Configurazione rete casalinga Mikrotik + Fastgate

[synetack]

Salve a tutti,
avrei bisogno di un aiuto per la configurazione di un Mikrotik dietro un router Fastgate, l'idea è di gestire la lan domestica con il Mikrotik.
La configurazione a cui vorrei arrivare è la seguente:
Fastgate:
eth1:192.168.1.254

Mikrotik:
eth1:192.168.1.253 collegato al fastgate tramite uno switch
eth2:192.168.0.1 LAN interna

Ho fatto le seguenti configurazioni ma se provo a fare un ping dal Mikrotik verso 8.8.8.8 mi da no route to host

Codice: Seleziona tutto

[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         INTERFACE
0   192.168.1.253/32   255.255.255.0   ether1
1   192.168.0.1/32     255.255.255.0   ether2

Codice: Seleziona tutto

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0   S  0.0.0.0/0          192.168.1.254   ether1                    1
1 A S  192.168.0.0/24                     ether2                    1
2 A S  192.168.1.0/24                     ether1                    1
3   S  192.168.31.10/32                   192.168.1.164             1
4 ADC  255.255.255.0/32   192.168.1.253   ether1                    0
                                           ether2

Qualche ping/traceroute dal Mikrotik:

Codice: Seleziona tutto

[admin@MikroTik] > ping 192.168.1.254
  SEQ HOST                                     SIZE TTL TIME  STATUS
    0 192.168.1.254                              56  64 0ms
    1 192.168.1.254                              56  64 0ms
    2 192.168.1.254                              56  64 0ms
    sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms

[admin@MikroTik] > ping 192.168.1.167    <---- PC attestato su fastgate
  SEQ HOST                                     SIZE TTL TIME  STATUS
    0 192.168.1.167                              56 128 0ms
    1 192.168.1.167                              56 128 0ms
    sent=2 received=2 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms

[admin@MikroTik] > ping 8.8.8.8
  SEQ HOST                                     SIZE TTL TIME  STATUS
    0                                                         no route to host
    1                                                         no route to host
    sent=2 received=0 packet-loss=100%

[admin@MikroTik] > tool traceroute 8.8.8.8
# ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS
1                                  100%    1 timeout
2                                  100%    1 timeout
3                                    0%    1     0ms


Ping da 192.168.1.167 (attestato sul fastgate)

Codice: Seleziona tutto

C:\>ping 192.168.1.253

Esecuzione di Ping 192.168.1.253 con 32 byte di dati:
Risposta da 192.168.1.253: byte=32 durata<1ms TTL=64
Risposta da 192.168.1.253: byte=32 durata<1ms TTL=64


C:\>ping 192.168.0.1

Esecuzione di Ping 192.168.0.1 con 32 byte di dati:
Risposta da 192.168.0.1: byte=32 durata<1ms TTL=64
Risposta da 192.168.0.1: byte=32 durata<1ms TTL=64


Dove sbaglio ?

Grazie!

[radiation]

Perché /32??
Devi mettere /24 e comunque ti manca il masquerade dei pacchetti in uscita da eth1

[synetack]

Ciao Andrea,
innanzitutto grazie mille della risposta, dove è impostato /32 ? sia nelle rotte che nella configurazione degli indirizzi ip mi sembra sia impostata una /24 o forse intendevi altro ?

Il masqurade non viene fatto direttamente dal router fastweb in uscita dalla sua WAN ? considera che mikrotik e router fastweb non sono in bridge.

Grazie

[ppraz]

Gli indirizzi IP cui si riferisce Andrea sono quelli che hai assegnato alle due interfacce ether1 e ether2

Codice: Seleziona tutto

[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         INTERFACE
0   192.168.1.253/32   255.255.255.0   ether1
1   192.168.0.1/32     255.255.255.0   ether2


Hai dichiarato gli IP come /32 ma le network come /24
Questo ti comporta un problema nelle rotte

Codice: Seleziona tutto

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0   S  0.0.0.0/0          192.168.1.254   ether1                    1
1 A S  192.168.0.0/24                     ether2                    1
2 A S  192.168.1.0/24                     ether1                    1
3   S  192.168.31.10/32                   192.168.1.164             1
4 ADC  255.255.255.0/32   192.168.1.253   ether1                    0
                                           ether2


Come vedi la rotta 0 non è attiva, per il motivo che lui non sa come raggiungere il gateway 192.168.1.254
Correggi gli IP e tutto funzionerà.

Sempre nelle rotte hai qualche problema.
Le rotte 1 e 2 le hai aggiunte tu staticamente, non va bene, quelle devono essere DAC ossia automatiche a metrica 0.
Infine la rotta 4 non ho idea del perché sia lì, è una rotta non-sense

Non dimenticare quello che ti ha detto Andrea relativamente alla "masquerade" ossia la nat per la rete interna

[synetack]

Ciao Ppraz,
grazie anche a te della spiegazione

Hai dichiarato gli IP come /32 ma le network come /24
Questo ti comporta un problema nelle rotte

quella barra /32 alla fine dell'IP mi sembrava strano ma di fatto da winbox (menu ip>addresses) non avevo fatto altro che mettere address con il solo IP e netmask la /24, ho sbagliato qualcosa in questo punto ?

Come vedi la rotta 0 non è attiva, per il motivo che lui non sa come raggiungere il gateway 192.168.1.254
Correggi gli IP e tutto funzionerà.

Di fatto lui sa come raggiungere il 192.168.1.254, tant'è che riesce a pingarlo anche se quello che dici riguardo le rotte mi torna nel senso che: essendo collegato direttamente sulla rete 192.168.0.0/24 e 192.168.1.0/24 mi aspettavo di pingare senza problemi le macchine ma cosi non è stato per questo ho provato ad aggiungere la rotta 1 e 2 staticamente, la rotta 3 era solo una prova mentre la 4 non ho idea neanche io del perché sia li, me la da come dynamic e non ho neanche modo di cancellarla, inizialmente nella mia tabella di routing era presente solo la rotta 4.

Non dimenticare quello che ti ha detto Andrea relativamente alla "masquerade" ossia la nat per la rete interna

Qui mi sfugge qualcosa, pensavo che il nat mi servisse solo dal fastgate ---> Internet mentre, dal Mikrotik ----> Fastgate bastasse il routing normale dove sbaglio ?

Grazie ancora.

[synetack]

quella barra /32 alla fine dell'IP mi sembrava strano ma di fatto da winbox (menu ip>addresses) non avevo fatto altro che mettere address con il solo IP e netmask la /24, ho sbagliato qualcosa in questo punto ?

Ho capito dove ho sbagliato, non avevo visto che nel campo address dovevo inserire al /24... :/

[synetack]

Ho resettato la configurazione e sono ripartito inserendo gli indirizzi con la /24,

[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.1.253/24 192.168.1.0 ether2
1 192.168.0.1/24 192.168.0.0 ether3

Ora come è giusto che sia le due direttamente connesse me le configura in automatico, ed ho aggiunto solo la default

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.1.254 1
1 ADC 192.168.0.0/24 192.168.0.1 ether3 0
2 ADC 192.168.1.0/24 192.168.1.253 ether2 0

Non ho configurato il masquerading ma come mi aspettavo riesco comunque ad uscire su internet

[admin@MikroTik] > ping 8.8.8.8
SEQ HOST SIZE TTL TIME STATUS
0 8.8.8.8 56 56 20ms
1 8.8.8.8 56 56 19ms
sent=2 received=2 packet-loss=0% min-rtt=19ms avg-rtt=19ms max-rtt=20ms

Nella mia configurazione in cui il router che esce su internet non è il mikrotik ma il fastgate ha senso il masquerading ?? questa cosa mi sfugge.

Comunque grazie del supporto, per una svista ho perso una serata

[radiation]

Se hai usato il wizard lo ha messo in automatico. Diversamente il Mikrotik non ti fa uscire.
Controlla le regola firewall, nat e vedrai che sarà presente un masquerade sull'interfaccia WAN (ETH1 mi sembra che hai usato) oppure sulla subnet del modem.

[synetack]

Ciao Radiation,
non ho usato il wizard ma alla fine ho dovuto configurare il masqurade perché di fatto dal mikrotik riuscivo ad uscire, ossia pingavo 8.8.8.8, mentre da un pc collegato sulla network 192.168.0.0/24 (quella dietro il mikrotik) non riuscivo ad uscire su internet, una volta configurato il masqurading sono riuscito a pingare 8.8.8.8 anche dal pc, però non ti nego che non mi è ancora chiaro perché devo configurare il masquerading sul Mikrotik quando non è lui direttamente attestato su internet.

Grazie per il supporto.

[radiation]

Perchè stai usando una doppia NAT: Su internet ti presenti con la subnt del modem, sul modem ti presenti con la subnet del mikrotik