返回列表 發帖

【RouterOS】——内网跨网段访问实例-添加静态路由

分析:现在网络应用越来越多,跨网段访问经常也是我们遇到的情况,现在根据ROUTEROS配置环境进行跨网段访问。
拓扑图:

需求:现在是要PC1(192.168.1.33)和PC2(192.168.2.50)能够互相ping通

环境说明:Router1通过wan接口进行Adsl拨号上网,启用NAT,其他端口通过Bridge1进行桥接
                Router2通过ether1口(192.168.1.188),网关192.168.1.251上网,没有启用NAT转换(后面还有补充)。
                PC1,PC2,PC3测试均可上网。
                Router1\Router2均为RouterOS,其他路由(TP-Link745N测试不可行)
思路:实际测试,PC2(PC3)默认情况下已经可以Ping得通PC1(192.168.1.33)
         因为数据包PC2发送到PC1的数据包:Src:192.168.2.50 Dst:192.168.1.33
          数据包从ether1出去后(有路由跟踪)就进行广播,PC1收到广播(ping包)后,就返回数据包:      
          Src:192.168.1.33 Dst:192.168.2.50,ehter1收到包后,(路由跟踪?)把数据通过Bridge1回到PC2了,
          所以就能Ping通。
          PC1对PC2进行Ping操作后,发送数据包:Src:192.168.1.33 Dst:192.168.2.50,广播域内没有  
          192.158.2.0/24地址,直接把数据包通过默认网关ADSL送到外网去了,所以就不通。
          现在就是要通过静态路由,把192.168.2.0/24的数据都发送到192.168.1.188,然Router2进行查询
          自己的路由表,  
  
           进行广播,发送到ether2的Bridge1的内部。
操作步骤:
在Router1添加一条Dst.Address:192.168.2.0/24,Gatway:192.168.1.188的静态路由就可以了。

补充:已经尝试,在Router2启用NAT,两边数据Ping互通。
附件: 您需要登錄才可以下載或查看附件。沒有帳號?註冊

回復 7# colin2001

可能就是这样的原因。

TOP

回復 6# colin2001

Rules number 5是默认的,不是我自己加的。

TOP

第一个数据包过了后的连接状态是established

TOP

你第五条是干嘛的?系统默认参数吗?connection-state=new 是新建的连接才会有的状态,如果第一个数据包过了。。这条过滤就没有效果了!

TOP

本帖最後由 角色 於 2015-5-26 13:50 編輯

终于知道什么原因,为什么routerOS可以,而一般的Router不可以呢?

请大家看看我的RB951的/ip firewall filter,如下:
  1. [admin@MikroTik] > /ip firewall filter print
  2. Flags: X - disabled, I - invalid, D - dynamic
  3. 0    ;;; default configuration
  4.       chain=input action=accept protocol=icmp log=no log-prefix=""

  5. 1    ;;; default configuration
  6.       chain=input action=accept connection-state=established,related log=no
  7.       log-prefix=""

  8. 2    ;;; default configuration
  9.       chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

  10. 3    ;;; default configuration
  11.       chain=forward action=accept connection-state=established,related log=no
  12.       log-prefix=""

  13. 4    ;;; default configuration
  14.       chain=forward action=drop connection-state=invalid log=no log-prefix=""

  15. 5 X  ;;; default configuration
  16.       chain=forward action=drop connection-state=new
  17.       connection-nat-state=!dstnat in-interface=ether1-gateway log=no
  18.       log-prefix=""
  19. [admin@MikroTik] >
複製代碼
把上的number 5的firewall filter rule disabled,就可以,还有NAT要和不要都可以通。

还有一个现象就是,如果原先是通的,而把 number 5的rule disabled,那么ping的动作依然继续通,那么它们的路径都被router记录下来,链表暂时不更新。

如果不通后,再把rule 5 enabled,那么ping可以从不通变换成通。

TOP

本帖最後由 角色 於 2015-5-25 23:24 編輯

我的拓扑图跟你差不多,但是PC1只能ping到Router 2的Bridge1,而不能ping到PC2(PC3)。

TOP

本帖最後由 角色 於 2015-5-25 23:18 編輯

写得不错!

PC2和PC3的IP Address是一样,估计你是打错。

TOP

如果错误,请大侠们指正。。。

思路部分有点混乱,譬如路由跟踪和查询路由表等,不知道是不是这样。。望请教!

TOP

返回列表