Добрый день! <br/> Не являюсь экспертом в настройке Mikrotik и, к сожалению, не нахожу решения в интернете, поэтому обращаюсь за помощью. <br/> <br/> У нас есть локальная сеть компании и один шлюз Mikrotik с NAT, который работает исправно. Адрес бриджа составляет 172.27.180.200. <br/> <br/> Теперь нам необходимо подключить смежное подразделение к интернету с условием, что у них будет доступ только к интернету, а к нашей локальной сети - нет. Для этого я использовал дополнительный Mikrotik, где настроил один порт ether6 для нового подразделения. <br/> - Выставлен статический IP-адрес - 192.168.0.1 <br/> - Настроен DHCP сервер для раздачи адресов с этого порта <br/> - Установлен маршрут 0.0.0.0 на 172.27.180.200 <br/> <br/> В результате следующая ситуация: с самого Mikrotik на 192.168.0.1 идут пинги как в локальную сеть, так и в интернет, <b>всё работает корректно.</b> Локальную сеть я позже отключу. Однако с ноутбука, подключённого к порту ether6, пинги проходят <b>ТОЛЬКО</b> в локальную сеть, а в интернет - нет. <br/> <br/> Проблема решается добавлением правила src-nat или masquerade на новом Mikrotik, и тогда интернет на конечном устройстве появляется. Без NAT не работает. <br/> <br/> Почему так происходит? Что я могу упустить? Я думал, что NAT должен осуществляться только на внешнем шлюзе, и маршруты настроены правильно, иначе пинги с самого Mikrotik в интернет не проходили бы. Почему интернет не доступен на порту ether6 без выполнения NAT на втором Mikrotik? По логике, он должен получать пакет с порта и направлять его в соответствии с маршрутом на шлюз, не меняя адрес источника. <br/> <br/> Я пробовал установить обратный маршрут на основном Mikrotik 172.27.180.200 до 192.168.0.1 - это не помогло. <br/> <br/> Подобная проблема возникала и при настройке VPN-тоннеля между другими Mikrotik. Несмотря на правильные маршруты и пинги между устройствами, доступ в интернет отсутствовал для конечных устройств.
Добрый день!
Ваш вопрос касается маршрутизации и NAT между двумя устройствами MikroTik. Попробуем разобрать вашу ситуацию.
1. **Основные моменты по сети**:
- У вас есть основной MikroTik с локальной сетью на 172.27.180.0/24 и шлюзом на 172.27.180.200, который обеспечивает доступ в интернет.
- Второй MikroTik имеет локальную сеть 192.168.0.0/24 и подключен к первому.
2. **Маршрутизация и NAT**:
- Когда устройство (например, ноутбук) в сети 192.168.0.0/24 пытается обратиться в интернет, оно посылает запрос на MikroTik 192.168.0.1. Поскольку у вас нет NAT на втором MikroTik, исходящий IP-адрес этого запроса остается 192.168.0.x.
- Когда этот запрос идет на основной MikroTik (172.27.180.200), он не знает, как обрабатывать пакеты с частной адресацией (192.168.0.x). По умолчанию он не маршрутизирует пакеты из одного сетевого сегмента в другой, если нет соответствующих правил.
3. **Почему с NAT все работает**:
- При добавлении правила src-nat или masquerade на втором MikroTik, исходящий IP-адрес пакета изменяется на IP-адрес интерфейса, через который осуществляется выход в интернет. В вашем случае это будет адрес второго MikroTik (172.27.180.200). Теперь основной MikroTik понимает, что этот пакет должен быть отправлен в интернет, так как его адресация соответствует маршруту.
4. **Резюме**:
- Для того чтобы устройства в сети 192.168.0.0 могли выходить в интернет, на втором MikroTik необходимо настроить NAT. Главный MikroTik не может знать, как маршрутизировать трафик из сети 192.168.0.0, если он не изменен с помощью NAT.
5. **Дополнительные настройки**:
- Убедитесь, что на основном MikroTik нет правил, блокирующих трафик от адресов 192.168.0.0/24.
- Если вы хотите сохранить возможность общения между сетями в будущем (например, при настройке VPN), вам нужно установить соответствующие маршруты и правила для обработки трафика.
Если вам нужно больше деталей или конкретных команд для настройки, дайте знать!
основной микротик имеет адрес 192.168.0.1/24, он же шлюз по умолчанию для всей сети 192.168.0.1/24, и тут вопросы,
- какой адрес имеет второй микротик на своем интерфейсе (ну пусть будет 192.168.0.2/24)?
- какой шлюз по умолчанию получают устройства во второй сети (тот же ноутбук)?