» Подскажите, какие маршруты нужно прописать

urodliv
ку
Пошел по третьему решению. Случился затык. Подскажи как на микротике маршрутизировать Vlan30 b Vlan102. filter rules настроил NAT Настроил. Из Vlan30 без проблем выхожу на HP1810. регистратор из Vlan30 пингуется ,но в браузере не открывается. куда примерно копать

http://i019.radikal.ru/1409/f0/235e1a8b16cc.jpg

Цитата:

Подскажи как на микротике маршрутизировать Vlan30 b Vlan102. filter rules настроил NAT Настроил

Ты уж определись, что настраиваешь, NAT или маршрутизацию.
А точные настройки тебе подскажут в здешней теме по Микротику (на этой же странице)

vlary
Мне его еще на внешку надо бросить...но это потом.. к предыдущему посту прикрепил фото сканировал шарком. с vlan30 в vlan 102 думаю что с маршрутизацией все ок. мне кажется затык в портах

Добавлено:
Отчасти все получилось . настроил на 80 порт и его смаршрутизировал

mmx5913
Цитата:

настроил на 80 порт и его смаршрутизировал

Боже, какая прелесть!
Порты находятся на Level 4 OSI, маршрутизация - на Level 3.
Маршрутизировать их никак, можно только пробрасывать с помощью NAT.

сеть офиса 192.168.203.0
почта, инет шлюз (kerio) 192.168.203.9
драйтек офис 192.168.200.9
маски 255.255.255.0

ipsec туннель между офисом и складом
с моей стороны 192.168.200.250
со стороны склада 192.168.201.0
маски 255.255.255.0

склад сеть 192.168.201.0
роутер драйтек 192.168.201.1


филиал сеть 192.168.0.0
роутер драйтек 192.168.0.1
маски 255.255.255.0

ipsec туннель между офисом и филиалом
с моей стороны 192.168.200.250
со стороны филиала 192.168.0.0
маски 255.255.255.0

это все в рабочих группах

задача такая, у нас отключают свет (офис) мы временно переезжаем на филиал, но надо чтобы склад по удаленке работал в 1с и получал через наш почтовый 192.168.203.9 почту, то есть ходил в сеть 192.168.203.0, но она была бы за сетью филиала 192.168.0.0
То есть мы втыкаемся в свитч филиала. где подсеть 192.168.0.0 , а у нас своя сеть 192.168.203.0

Я что то запутался, мне надо чтобы мой kerio шлюз 192.168.203.9 получил инет от сети 192.168.0.0 и остальные компы мои 192.168.203.0 брали с него почту, но при этом им тоже нужен инет. А еще склад должен приходить по VPN и работать на сервере 1С который в сети 192.168.203.0.

со стороны склада в таблице маршрутизации роутера прописанно
S~ 192.168.200.0/ 255.255.255.0 via 93.xxx.xxx.xx VPN-1
S~ 192.168.203.0/ 255.255.255.0 via 93.xxx.xxx.xx VPN-1

искать сеть 192.168.200.0 и 192.168.203.0 на моем внешнем ip в vpn туннеле

но если делать туннель между складом и филиалом, тогда получается такие же сети надо прописать для туннеля со складом
примерно так
S~ 192.168.0.0/ 255.255.255.0 via 150.xxx.xxx.xx VPN-1
S~ 192.168.203.0/ 255.255.255.0 via 150.xxx.xxx.xx VPN-1

тогда по идее он будет искать мою сеть там, увидит ли он ее если я просто воткну в ихний свитч свои компы ?
какая тогда должна быть маска у моей сети 192.168.203.0 и сети филиала 192.168.0.0 чтобы они работили в одном свитче и брали инет с одного роутера 192.168.0.1

Maza777
Цитата:

увидит ли он ее если я просто воткну в ихний свитч свои компы ?

Просто так не увидит. Две разные сетки могут работать
на одном свиче и не видеть друг друга. Так что и ваша сеть, и филиала
вполне может работать на одном свитче.
Тут основной вопрос, как понимаю, интернет. Он в офисе, там вырубают свет,
как вы его притащите с собой?

vlary

Цитата:

Тут основной вопрос, как понимаю, интернет. Он в офисе, там вырубают свет,
как вы его притащите с собой?

это и есть основная проблема ,что ipsec туннели привязаны к внешним IP
Нет, инет забрать с собой не могу, там оптика. А филиал нас временно согласился приютитьи поделиться ихним инетом, в этом же и сложность, не нарушая ихнюю работу, дать возможность работать нам

для совместного инет двух сетей что надо, дать маску 255.255.0.0 роутеру ?

возможности роутера на филиале не знаю ,честно говоря я там не был никогда, поэтому как там реализовывать пока не представляю, вот готовлю несколько планов для этого.
план 1 это втыкаться в ихний свитч и делать две сети в одном свитче
план 2 очень надеюсь что на роутере будут свободные lan порты и будет возможность этот порт выделить VLAN и тогда от него пойдет кабель в мой kerio шлюз а из него уже в мой собственный свитч, таким образом сети вообще не будут пересакаться (я так делал на своем офисе, когда они к нам приезжали временно) весело у нас тут )))

но вероятнее план 1, надо разграничивать две сети и давать им инет

Maza777
Цитата:

возможности роутера на филиале не знаю

Вот то-то и оно. Я тоже не знаю возможности драйтеков.
С цисками все понятно, там можно настроить что угодно.
На складском драйтеке нужно по идее настроить еще один адрес, из сетки офиса.
Настроить НАТ, чтобы он выпускал в инет и филиал, и офис.
В офисе поменять дефолт шлюз на этот адрес драйтека.
Еще остается вопрос по поводу связи со складом. По идее, поскольку они
связаны туннелем с драйтеком в филиале, то и вашу сеть должны увидеть.

vlary
на данный момент склад и филиал между собой никак не связаны, это офис на данный момент связан и со складом и филиалом. Но если у нас на офисе пропадет свет и инет, это не будет иметь уже никакого значения.
Не знаю позволит ли драйтек создать еще один туннель для филиала с такой же сетью 192.168.203.0 которая используется сейчас в туннеле с офисом, если туннель с офисом и моей сетью будет неактивен, по идее может сказать что такой адрес уже есть, тогда прийдется удалять туннель с офисом, создавать туннель с филалом, потом когда вернемся на офис создавать все заново. Но это меня не пугает.


Цитата:

Настроить НАТ, чтобы он выпускал  в инет и филиал, и офис.
В офисе поменять дефолт шлюз на этот адрес драйтека.

при этом сети 192.168.0.0 192.168.203.0 остаются со своими масками 255.255.255.0 ?

Maza777
Цитата:

при этом сети 192.168.0.0 192.168.203.0 остаются со своими масками 255.255.255.0 ?

Конечно, сети, маски и адреса остаются.
Изменить нужно только некоторые маршруты, связи, интерфейсы.