Board logo

標題: 【RouterOS】——内网跨网段访问实例-添加静态路由 [打印本頁]
作者: colin2001    時間: 2015-5-25 21:51     標題: 【RouterOS】——内网跨网段访问实例-添加静态路由

分析:现在网络应用越来越多,跨网段访问经常也是我们遇到的情况,现在根据ROUTEROS配置环境进行跨网段访问。
拓扑图:
[attach]3559[/attach]
需求:现在是要PC1(192.168.1.33)和PC2(192.168.2.50)能够互相ping通

环境说明:Router1通过wan接口进行Adsl拨号上网,启用NAT,其他端口通过Bridge1进行桥接
                Router2通过ether1口(192.168.1.188),网关192.168.1.251上网,没有启用NAT转换(后面还有补充)。
                PC1,PC2,PC3测试均可上网。
                Router1\Router2均为RouterOS,其他路由(TP-Link745N测试不可行)
思路:实际测试,PC2(PC3)默认情况下已经可以Ping得通PC1(192.168.1.33)
         因为数据包PC2发送到PC1的数据包:Src:192.168.2.50 Dst:192.168.1.33
          数据包从ether1出去后(有路由跟踪)就进行广播,PC1收到广播(ping包)后,就返回数据包:      
          Src:192.168.1.33 Dst:192.168.2.50,ehter1收到包后,(路由跟踪?)把数据通过Bridge1回到PC2了,
          所以就能Ping通。
          PC1对PC2进行Ping操作后,发送数据包:Src:192.168.1.33 Dst:192.168.2.50,广播域内没有  
          192.158.2.0/24地址,直接把数据包通过默认网关ADSL送到外网去了,所以就不通。
          现在就是要通过静态路由,把192.168.2.0/24的数据都发送到192.168.1.188,然Router2进行查询
          自己的路由表,  
[attach]3560[/attach]  
           进行广播,发送到ether2的Bridge1的内部。
操作步骤:
在Router1添加一条Dst.Address:192.168.2.0/24,Gatway:192.168.1.188的静态路由就可以了。
[attach]3561[/attach]
补充:已经尝试,在Router2启用NAT,两边数据Ping互通。
作者: colin2001    時間: 2015-5-25 21:53

如果错误,请大侠们指正。。。

思路部分有点混乱,譬如路由跟踪和查询路由表等,不知道是不是这样。。望请教!
作者: 角色    時間: 2015-5-25 23:12

本帖最後由 角色 於 2015-5-25 23:18 編輯

写得不错!

PC2和PC3的IP Address是一样,估计你是打错。
作者: 角色    時間: 2015-5-25 23:17

本帖最後由 角色 於 2015-5-25 23:24 編輯

我的拓扑图跟你差不多,但是PC1只能ping到Router 2的Bridge1,而不能ping到PC2(PC3)。
作者: 角色    時間: 2015-5-26 00:24

本帖最後由 角色 於 2015-5-26 13:50 編輯

终于知道什么原因,为什么routerOS可以,而一般的Router不可以呢?

请大家看看我的RB951的/ip firewall filter,如下:
  1. [admin@MikroTik] > /ip firewall filter print
  2. Flags: X - disabled, I - invalid, D - dynamic
  3. 0    ;;; default configuration
  4.       chain=input action=accept protocol=icmp log=no log-prefix=""

  6. 1    ;;; default configuration
  7.       chain=input action=accept connection-state=established,related log=no
  8.       log-prefix=""

  10. 2    ;;; default configuration
  11.       chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

  13. 3    ;;; default configuration
  14.       chain=forward action=accept connection-state=established,related log=no
  15.       log-prefix=""

  17. 4    ;;; default configuration
  18.       chain=forward action=drop connection-state=invalid log=no log-prefix=""

  20. 5 X  ;;; default configuration
  21.       chain=forward action=drop connection-state=new
  22.       connection-nat-state=!dstnat in-interface=ether1-gateway log=no
  23.       log-prefix=""
  24. [admin@MikroTik] >
複製代碼
把上的number 5的firewall filter rule disabled,就可以,还有NAT要和不要都可以通。

还有一个现象就是,如果原先是通的,而把 number 5的rule disabled,那么ping的动作依然继续通,那么它们的路径都被router记录下来,链表暂时不更新。

如果不通后,再把rule 5 enabled,那么ping可以从不通变换成通。
作者: colin2001    時間: 2015-5-26 02:41

你第五条是干嘛的?系统默认参数吗?connection-state=new 是新建的连接才会有的状态,如果第一个数据包过了。。这条过滤就没有效果了!
作者: colin2001    時間: 2015-5-26 02:42

第一个数据包过了后的连接状态是established
作者: 角色    時間: 2015-5-26 13:51

回復 6# colin2001

Rules number 5是默认的,不是我自己加的。
作者: 角色    時間: 2015-5-26 13:51

回復 7# colin2001

可能就是这样的原因。



歡迎光臨 電訊茶室 (http://telecom-cafe.com/forum/) Powered by Discuz! 7.2