Verwenden Sie Mikrotik als Switch und routen Sie Subnetze über einen anderen Router

tag-icon tag-icon route mikrotik routeros
Verwenden Sie Mikrotik als Switch und routen Sie Subnetze über einen anderen Router

Ich habe folgende Netzwerkkonfiguration:

  • Comtrend 5813 FTTH-Router, verbunden mit WAN, sagen wir in 192.168.50.x (das ist die Adresse des Routers .1) und ein aktiver DHCP-Server, der Adressen von .150 bis .200 vergibt
  • Mikrotik 951G-2HnD verbunden mit dem Comtrend-Router, mit Adresse .2

Diese Konfiguration funktioniert für Ethernet. Das heißt, ich kann einen Computer an Mikrotik anschließen, und der Rechner erhält seine eigene IP-Adresse und kann im Internet surfen.

Ich muss zwei verschiedene WLANs einrichten, jedes davon in einem anderen Subnetz, 192.168.60.0/24 und 192.168.70.0/24. Dafür habe ich in Mikrotik zwei verschiedene DHCP-Server eingerichtet, die jedem virtuellen AP zugewiesen sind und auf beiden die Mikrotik-Adresse .2 haben (192.168.60.2 und 192.168.70.2).

Wenn ich ein Gerät an diese WLANs anschließe, erhalte ich zwar eine korrekte IP, aber der Datenverkehr kann nicht über den Router ins Internet weitergeleitet werden.

Ich habe versucht, verschiedene Routing-Optionen zu verwenden, aber anscheinend beherrsche ich die Architektur von Mikrotik nicht ausreichend.

Kann mir jemand dabei helfen, diese Aufgabe zu erledigen?

Danke!

Antwort1

Es klingt, als müssten Sie die Firewall so konfigurieren, dass der NAT-Verkehr auf dem Mikrotik durchgelassen wird. Das ist „Masquerading“.

Wenn Sie NAT aktivieren, aktiviert Mikrotik standardmäßig kein Masquerading und lässt daher keinen etablierten Datenverkehr durch. Sie müssen die Firewall-Regel ausdrücklich aktivieren. Ein Äquivalent in IPTABLES wäre die grundlegende Regel „alle etablierten zulassen“.

/ip firewall nat add chain=srcnat action=masquerade out-interface=Public

Dabei ist „Public“ der Name der Schnittstelle an Ihrem WAN-Port (in Ihrem Beispiel mit der IP 192.168.50.1).

Referenz: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

Antwort2

Standardmäßig verfügt Mikrotik über keine Firewall-Weiterleitungsregeln und leitet den gesamten Datenverkehr weiter (die Standardrichtlinie lautet „Akzeptieren“).

Der Mikrotik muss wissen, wohin der Datenverkehr von den drahtlosen Clients weitergeleitet werden soll. Fügen Sie eine Standardroute über Ihren FTTH-Router hinzu. Führen Sie diesen Befehl auf dem Mikrotik aus:

/ip route
add gateway=192.168.50.1

Der FTTH-Router muss wissen, wie er auf die IP-Subnetze der drahtlosen Clients antworten soll, sodass Sie im FTTH-Router statische Routen über 192.168.50.2 (bevorzugt) hinzufügen können.

  • 192.168.60.0/24 über 192.168.50.2
  • 192.168.70.0/24 über 192.168.50.2

Wenn das Hinzufügen statischer Routen zum FTTH nicht möglich ist, können Sie Mikrotik anweisen, die drahtlosen Clients per NAT zu steuern, sodass der FTTH-Router den gesamten Datenverkehr als von 192.168.50.2 ausgehend erkennt (nicht wünschenswert, doppeltes NAT ist nicht ideal).

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1

Wobei ether1 der Port ist, dem Sie die Adresse 192.168.50.2 zugewiesen haben. Tipp: /ip address export

verwandte Informationen