关于同一路由器两个网段互访问的问题

Seven

5.7的版本
3块网卡
a接外网
b是192.168.0.254
c是10.10.10.1

目标是b,c网段可以互访。

接在b,c上的机子都可以正常上网，不同的是b上启用了hotspot，认证后可以正常上网，c上就是简单的masquerade后，不用认证，也可以正常上网
在c网段上可以ping通192.168.0.254，但不能ping通其它b网段的机子，
做操作如下，依然不行，请大家指教，谢谢！！

1. 
   
2. 在IP firewall Nat　中新两个Nat规则
   
3. (1)   ====General====
   
4. chain: srcnat
   
5. src. Address:192.168.0.0/24
   
6. dst. Address:10.10.10.0/24
   
7. ====Action====
   
8. Action:src-nat
   
9. To Addresses:10.10.10.1
   
10. 
    
11. (2)  ====General====
    
12. chain:srcnat
    
13. src. Address:10.10.10.0/24
    
14. dst. Address:192.168.0.0/24
    
15. ====Action====
    
16. Action:src-nat
    
17. To Addresses:192.168.0.254

复制代码

peckpock

写路由策略试下

yunwa0429

这个我也想知道应该怎么设才对

Seven

谢谢2楼回复，但对于不熟悉ROS的我来说，您的回复帮助不大，5.7版本里我都找不到policy-route这一项

根据我的理解，两个网段要互访，在路由器上是一定要有到两个网段的路由，静态或动态路由的区别
那么我的问题应该用静态路由就可以了，可是我在ip-route里加了两条路由一是目标b网段，网关是b的网关，prief.source是c的网关，同理又加了另一条路由，目标是c的网段，网关是c的网关，prief.source是b的网关。
还是不能访问。

Seven

思来想去，很有可能跟我B网段启用了hotspot有关系，但是不太懂会是什么情况导致的。继续学习。

newmean

masquerade   不要写源地址，只出out interface就行了

Seven

谢谢6楼，按照你的方法，
目标地址是b，outinterface 写上c的网关,用masquerade
目标地址是c，outinterface 写上b的网关,用masquerade

还是不能ping通。。。。

yus

你是多线么？

Seven

yus 发表于 2012-2-16 10:49

                               
登录/注册后可看大图

你是多线么？

这个多线是什么？
我是一条线接外网，两条线接内网，两个内网一个需要通过hotspot认证后上网，另一个不用认证直接上网，我现在想要两个内网互访。

yus

这个看你hotspot有没有开DHCP，如果web认证的电脑是经过DHCP获取的话，应该是可以的

Seven

yus 发表于 2012-2-16 10:54

                               
登录/注册后可看大图

这个看你hotspot有没有开DHCP，如果web认证的电脑是经过DHCP获取的话，应该是可以的

是的，hotspot和另一个内网都是用不同的DHCP分配IP地址的，hotspot分别的是192.168.0.0/24另一个是10.10.10.0/24

47771885

首先 需要排除

/ip hotspot walled-garden ip
（是否放行 如没有那么 默认只能ping 通已认证登陆IP）

/ip firewall nat （如果需要显示真实IP 互通）

/ip firewall filter (无阻止)

/ip firewall mangle （是否有多线路标记路由策略）

以下代码适当修改 置顶

1. /ip hotspot walled-garden ip
   
2. add action=accept disabled=no dst-address=10.10.10.0/24 src-address=192.168.0.0/24
   
3. 
   
4. /ip firewall address-list
   
5. add address=192.168.0.0/24 disabled=no list=acc
   
6. add address=10.10.10.0/24 disabled=no list=acc
   
7. 
   
8. /ip firewall filter
   
9. add action=accept chain=forward disabled=no dst-address-list=acc src-address-list=acc
   
10. 
    
11. /ip firewall nat
    
12. add action=accept chain=srcnat disabled=no dst-address-list=acc src-address-list=acc
    
13. 
    
14. /ip firewall mangle
    
15. add action=accept chain=prerouting disabled=no dst-address-list=acc src-address-list=acc

复制代码

yus

额，没有看清楚，是要访问没有认证的IP？这样的话按楼上的做法对放行内网数据就OK了

Seven

47771885 发表于 2012-2-16 11:19

                               
登录/注册后可看大图

首先 需要排除

/ip hotspot walled-garden ip

谢谢版主回复

已经按照内容进行了操作，很遗憾，目前还是没有实现互访联通。

我的疑问是
/ip firewall address-list
add address=192.168.0.0/24 disabled=no list=acc
add address=10.10.10.0/24 disabled=no list=acc

在增加地址列表时，两个列表的名称是一样的，这是有意为之？还是版主一时手误？
我考虑修改两个名字时就有些糊涂了，不知道下面那些应用地址列表时，应该怎么理解了。


另，在walled-garden中的操作为什么只接受了目标地址为10，源地址为192的通过，而没有接受目标地址为192，源地址为10的？

Seven

问题解决！把10.10.10.0换成192.168.1.0，两个网段就通了，个人感觉很奇怪的事情，难不成跟掩码有关？
版主的那些代码不使用也可以通，使用后还是不能PING通未经过验证的IP，这个还要再仔细的试一下，今天不搞了，在CISCO上一条静态路由就可以解决的问题，在ROS上好像特别复杂。。。，谢谢楼上各位的回复。