不同网段互通

silent1900

如图1（ether1）口wan ， 2（bridge1）、3（bridge2）口lan  ，设置的不同网段，现在2、3能连接外网，但是不能互通，  怎么样才能通呢 ，求详细点

cspm333

標記沒做好,連接兩個bridge的封包被送至internet去. 匯入:
/ip firewall mangle add action=accept src-address=192.168.0.0/22 dst-address=192.168.0.0/22 place-before=0

問題就解決了.

silent1900

cspm333 发表于 2016-7-29 20:53
標記沒做好,連接兩個bridge的封包被送至internet去. 匯入:
/ip firewall mangle add action=accept src-ad ...

place-before 是什么啊

silent1900

cspm333 发表于 2016-7-29 20:53
標記沒做好,連接兩個bridge的封包被送至internet去. 匯入:
/ip firewall mangle add action=accept src-ad ...

不是太理解您的意思，能否解释下

silent1900

silent1900 发表于 2016-7-30 22:48
place-before 是什么啊

192.168.0.0/22  是什么意思？  为什么是这个网段  我按照你说的设置怎么不行呢

cspm333

silent1900 發表於 2016-7-30 23:09
不是太理解您的意思，能否解釋下

我以為您的bridge1=192.168.1.0/24 ,bridge2=192.168.2.0/24 ,以為用192.168.0.0/22 就含蓋了.
注意看才發覺bridge1=192.168.33.0/24 bridge2=192.168.1.0/24
不過這影響不大,您把192.168.33.0/24 與192.168.1.0/24 同加到address-list ,用bridge這名稱標示即可.

您的mangle路由標記應該是我想像中這樣:
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=to_eth1 passthrough=no src-address=192.168.33.0/24
add action=mark-routing chain=prerouting new-routing-mark=to_l2tp-out1 passthrough=no src-address=192.168.1.0/24

因為沒特別指定dst-address,
像src-address=192.168.33.0/24 連結dst-address=192.168.1.0/24時 ,會把封包送到eth1
像src-address=192.168.1.0/24 連結dst-address=192.168.33.0/24時 ,會把封包送到l2tp-out1
這兩種情況組合起來,自然連接不到對端的bridge.

所以您可以:
方法1:
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=to_eth1 passthrough=no src-address=192.168.33.0/24 dst-address=!192.168.1.0/24
add action=mark-routing chain=prerouting new-routing-mark=to_l2tp-out1 passthrough=no src-address=192.168.1.0/24 dst-address=!192.168.33.0/24
(因只有兩個bridge,所以用排除就好....但有3個bridge時,您就要排出所有的組合情況)

方法2:
/ip firewall mangle
add action=accept chain=prerouting src-address-list=bridge dst-address-list=bridge
add action=mark-routing chain=prerouting new-routing-mark=to_eth1 passthrough=no src-address=192.168.33.0/24
add action=mark-routing chain=prerouting new-routing-mark=to_l2tp-out1 passthrough=no src-address=192.168.1.0/24
(第一行就用accept宣告封包當屬src-address與dst-address同是菜單記錄的網段時,下面的動作全乎略.
也就第二行和第三行Rule即使不指定dst-address排除的對像,也不擔心封包被送去eth1或l2tp-out1
所以若您有多個bridge使用時,這是最佳的途逕)

silent1900

cspm333 发表于 2016-7-31 00:54
我以為您的bridge1=192.168.1.0/24 ,bridge2=192.168.2.0/24 ,以為用192.168.0.0/22 就含蓋了.
注意看才 ...

您好，按照您说得 依旧不行，我将您打的复制进去的；并且还有个现象，即便不输入您这些，两个lan口（即bridge）下的电脑 能互相远程，但无法ping通对方地址

seignior

真心不想回这贴，估计这贴之前一直晾了几天没人回复的原因都是一样的，楼主应该在先搞本ccda,ccna档次的入门教程粗略看几天，先粗略理解整个逻辑，不然别人很难和你沟通，你也很难理解别人的答复(你这问题其实很简单，属于最基本的入门操作，可以有好几种解决办法)

cspm333

樓主您給的資訊太少了,一張路由表真的不能代表什麼.
若您的環境不是小弟猜想的情況,那您就得提供更多的訊息.

silent1900

cspm333 发表于 2016-8-1 11:39
樓主您給的資訊太少了,一張路由表真的不能代表什麼.
若您的環境不是小弟猜想的情況,那您就得提供更多的訊 ...

您好  可以看下配图

cspm333

silent1900 发表于 2016-8-1 14:17
您好  可以看下配图

您的問題不在mangle ,而是nat .
做法大同小異 ,連接本地時不做srcnat偽裝.
/ip firewall address-list
add list=bridge address=192.168.33.0/24
add list=bridge address=192.168.1.0/24

/ip firewall nat
add action=accept chain=srcnat src-address-list=bridge dst-address-list=bridge place-before=0

呵呵

cspm333 发表于 2016-8-1 14:42
您的問題不在mangle ,而是nat .
做法大同小異 ,連接本地時不做srcnat偽裝.
/ip firewall address-list
...

擦，两个网关啊，就不能写个静态路由指定下位置吗，非要标记后跳转啊

silent1900

seignior 发表于 2016-8-1 03:29
真心不想回这贴，估计这贴之前一直晾了几天没人回复的原因都是一样的，楼主应该在先搞本ccda,ccna档次的入 ...

  这位大神 你是看清楚我问题了吗  

xuxi3201

nat      
add action=masquerade chain=srcnat


这样可以吗

silent1900

cspm333 发表于 2016-8-1 14:42
您的問題不在mangle ,而是nat .
做法大同小異 ,連接本地時不做srcnat偽裝.
/ip firewall address-list
...

不知道为什么还是不行ping不通，但是端口下主机能互访