...скорее для трех.(192.168.20.0/24, 192.168.30.0/24 и 172.16.10.0/21). Остальные подсети в объединении не нуждаются. И что то мне не хватает знаний для понимания роли подобной сети. Может это proxy-arp?
Вот еще один эксперимент:
Я - 172.16.10.84
Система - винда.
Прописал маршрут: route add 192.168.20.0 mask 255.255.255.0 172.16.10.20 metric 1
На роутере 172.16.10.20 есть следующие маршруты по умолчанию:
# DST-ADDRESS PREF-SRC GATEWAY
0 A S 0.0.0.0/0 172.16.10.254
1 ADC 172.16.0.0/21 172.16.10.20 ether1
2 ADC 192.168.20.0/24 192.168.20.1 bridge
Теперь я начинаю сей роутер пинговать:
Внешний интерфейс роутера: ping 172.16.10.20 - есть пинг
Внутренний интерфейс роутера: ping 192.168.20.1 - нет пинга
Хост за роутером: ping 192.168.20.100 - нет пинга
ЗЫ Теперь добовляем на оба роутера маршруты на внутренние сети друг друга: на микротике 172.16.10.20 добавим маршрут до сети 192.168.30.0 через микротик 172.16.10.30, а на микротике 172.16.10.30 соответственно добавим маршрут до сети 192.168.20.0 через шлюз 172.16.10.20.
172.16.10.20
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 172.16.10.254 1
1 ADC 172.16.0.0/21 172.16.10.20 ether1 0
2 ADC 192.168.20.0/24 192.168.20.1 bridge 0
3 A S 192.168.30.0/24 172.16.10.30 1
172.16.10.30
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 172.16.10.254 1
1 ADC 172.16.0.0/21 172.16.10.30 ether1 0
2 ADC 192.168.30.0/24 192.168.30.1 bridge 0
3 A S 192.168.20.0/24 172.16.10.20 1
В таком виде мы получаем возможность пинговать с одного микротика внешний и внутренний интерфейс другого микротика, но не можем пинговать хосты... Какой то нонсенс.
Как так получается?
Сижу на 192.168.20.100 и пингую:
ping 172.16.10.30 - вижу!
ping 192.168.30.1 - вижу!
ping 192.168.30.10 - таймаут... Как так? Почему один адрес из сети вижу а остальные - нет?
Updated: 16 January 2018, 17:39:41
Вот и решение подоспело. Статические маршруты - вещь довольно тривиальная, и чудес быть не могло. Решил я пинги запустить и на вкладку Firewall - Rules попялиться в режиме реалтайм. Обнулил счетчики пакетов, запустил пинги и стал наблюдать за правилами...
В последнем или предпоследнем обновлении RouterOS в скрипте начальных настроек добавили в конце новое правило:
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1Дропает все влетающее с интерфейса WAN что не похоже на нат. В общем тут нужно либо правило на accept вставлять до него, либо отключать его нафих. Я отключил.