Winbox, rotte e amministrazione

[wmupilo]

Salve!
con RouterOs non si finisce mai!! E complimenti come sempre a tutti!
Espongo la situazione e la mia difficoltà:

Situazione:
- RB1100AHx2 con 2server PPPoE su eth2 ed eth3 che assegnano alle cpe ip da un pool 172.16.x.x ;
- su eth2 (esempio) ho un AP che ha indirizzo IP 10.x.x.x
- gestisco winbox da un PC che ha indirizzo 192.168.x.x
La mia RB1100, il PC di controllo, il bilanciatore, il radius, possiedono tutti ip 192.168.x.x
Dal PC riesco a "vedere" con ping e anche, accedendo da browser, le varie CPE (ping su 172.16.x.x)

Difficoltà:
Dalla RB riesco a fare il ping sull'AP solo se assegno alla eth2 un indirizzo IP entro 10.x.x.x
In questo caso non riesco però dal PC ad accedere con browser all'interfaccia del AP.

Non riesco proprio a settare la rotta corretta per poter amministrare l'ip 10.x.x.x

Aggiungo che per esigenze ho dovuto fare un bridge sul AP, quindi ho altri router e AP connessi con ip 10.x.x.x
Ma non riesco, col PC di controllo a raggiungerli. (da me si dice che sono "ciuccio")

Grazie del vostro tempo.

[ppraz]

Se tutti gli apparati sono nello stesso bridge ti serve avere IP della stessa subnet
Se invece sono su "broadcast domains" differenti allora ti serve un router, un oggetto cioè che abbia due interfacce (diverse) sulle due subnet diverse
Entrambi gli apparati terminali (il PC di monitoraggio e l'apparato da gestire) devono usare il router come gateway per andare verso l'altra subnet.

Fatta questa dovuta premessa per assegnare una rotta su Mikrotik devi andare nel menù IP -> Route
Aggiungi una rotta specificando la subnet di destinazione e il gateway da usare per quella destinazione.

[wmupilo]

Bene! Attivo anche la domenica! Grazie.
ottime le prime righe; sempre utile.

- Nelle rotte ce n'è una dinamica con Dst. 172.16.0.0/16 e come gateway la eth2 - credo mi consenta di "raggiungere" le CPE che sono su 172.16.x.x - dal PC (192.168.x.x) riesco a raggiungerle.

- Nelle rotte ne noto una dinamica (DAC) che ha come Dst la subnet 10.0.1.0/24 e come gateway la eth2;
così che da Terminal nella RB riesco ad eseguire ping su 10.0.1.x che è il mio AP principale.
Non riesco a farlo dal PC.

Impostandone una statica, quale dovrà essere il gateway che il mio PC (192.168.x.x) deve usare?

Piccola info di carattere generale: qualsiasi impostazione "applicata" in RB ha effetto immediato o necessita eventuali riavvii del sistema?

Grazie.

[xanio]

se imposti il masquarade in uscita per la classe 192.168.0.0/16, base che imposti una rotta statica per la classe 10.0.1.0/24 verso l'apparato con classe 192.168.0.0/16 che sa come comunicare con la 10.0.10.0/24, quindi presumo la tua RB1100AHx2.

[ppraz]

Bene! Attivo anche la domenica! Grazie.

Soprattutto la domenica, per me questo è un hobby ma dal lunedì al venerdì tocca guadagnare la pagnotta

- Nelle rotte ne noto una dinamica (DAC) che ha come Dst la subnet 10.0.1.0/24 e come gateway la eth2;

DAC significa Dynamic, Active Connected, quest'ultima è la parola chiave, è connessa direttamente, l'apparato ha un ip in quella LAN

così che da Terminal nella RB riesco ad eseguire ping su 10.0.1.x che è il mio AP principale.
Non riesco a farlo dal PC.
Impostandone una statica, quale dovrà essere il gateway che il mio PC (192.168.x.x) deve usare?

Il PC deve puntare l'IP della subnet 192.168.x.x assegnato alla routerboard cui sei connesso, attenzione che se ci sono delle mangle le regole di routing devono essere rivisitate

Piccola info di carattere generale: qualsiasi impostazione "applicata" in RB ha effetto immediato o necessita eventuali riavvii del sistema?
Grazie.

Effetto immediato, quindi ti puoi "cacciare fuori" con le tue mani :-)

[ppraz]

Dimenticavo, è vero che hanno effetto immediato, ma se ci sono regole che dipendono dalla NAT table devi andare sotto ip - firewall - connection disabilitare contrack e riabilitarlo prima che facciano effetto le suddette regole (occhio che ti perdi le sessioni nattate in quel momento)

[wmupilo]

Buongiorno! volevo "annunciare" (come in un altro topic) che escludendo il bilanciamento esterno e lavorando in toto con la RB1100Ahx2 (lan, pppoe, bilanciamento wan... ecc) non accuso più i problemi di raggiungibilità che denunciavo.

Ringrazio quindi tutti per la disponibilità.

[ppraz]

Era un problema di mangle.
Io se uso le mangle poi creo delle "sottomangle" per ripristinare il routing-mark a "main" nei casi in cui ad esempio un ip di una subnet debba raggiungere un'altra subnet