我有一个非常简单的网络。我有两个 LAN 网络(192.168.2.0/24 和 192.168.3.0/24),它们通过每个站点的路由器连接,路由器通过交换机连接。
http://postimg.org/image/3y1uysszn/
路由器是 MIKROTIK,交换机是一些现成的设备。我已经设置了所有路由,删除了所有防火墙,但我仍然无法从一台 PC ping 到另一台 PC。奇怪的是,当我使用 MIKROTIK 的 IP 扫描工具时,它会找到所有设备,但当我尝试从站点 2 的 PC ping 时,我无法超过 172.30.2.222。
如果我禁用站点 2 上的 LAN 和 WAN 之间的桥接,我可以(从站点 2 上的 PC)ping 通站点 3 上的 LAN IP:192.168.3.50。同时,我无法从站点 3 上的 PC ping 通 LAN IP:192.168.2.1。如果我重新启用站点 2 上的桥接,我再次无法从站点 2 获得 172.30.2.222 以外的任何地址。
有人知道我做错了什么吗? mikrotik 路由器中的 PING 是否以某种方式被禁用了?
配置:
[admin@ENG. SITE 3] >> /ip address export
/ip address
add address=192.168.3.1/24 comment="default configuration" interface=\
"ETH. 2 LAN" network=192.168.3.0
add address=172.30.2.222/24 interface="ETH. 1 WAN" network=172.30.2.0
[admin@ENG. SITE 3] >> ip route export
/ip route
add distance=1 gateway=172.30.2.221 add distance=1 dst-address=172.30.2.0/32 gateway="ETH. 1 WAN"
add distance=1 dst-address=192.168.2.0/24 gateway="ETH. 1 WAN"
[admin@ENG. SITE 3] >> ip firewall export
/ip firewall filter
add chain=input comment="default configuration" disabled=yes protocol=icmp
add chain=input comment="default configuration" connection-state=established \
disabled=yes
add chain=input comment="default configuration" connection-state=related \
disabled=yes
add action=drop chain=input comment="default configuration" disabled=yes \
in-interface="ETH. 1 WAN"
add chain=forward comment="default configuration" connection-state=established \
disabled=yes
add chain=forward comment="default configuration" connection-state=related \
disabled=yes
add action=drop chain=forward comment="default configuration" connection-state=\
invalid disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface="ETH. 1 WAN"
[admin@ENG. SITE 2] > ip address export
/ip address
add address=192.168.2.1/24 comment="default configuration" interface "ETH. 2 LAN" network=192.168.2.0
add address=172.30.2.221/24 interface="ETH. 1 WAN" network=172.30.221.0
[admin@ENG. SITE 2] > ip route export
/ip route
add disabled=yes distance=1 gateway=172.30.2.222
add distance=1 dst-address=192.168.3.0/24 gateway="ETH. 1 WAN"
[admin@ENG. SITE 2] > ip firewall export
/ip firewall filter
add chain=forward comment="default configuration" connection-state=e disabled=yes
add chain=forward comment="default configuration" connection-state=r disabled=yes
add action=drop chain=forward comment="default configuration" connec invalid disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface="ETH. 1 WAN"
答案1
您的静态路由无效。
您需要从两个站点删除所有静态路由,并在每个路由器上添加以下路由:
在 SITE2 上运行:
/ip route add dst-address=192.168.3.0/24 gateway=172.30.2.222
在 SITE3 上运行:
/ip route add dst-address=192.168.2.0/24 gateway=172.30.2.221
此外,桥接器也是不必要的,因此也应将其删除。
您还应删除masquerade中的规则Firewall > NAT。您不需要这样做,因为路由器之间有静态路由,并且两个网络可以互相访问。
其余的防火墙规则看起来正常,因此启用它们不会造成干扰。