找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 20481|回复: 21

[基础] 不同网段互通

[复制链接]
发表于 2016-7-27 22:53:10 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
如图1(ether1)口wan , 2(bridge1)、3(bridge2)口lan  ,设置的不同网段,现在2、3能连接外网,但是不能互通,  怎么样才能通呢 ,求详细点

1

1
routeros
发表于 2016-7-29 20:53:02 | 显示全部楼层
標記沒做好,連接兩個bridge的封包被送至internet去. 匯入:
/ip firewall mangle add action=accept src-address=192.168.0.0/22 dst-address=192.168.0.0/22 place-before=0

問題就解決了.
routeros
回复

使用道具 举报

 楼主| 发表于 2016-7-30 22:48:33 | 显示全部楼层
cspm333 发表于 2016-7-29 20:53
標記沒做好,連接兩個bridge的封包被送至internet去. 匯入:
/ip firewall mangle add action=accept src-ad ...

place-before 是什么啊

点评

匯入後,擺在mangle第0 ,即最優先的位置  发表于 2016-7-31 00:16
routeros
回复

使用道具 举报

 楼主| 发表于 2016-7-30 23:09:57 | 显示全部楼层
cspm333 发表于 2016-7-29 20:53
標記沒做好,連接兩個bridge的封包被送至internet去. 匯入:
/ip firewall mangle add action=accept src-ad ...

不是太理解您的意思,能否解释下
routeros
回复

使用道具 举报

 楼主| 发表于 2016-7-31 00:40:38 | 显示全部楼层
silent1900 发表于 2016-7-30 22:48
place-before 是什么啊

192.168.0.0/22  是什么意思?  为什么是这个网段  我按照你说的设置怎么不行呢
routeros
回复

使用道具 举报

发表于 2016-7-31 00:54:17 | 显示全部楼层
本帖最后由 cspm333 于 2016-7-31 01:00 编辑
silent1900 發表於 2016-7-30 23:09
不是太理解您的意思,能否解釋下

我以為您的bridge1=192.168.1.0/24 ,bridge2=192.168.2.0/24 ,以為用192.168.0.0/22 就含蓋了.
注意看才發覺bridge1=192.168.33.0/24 bridge2=192.168.1.0/24
不過這影響不大,您把192.168.33.0/24 與192.168.1.0/24 同加到address-list ,用bridge這名稱標示即可.

您的mangle路由標記應該是我想像中這樣:
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=to_eth1 passthrough=no src-address=192.168.33.0/24
add action=mark-routing chain=prerouting new-routing-mark=to_l2tp-out1 passthrough=no src-address=192.168.1.0/24

因為沒特別指定dst-address,
像src-address=192.168.33.0/24 連結dst-address=192.168.1.0/24時 ,會把封包送到eth1
像src-address=192.168.1.0/24 連結dst-address=192.168.33.0/24時 ,會把封包送到l2tp-out1
這兩種情況組合起來,自然連接不到對端的bridge.

所以您可以:
方法1:
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=to_eth1 passthrough=no src-address=192.168.33.0/24 dst-address=!192.168.1.0/24
add action=mark-routing chain=prerouting new-routing-mark=to_l2tp-out1 passthrough=no src-address=192.168.1.0/24 dst-address=!192.168.33.0/24
(因只有兩個bridge,所以用排除就好....但有3個bridge時,您就要排出所有的組合情況)

方法2:
/ip firewall mangle
add action=accept chain=prerouting src-address-list=bridge dst-address-list=bridge
add action=mark-routing chain=prerouting new-routing-mark=to_eth1 passthrough=no src-address=192.168.33.0/24
add action=mark-routing chain=prerouting new-routing-mark=to_l2tp-out1 passthrough=no src-address=192.168.1.0/24
(第一行就用accept宣告封包當屬src-address與dst-address同是菜單記錄的網段時,下面的動作全乎略.
也就第二行和第三行Rule即使不指定dst-address排除的對像,也不擔心封包被送去eth1或l2tp-out1
所以若您有多個bridge使用時,這是最佳的途逕)

routeros
回复

使用道具 举报

 楼主| 发表于 2016-8-1 00:45:16 | 显示全部楼层
cspm333 发表于 2016-7-31 00:54
我以為您的bridge1=192.168.1.0/24 ,bridge2=192.168.2.0/24 ,以為用192.168.0.0/22 就含蓋了.
注意看才 ...

您好,按照您说得 依旧不行,我将您打的复制进去的;并且还有个现象,即便不输入您这些,两个lan口(即bridge)下的电脑 能互相远程,但无法ping通对方地址
1.png
routeros
回复

使用道具 举报

发表于 2016-8-1 03:29:32 | 显示全部楼层
真心不想回这贴,估计这贴之前一直晾了几天没人回复的原因都是一样的,楼主应该在先搞本ccda,ccna档次的入门教程粗略看几天,先粗略理解整个逻辑,不然别人很难和你沟通,你也很难理解别人的答复(你这问题其实很简单,属于最基本的入门操作,可以有好几种解决办法)
routeros
回复

使用道具 举报

发表于 2016-8-1 11:39:27 | 显示全部楼层
本帖最后由 cspm333 于 2016-8-1 12:38 编辑

樓主您給的資訊太少了,一張路由表真的不能代表什麼.
若您的環境不是小弟猜想的情況,那您就得提供更多的訊息.

routeros
回复

使用道具 举报

 楼主| 发表于 2016-8-1 14:17:25 | 显示全部楼层
cspm333 发表于 2016-8-1 11:39
樓主您給的資訊太少了,一張路由表真的不能代表什麼.
若您的環境不是小弟猜想的情況,那您就得提供更多的訊 ...

您好  可以看下配图
1.png
2.png
3.png
4.png
5.png
6.png
7.png
routeros
回复

使用道具 举报

发表于 2016-8-1 14:42:47 | 显示全部楼层
silent1900 发表于 2016-8-1 14:17
您好  可以看下配图

您的問題不在mangle ,而是nat .
做法大同小異 ,連接本地時不做srcnat偽裝.
/ip firewall address-list
add list=bridge address=192.168.33.0/24
add list=bridge address=192.168.1.0/24

/ip firewall nat
add action=accept chain=srcnat src-address-list=bridge dst-address-list=bridge place-before=0



routeros
回复

使用道具 举报

发表于 2016-8-5 14:14:51 | 显示全部楼层
cspm333 发表于 2016-8-1 14:42
您的問題不在mangle ,而是nat .
做法大同小異 ,連接本地時不做srcnat偽裝.
/ip firewall address-list
...

擦,两个网关啊,就不能写个静态路由指定下位置吗,非要标记后跳转啊

点评

您確定有從頭至尾全檢視內容過一遍嗎?  发表于 2016-8-5 14:39
routeros
回复

使用道具 举报

 楼主| 发表于 2016-8-6 01:41:11 | 显示全部楼层
seignior 发表于 2016-8-1 03:29
真心不想回这贴,估计这贴之前一直晾了几天没人回复的原因都是一样的,楼主应该在先搞本ccda,ccna档次的入 ...

  这位大神 你是看清楚我问题了吗  
routeros
回复

使用道具 举报

发表于 2016-8-6 02:16:21 | 显示全部楼层
nat      
add action=masquerade chain=srcnat


这样可以吗
routeros
回复

使用道具 举报

 楼主| 发表于 2016-8-6 03:02:24 | 显示全部楼层
cspm333 发表于 2016-8-1 14:42
您的問題不在mangle ,而是nat .
做法大同小異 ,連接本地時不做srcnat偽裝.
/ip firewall address-list
...

不知道为什么还是不行ping不通,但是端口下主机能互访
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-3-29 05:11 , Processed in 0.252827 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表