou (půjde to vlastně jen přes ten switch, chápu to správně) ?

Mohl bych poprosit o laické vysvětlení:

connection state=new, invalid action=drop

connection state=etabilished,related action=accept

Ten poslední krok chápu (action=accept), něco ve smyslu že "povolit provoz z LAN2 do LAN1".

Díky!

noxus28

áno chápeš to správne, keďže to je na switchy (a pravdepodobne aj verejné IP z jedného rozsahu čiže tieto nešifrované dáta nebudú behať cez pol republiky) nie je potrebné robiť prepoj.

connection state:

new - naviazanie nového spojenia ( to ty nechceš z LAN1 do LAN2 iba opačne)

invalid - chybné spojenie (trebárs odpoveď na už uzavretú komunikáciu atď)

estabilished - nadviazané spojenie (to chceš - je to spojenie ktoré nadviazala LAN2 a LAN1 naň odpovedá)

related - odvodené spojenie (to tiež chceš - môže sa stať že spojenie sa "rozdvojí" na iný port, protokol atď)

veľa zdaru

rybanapet

Tak jsem to tam naházel a v ip/routes mě to hlásí "unreachable". Ping na obě veřejné IP z každého routeru funkční.

Zkontroloval jsem firewall, jestli to něco neblokuje, ale nic tomu nenasvědčuje. Myslím že problém bude v tom že už v těch routách mě to hlásí "unreachable" ??

Děkuji za rady.

noxus28

a sú tie verejky RBčok z jedného rozsahu? prvý riadok je tam automaticky po pridaní verejnej ip na rozhranie

druhý si musíš pridať sám

v podstate okrem iného by mali byť v ip route 2 riadky

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

3 ADC 78.x.x.0/24 78.x.x.70 ether1_gateway 0

7 A S 192.168.10.0/24 78.x.x.70 78.x.x.71 1

rybanapet

Jedna je

xxx.xxx.146.253/29

Druhá je

xxx.xxx.146.115/29

noxus28

no, čiže nie sú z jedného rozsahu. momentálne ma teda nenapadá čo s tým okrem káblového prepoja medzi RB

rybanapet

Takže tedy jaký postup ?

Propojím přes libovolné etherX porty oba routery (porty vyndám z bridge1, a nechám je samostatně).

A teď, jak to nastavit ? To už nevím.

Děkuji za rady.

noxus28

ano vyber na každom RB jeden port ktorý bude vybratý z bridge a nebude na ňom žiadny konfig.

1. na porty nastav IP adresu z rozsahu ktorý nikde nepoužívaš, napr 10.10.10.1/30 a na druhý 10.10.10.2/30

a ďalej pokračuj tak ako som ti už písal len miesto verejných IP použi tieto.

rybanapet

Tak propoj kabelem + nastavení routy funguje.

Nicméně stále se z LAN1 dostanu do LAN2 (zkouším ping z RB1 na RB2, a mělo by to fungovat jen opačně).

Co konkrétně z toho zajišťuje, aby se povolila jen jednosměrná komunikace ? Kde by mohla být chyba.

Nemá u nějakého toho chainu být místo forward - input (oprava) ?

Díky. :)

mirek_k

Tak propoj kabelem + nastavení routy funguje.

Nicméně stále se z LAN1 dostanu do LAN2 (zkouším ping z RB1 na RB2, a mělo by to fungovat jen opačně).

Co konkrétně z toho zajišťuje, aby se povolila jen jednosměrná komunikace ? Kde by mohla být chyba.

Nemá u nějakého toho chainu být místo forward - drop ?

Díky. :)

Forward je chain a drop je akce. To opravdu zaměnit nejde.

rybanapet

Tak propoj kabelem + nastavení routy funguje.

Nicméně stále se z LAN1 dostanu do LAN2 (zkouším ping z RB1 na RB2, a mělo by to fungovat jen opačně).

Co konkrétně z toho zajišťuje, aby se povolila jen jednosměrná komunikace ? Kde by mohla být chyba.

Nemá u nějakého toho chainu být místo forward - drop ?

Díky. :)

Forward je chain a drop je akce. To opravdu zaměnit nejde.

Opraveno na "input". :)

noxus28

RB sa na seba dopingajú ad1. už len kôly tomu že RB1 pingá z IP toho spoja a ad2. na to aby sa nedopingali potrebuješ pravidlá v INPUT rsp OUTPUT (čo je podla mňa zbytočné keďže sa aj tak vidia na spojovacej sieti)

Forward je už to čo prelezie do siete čiže z PC na PC rsp z PC na LAN IP RB2

rybanapet

Pořád se z PC v LAN1 dostanu třeba na sdílené složky (cokoliv) do PC v LAN2.

Přikládám printscreen firewall/filter na RB1.<--- ia0 -->propoj.png<--- ia0 -->

Na RB2 firewall/filter je "accept, forward, src. 51.0/24, dst. 0.0/20.

noxus28

pravidlá sú v poriadku, tam nie je čo riešiť - už tam aj niečo dropuje podľa počtu packetov. Len nevieme čo je pred nimi, sú v poradí až 57-58 takže by som v prvom rade skúsil ich presunúť niekam ku začiatku. Mikrotik firewall rieši pravidlá v poradí od hora dole a ak je tam niekde nejaké pravidlo ktoré povoľuje tak to do neho spadne a dole sa už nedostane.