Вопрос или проблема
У меня есть две подсети на микротике с адресом 192.168.5.1 (сеть 192.168.5 и 192.168.6). Что я могу добавить в фаервол, чтобы иметь возможность пинговать сеть 192.168.6?
Ваш вопрос не совсем ясен, но вот мое толкование и ответ:
У вас есть две подсети, обе подключены к маршрутизатору Mikrotik: 192.168.5.0/24 и 192.168.6.0/24.
Сначала вам нужно назначить маршрутизатору Mikrotik адрес в обеих подсетях. Например:
> /ip address
/ip address> add interface=ether2 address=192.168.5.1/24
/ip address> add interface=ether3 address=192.168.6.1/24
Теперь маршрутизатор Mikrotik должен иметь возможность пинговать обе подсети, и все в одной сети должно иметь возможность пинговать другую, если у вас нет специальных правил фильтрации, запрещающих это.
Ответ или решение
Для того чтобы разрешить ICMP-пакеты (ping), проходящие между двумя различными подсетями, нужно учесть несколько важных моментов, которые помогут правильно настроить маршрутизацию и фильтрацию на маршрутизаторе Mikrotik. В вашем случае у вас есть две подсети: 192.168.5.0/24 и 192.168.6.0/24. Для того чтобы устройства из одной подсети могли ping-овать устройства в другой, необходимо выполнить несколько шагов:
Теория
Первым делом убедитесь, что у маршрутизатора Mikrotik есть IP-адреса в обеих подсетях. Это позволит маршрутизатору выполнять свою основную функцию передачи пакетов между этими подсетями.
Кроме того, поскольку ICMP-пакеты могут быть заблокированы на уровне брандмауэра, нужно убедиться, что правила в брандмауэре позволяют этим пакетам проходить через него. В противном случае, даже если маршрутизация настроена правильно, пакеты ICMP могут быть отброшены.
Пример
Настройка IP-адресов
-
Задайте IP-адреса для интерфейсов маршрутизатора, соединяющих его с соответствующими подсетями:
/ip address add interface=ether2 address=192.168.5.1/24 add interface=ether3 address=192.168.6.1/24Это позволит маршрутизатору принимать и отправлять пакеты в обеих подсетях.
Настройка правил брандмауэра
-
Проверьте, существуют ли какие-либо правила в брандмауэре, которые могут блокировать ICMP-трафик:
/ip firewall filterИщите правила, которые могут блокировать ICMP. Если таковые правила есть, вам следует их изменить или добавить новое правило, разрешающее ICMP.
-
Добавьте правило для разрешения ICMP-трафика между подсетями:
/ip firewall filter add chain=forward action=accept protocol=icmp src-address=192.168.5.0/24 dst-address=192.168.6.0/24 add chain=forward action=accept protocol=icmp src-address=192.168.6.0/24 dst-address=192.168.5.0/24Эти правила явно разрешают прохождение ICMP-пакетов между двумя подсетями.
Применение
Чтобы убедиться, что ваши изменения работают, выполните следующие проверки:
-
Сначала убедитесь, что устройства в обеих подсетях настроены так, чтобы использовать Mikrotik как шлюз. Например, в подсети 192.168.5.0, IP-адрес устройства шлюза должен быть настроен как 192.168.5.1, а в подсети 192.168.6.0 как 192.168.6.1.
-
После настройки убедитесь, что теперь устройства из одной подсети могут ping-овать адреса в другой подсети. Используйте команду
pingс машины в одной из подсетей, чтобы проверить доступность устройств в другой подсети. -
В случае, если пинг все еще не проходит, проверьте логи Mikrotik на наличие каких-либо сообщений, указывающих на проблемы с маршрутизацией или фильтрацией.
-
Не забудьте проверить маршрутизацию на уровне устройств на предмет возможных шлюзовых конфликтов или неправильно настроенных маршрутов, которые могли бы вмешаться в передачу пакетов.
Таким образом, сочетание правильной настройки IP-адресов и корректных правил в брандмауэре обеспечивает возможность пинговать устройства между двумя подсетями. Если описанный выше процесс выполнен корректно, ICMP-пакеты будут проходить между подсетями без проблем, обеспечивая тем самым успешный обмен данными между ними.