Мрежа с два рутера.

[sauronnet]

Здравейте, искам да изградя мрежа от два рутера като рутер А (RB951G 2Hnd)  е основен и от него ще захранва интернет. Локалната мрежа е 192.168.1.1 .

От LAN  порт на рутер А с кабел е свързан   WAN на рутер Б (RB931) на който има DHCP 192.168.2.1.  До тук всичко работи и двете мрежи имат интернет. Целта обаче е да бъдат независими-тоест да не се виждат по между си споделени ресурси и т.н. Към основния рутер А има видеонаблюдение, NAS, файлов сървър, а втория рутер Б нетрябва да вижда и съответно да достъпва тези неща.

Интересното е, че от мрежата на рутер А не се вижда мрежата на рутер Б 

 

[sauronnet]

А някой знае ли когато няма свободен порт на който да се отдели втората мрежа как се процедира ?. Може ли да се пусне на един порт две различни мрежи ? 

[yHuKyM]

А защо не го направиш само с 1 рутер, с 2 отделни LAN мрежи?

[sauronnet]

Защото wifi клиентите на рутерБ ще са с по добър обхват ( с оглед разположението на двата рутера - в отделни сгради са ) и в последствие евентуално рутер Б ще е качен на виртуалбокс 

[JohnTRIVOLTA]

Преди 2 часа, sauronnet написа:

Защото wifi клиентите на рутерБ ще са с по добър обхват ( с оглед разположението на двата рутера - в отделни сгради са ) и в последствие евентуално рутер Б ще е качен на виртуалбокс 

Човека те пита, защо на основният рутер не сетнеш 2те лан мрежи , които да ги изолираш една от друга, като едната ще я подключиш с кабел към малкият борд , който да го играе само AP ?

[gbdesign]

/ip firewall filter
add action=accept chain=forward comment="Forbid access between local networks" dst-address=192.168.1.1/24 src-address=192.168.2.0/24
add action=accept chain=forward comment="Forbid access between local networks" dst-address=192.168.2.0/24 src-address=192.168.1.1/24
add action=drop chain=forward comment="Forbid access between local networks" dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=drop chain=forward comment="Forbid access between local networks" dst-address=192.168.2.0/24 src-address=192.168.1.0/24

Пейстни това в конзолата на рутер A и набий ентер и си готов

[sauronnet]

Преди 1 час, gbdesign написа:

/ip firewall filter
add action=accept chain=forward comment="Forbid access between local networks" dst-address=192.168.1.1/24 src-address=192.168.2.0/24
add action=accept chain=forward comment="Forbid access between local networks" dst-address=192.168.2.0/24 src-address=192.168.1.1/24
add action=drop chain=forward comment="Forbid access between local networks" dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=drop chain=forward comment="Forbid access between local networks" dst-address=192.168.2.0/24 src-address=192.168.1.0/24

Пейстни това в конзолата на рутер A и набий ентер и си готов

Уникален, бърз, точен и адекватен отговор. Създаде си IP rules и само качих drop-a отгоре. Сега всичко е ОК и работи. Мерси колега . Лека вечер

А относно защо да не се направи втора лан мрежа на първия рутер - ами исках да видя как става ако лановете са на различни рутери и след време ако се сложи на виртуалка и се наложи втора, трета, четвърта мрежа да не се товари първия рутер с който ако пък нещо се случи физически да не се разпада втората лан мрежа ( клиентите от втората лан мрежа да може да се достъпват един друг дори и да нямат интернет) . Ако само първия рутер отговаря за това и раздава IP-та ,а втория е само повторител ми се разпадат и двете мрежи.

[JohnTRIVOLTA]

Мисля само това правило във вторият рутер би ти свършило по-добра работа , като условно LAN ти е интерфейса на локалната мрежа или бриджа в твоя случай!:

/ip fi fi add action=drop chain=forward dst-address=192.168.1.0/24 in-interface=LAN

Обратно правило не е нужно защото LAN е зад сорс нат.

Редактирано 1 Юни, 2018 от JohnTRIVOLTA

[sauronnet]

Още едно уточнение към колегата gbdesign.  Така написано работи ако се добави и качи дроп-а горе само че на рутер Б . А сега виждам, че ти си писал да се добави на рутер А (основния), което и по логично. Имаш ли идея какво още да се "пипне" за да може да се добави на първия рутер?

 

[gbdesign]

Нищо не трябва да се пипа по правилата, които съм написал, включително и подредбата им. Първите две правила са за да не се слага NAT на вторият рутер, че двоен NAT въпреки, че ще работи, не е добра практика. Последните 2 правила забраняват връзки между хостовете от локалните мрежи. Правилата са само за рутер А. На рутер Б няма нужда от тях. Също трябва да се добави рутинг маршрут на рутер А, който да е нещо от сорса :

/ip route
add check-gateway=ping comment="Second LAN" distance=1 dst-address=192.168.2.0/24 gateway=192.168.1.2

Където ако 192.168.1.2 не е "WAN" адреса на вторият рутер, трябва да се замени с правилният. 

[sauronnet]

Така.... На финала получи се точно както  gbdesign каза, но трябваше да махна NAT на втория рутер. Ако нямаше NAT  преди добавяне на  "/ ip route "   то  на втория рутер нямаше интернет. Евала и мерси още веднъж

[sauronnet]

Ще имам нужда о още малко помощ оносно предния ми пост. Ако не се премахне NAT на втория рутер продължава да има връзка между двете мрежи, така че например ако друг освен мен има достъп до настройките на втория рутер ( например ако споделям нета със съсед и той си администрира своя рутер ) ако добави NAT ще вижда моята мрежа. Целта ми е след мрежата на първия рутер да се създаде втора независима мрежа с втори рутер без връзка по между им. Оносно VLAN опитах  да направя  за проба guest wifi мрежа следвайки видеото по-долу - всичко е ок и работи, но отново от мрежата за гости се свързвам с основната и споделените ресурси в нея ( принтери, папки, и т.н.)

 youtube.com/watch?v=1ZJ-pM89N7o

 

[gbdesign]

Пусни носеща мрежа за вторият рутер, за да не участва в LAN мрежата на първият и добави рутинги в първият за нея. Примерно на първият рутер сложи още едно IP /най добре на отделен порт и с отделен кабел към рутер "В"/, да речем 192.168.10.1/30 а на вторият замени 192.168.1.2 със 192.168.10.2/30 и изпълни на рутер "А" следната команда:

/ip route
add check-gateway=ping comment="Second Router LAN" distance=1 dst-address=192.168.2.0/24 gateway=192.168.10.2

После промени дифолт гетъуея на рутер  "В" да стане 192.168.10.1 и това е. И недей по никакъв повод да пускаш NAT на вторият рутер. Няма смисъл от него.

Редактирано 3 Юни, 2018 от gbdesign

[sauronnet]

В общи линий разбрах но колкото и да е досадно може ли малко по-подробно създаването на нова носеща мрежа в рутер А. Създавам нов  ip address 192.168.10.1/30 и dhcp сървър  примерно за порт 5 ( ether5 ) и след като закача втория рутер на порт 5 той ще се закачи и вземе ip от мрежа 192.168.10.1 така ли ?

Редактирано 3 Юни, 2018 от sauronnet

[Viktor]

Сложи си адресите ръчно тъй като имаш /30 а това са четири адреса. Първият е мрежовия адрес 192.168.10.0, използваемите адреси са ти 192.168.10.1 и 192.168.10.2.Няма причина да пускаш DHCP за два адреса.

[sauronnet]

До момента всичко е изпълнено, ( все пак сложих dhcp ) направих ip route по описания начин, но отново си има връзка между мрежите. От рутер Б се виждат спиделените ресурси на клиентите вързани в мрежата на рутер А. Опитах да махна втория рутер и директно на порта ( в случая ether5 ) на който е сложена отделна мрежа директно да закача пс - и резултата е има си интернет, закачва се на втората мрежа 192.168.10.1 но отново с достъп ро мрежа А

Редактирано 4 Юни, 2018 от sauronnet