Mikrotik CRS125 beállítása routerként

Sziasztok!

 

Egy helyi hálózaton belül szeretnék csinálni egy elkülönített hálózatot. A helyi hálózat legyen 10.0.0.0/8, az elkülönített pedig 192.168.1.0/24.

Létrehoztam egy bridge-et, amiben az ether1-en kívül az összes port van, ennek adtam a 192.168.1.1 címet, az ether1-nek pedig 10.0.0.1-et.

Létrehoztam egy forrás nat szabályt, aminek a külső interfésze az ether1 (WAN lista tartalmazza):

chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none

Engedélyeztem a https-t, tiltottam a http-t. A belső interfészekről rá is tudok csatlakozni a router webes felületére, de az ether1 felől nem. A www-ssl szolgáltatásnál nem korlátoztam, honnan érhető el.

Ha a routeren próbálok pingelni, a bridge-et beállítva forrásnak, kilátok az Internetre is. Ha az ether1-et állítom be forrásnak, nem látom sem az Internetet, sem a 10.0.0.0-s hálózatot, és persze a 10.0.0.0-s hálózatból sem érem el a router 10.0.0.1-es címét. icmp engedélyezve van, megkötések nélkül.

Tűzfalszabályok:

chain=forward action=passthrough

chain=input action=accept connection-state=established,related,untracked

chain=input action=drop connection-state=invalid

chain=input action=accept protocol=icmp log=no log-prefix=""

chain=input action=accept protocol=tcp dst-port=443 log=no log-prefix=""

chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""

chain=input action=drop in-interface-list=!LAN log=yes log-prefix=""

...

Valójában csak a második és az ötödik szabályon jelez csomagokat. Amikor a 10.0.0.1-et próbálom pingelni, nem jelez csomagokat a drop sorokon sem.

Hogyan érhetem el az ether1 interfészt?

Hozzászólások

Ha az első sort
    chain=forward action=accept
tartalomra változtatod, akkor jobb lesz?

a CRS125 az switch.
Nem mondom, hogy pár 10mbps internettel nem fogod tudni használni, de ennél többet NE VÁRJ tőle.

Routing tábla mit mutat? WAN oldalon mi a cím/subnet? Nincs ott ütközés az ether1-el?

Routing tábla:
 

#     DST-ADDRESS     PREF-SRC    GATEWAY      DISTANCE

0 A S ;;; def. gw
      0.0.0.0/0                   10.0.0.254   1
1 ADC 10.0.0.0/8      10.0.0.1    ether1       0
2 ADC 192.168.1.0/24  192.168.1.1 in-bridge    0

A router wan oldala a 10.0.0.1, ez az ether1 címe. Nem teljesen értem a kérdésedet.

A 10.0.0.254 is rendben van, az a kijárat az Internet felé.

Az zavaros egy kicsit nekem, hogy így kezded: "Egy helyi hálózaton belül szeretnék csinálni egy elkülönített hálózatot. A helyi hálózat legyen 10.0.0.0/8"

Ehhez képest utána WAN hálózatként hivatkozol a 10.0.0.0/8-ra. Most akkor a kettő egy és ugyanaz? A /8 netmask honna jön? A szolgáltatód mit adott meg?

Egy meglévő hálózatban akarom a routert lecserélni, mert elavult. Jelenleg így van kialakítva a hálózat elkülönítése. VPN-nel lehet hozzáférni a jogosultaknak a belső hálózathoz. Természetesen át lehetne szervezni a javasolt változatra is, de nem biztos, hogy ez oldja meg a problémámat (a belső interfészekről kijutok a külső lanba, sőt, az Internetre is).

VAna  mikrotikben quick sniffer, amivel jól lehet ezeket debuggolni. Próbáld a pinget, miközben ezt futtatod:

/tool sniffer quick interface=ether1 ip-protocol=icmp

Itt van infó, hogy még mivel lehet szűrni a snifferben:

https://wiki.mikrotik.com/wiki/Manual:Tools/Packet_Sniffer