多个 Mikrotik 防火墙之间的路由

多个 Mikrotik 防火墙之间的路由

我有 2 个 Miktorik RouterBoard、一个 RB1100 和一个 RB951G。951G 用作我的无线盒,具有访客、内部和仅 Internet 无线网络。RB1100 有 3 个 WAN 连接(2x150/10Mb 电缆调制解调器和一个 70/20Mb VDSL 调制解调器),并为整个网络提供负载平衡、防火墙等功能。

RB1100 位于网络 192.168.0.0/24 上,而 951 有 3 个地址范围:

  • 访客 -> 192.168.87.0/24
  • 内部 -> 192.168.88.0/24
  • 仅限互联网 -> 192.168.89.0/24

我的想法是,客人受到很大的防火墙保护(有限的带宽,有限的站点等),而我则是在热点的帮助下进行工作的。

  • Internet Only 应该仅路由到互联网,可能限制某些端口,并且不应该在 192.168.0.0/24 网络上看到任何内容。
  • 内部应该可以访问互联网和 192.168.0.0/24 网络,并且 192.168.0.0/24 网络上的任何东西都应该能够看到 192.168.88.0/24 网络...

我的 Internet Only 部分可以正常工作,但我意外清除了路由器配置(哎呀)但我从未设法正确设置内部网络......

目前我已启用 NAT,这使我能够从 88.0/24 网络查看 192.168.0.0/24 网络上的所有机器,但 0.0/24 无法看到 88.0/24 网络...

我知道我需要对路线做些什么,但即使我有了路线,也有一些东西不允许我看到机器(wifi 上的笔记本电脑无法看到有线上的桌面)。

那么,我哪里错了?

再次抱歉,我无法发布确切的配置...在防火墙规则搞砸后丢失了它...

答案1

好的,感谢 DKNUKLES 的回答,但这个问题更多的是我这边的配置问题...我最终在路由器上添加了 2 个路由项,一个在 1100 上,一个在 951 上。951 说将所有流量 (0.0.0.0/0) 路由到 RB1100。RB1100 有一条路由将所有 192.168.88.0/24 流量指向 951 的 IP。但仍然没有解决...

问题出在我的预路由上。由于我有多个 WAN 连接,而且我的预路由采用循环方式,如果不是 192.168.0.0/24 网络,网络上的所有流量都会被路由到其中一个 WAN 端口。因此,在我的预路由块末尾,我添加了一条规则,任何带有连接标记的去往 192.168.88.0/24 的流量都会被清除其连接标记。这绕过了负载平衡规则并允许流量进入正确的区域...我在运行跟踪路由时意识到情况可能就是这样。从一台未连接 WiFi 的机器到一台连接 WiFi 的机器,我被路由到我的一台调制解调器...无论如何,一切都解决了...我现在可以从 192.168.88.0 网络访问机器,它们可以看到 192.168.0.0 网络中的机器。快乐的日子!

答案2

对于仅访问互联网的组,您可以创建一条防火墙规则,规定应丢弃来自该“访客”网络并发往您内部网络的所有流量。请确保创建一条规则以丢弃来自该子网的所有输入流量,因为您不希望有人篡改您的路由器(或至少试图篡改...)

对于您的无线网络,您可以通过两种方式来实现这一点。

  1. 您可以设置连接两个网络(无线和受信任的有线客户端)的路由 - 类似于站点到站点的 VPN 路由。这样做的缺点是您将丢失源地址,并且所有流量都将显示为来自“路由”网络。
  2. 您可以将无线路由器设置为从 RB1100 接收 DHCP 地址作为 DHCP 中继。这样您就可以保留源地址并授予对无线网络的访问权限。然后,您可以根据需要操纵流量。

如果我正确理解了您的问题,您不需要 NAT 来完成您希望做的事情,因为 MikroTik 会为您处理路由。

相关内容