不同网段互通
如图1(ether1)口wan , 2(bridge1)、3(bridge2)口lan,设置的不同网段,现在2、3能连接外网,但是不能互通,怎么样才能通呢 ,求详细点標記沒做好,連接兩個bridge的封包被送至internet去. 匯入:
/ip firewall mangle add action=accept src-address=192.168.0.0/22 dst-address=192.168.0.0/22 place-before=0
問題就解決了. cspm333 发表于 2016-7-29 20:53
標記沒做好,連接兩個bridge的封包被送至internet去. 匯入:
/ip firewall mangle add action=accept src-ad ...
place-before 是什么啊
cspm333 发表于 2016-7-29 20:53
標記沒做好,連接兩個bridge的封包被送至internet去. 匯入:
/ip firewall mangle add action=accept src-ad ...
不是太理解您的意思,能否解释下
silent1900 发表于 2016-7-30 22:48
place-before 是什么啊
192.168.0.0/22是什么意思?为什么是这个网段我按照你说的设置怎么不行呢
本帖最后由 cspm333 于 2016-7-31 01:00 编辑
silent1900 發表於 2016-7-30 23:09
不是太理解您的意思,能否解釋下
我以為您的bridge1=192.168.1.0/24 ,bridge2=192.168.2.0/24 ,以為用192.168.0.0/22 就含蓋了.
注意看才發覺bridge1=192.168.33.0/24 bridge2=192.168.1.0/24
不過這影響不大,您把192.168.33.0/24 與192.168.1.0/24 同加到address-list ,用bridge這名稱標示即可.
您的mangle路由標記應該是我想像中這樣:
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=to_eth1 passthrough=no src-address=192.168.33.0/24
add action=mark-routing chain=prerouting new-routing-mark=to_l2tp-out1 passthrough=no src-address=192.168.1.0/24
因為沒特別指定dst-address,
像src-address=192.168.33.0/24 連結dst-address=192.168.1.0/24時 ,會把封包送到eth1
像src-address=192.168.1.0/24 連結dst-address=192.168.33.0/24時 ,會把封包送到l2tp-out1
這兩種情況組合起來,自然連接不到對端的bridge.
所以您可以:
方法1:
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=to_eth1 passthrough=no src-address=192.168.33.0/24 dst-address=!192.168.1.0/24
add action=mark-routing chain=prerouting new-routing-mark=to_l2tp-out1 passthrough=no src-address=192.168.1.0/24 dst-address=!192.168.33.0/24
(因只有兩個bridge,所以用排除就好....但有3個bridge時,您就要排出所有的組合情況)
方法2:
/ip firewall mangle
add action=accept chain=prerouting src-address-list=bridge dst-address-list=bridge
add action=mark-routing chain=prerouting new-routing-mark=to_eth1 passthrough=no src-address=192.168.33.0/24
add action=mark-routing chain=prerouting new-routing-mark=to_l2tp-out1 passthrough=no src-address=192.168.1.0/24
(第一行就用accept宣告封包當屬src-address與dst-address同是菜單記錄的網段時,下面的動作全乎略.
也就第二行和第三行Rule即使不指定dst-address排除的對像,也不擔心封包被送去eth1或l2tp-out1
所以若您有多個bridge使用時,這是最佳的途逕)
cspm333 发表于 2016-7-31 00:54
我以為您的bridge1=192.168.1.0/24 ,bridge2=192.168.2.0/24 ,以為用192.168.0.0/22 就含蓋了.
注意看才 ...
您好,按照您说得 依旧不行,我将您打的复制进去的;并且还有个现象,即便不输入您这些,两个lan口(即bridge)下的电脑 能互相远程,但无法ping通对方地址 真心不想回这贴,估计这贴之前一直晾了几天没人回复的原因都是一样的,楼主应该在先搞本ccda,ccna档次的入门教程粗略看几天,先粗略理解整个逻辑,不然别人很难和你沟通,你也很难理解别人的答复(你这问题其实很简单,属于最基本的入门操作,可以有好几种解决办法) 本帖最后由 cspm333 于 2016-8-1 12:38 编辑
樓主您給的資訊太少了,一張路由表真的不能代表什麼.
若您的環境不是小弟猜想的情況,那您就得提供更多的訊息.
cspm333 发表于 2016-8-1 11:39
樓主您給的資訊太少了,一張路由表真的不能代表什麼.
若您的環境不是小弟猜想的情況,那您就得提供更多的訊 ...
您好可以看下配图
silent1900 发表于 2016-8-1 14:17
您好可以看下配图
您的問題不在mangle ,而是nat .
做法大同小異 ,連接本地時不做srcnat偽裝.
/ip firewall address-list
add list=bridge address=192.168.33.0/24
add list=bridge address=192.168.1.0/24
/ip firewall nat
add action=accept chain=srcnat src-address-list=bridge dst-address-list=bridge place-before=0
cspm333 发表于 2016-8-1 14:42
您的問題不在mangle ,而是nat .
做法大同小異 ,連接本地時不做srcnat偽裝.
/ip firewall address-list
...
擦,两个网关啊,就不能写个静态路由指定下位置吗,非要标记后跳转啊
seignior 发表于 2016-8-1 03:29
真心不想回这贴,估计这贴之前一直晾了几天没人回复的原因都是一样的,楼主应该在先搞本ccda,ccna档次的入 ...
:)这位大神 你是看清楚我问题了吗
nat
add action=masquerade chain=srcnat
这样可以吗 cspm333 发表于 2016-8-1 14:42
您的問題不在mangle ,而是nat .
做法大同小異 ,連接本地時不做srcnat偽裝.
/ip firewall address-list
...
不知道为什么还是不行ping不通,但是端口下主机能互访
页:
[1]
2