Как сделать доступ между двумя подсетями на Mikrotik

Рабочий пример для MikroTik, чтобы сделать полный доступ между 192.168.10.0/24 и 192.168.1.0/24.

Есть две сети, например 1.0 это ваша локальная сеть с компьютерам пользователей, в ней уже настроен DHCP, NAT, Firewall, а 10.0 это камеры видеонаблюдения, которые только что появились.Подключаем коммутор с камерами в любой свободный порт на микротике.

Все порты находятся в одном bridge на MikroTik. Так как у камер везде настрон статический IP, то настройка DHCP нам не нужна. Достаточно добавить нужную сеть а Address List.

Шаг 1. Назначаем новый адрес на bridge

/ip address
add address=192.168.10.1/24 interface=bridge comment="GW for 192.168.10.0/24"

Шаг 2. Проверяем IP на клиентов

  • Устройство в сети 192.168.10.0/24 → IP например 192.168.10.100/24, gateway 192.168.10.1.
  • Устройство в сети 192.168.1.0/24 → IP например 192.168.1.100/24, gateway 192.168.1.1.

Шаг 3. Проверяем маршруты

/ip route print

Должно быть:

(это автоматические маршруты, означает, что роутер знает обе подсети).

Шаг 4. Настройка Firewall

Если есть дефолтные правила, то они часто блокируют forward. Нужно разрешить:

/ip firewall filter
add chain=forward src-address=192.168.10.0/24 dst-address=192.168.1.0/24 action=accept comment="Allow 10-1"
add chain=forward src-address=192.168.1.0/24 dst-address=192.168.10.0/24 action=accept comment="Allow 1-10"

‼️ Если у тебя стоит «drop all not coming from LAN», то эти правила нужно разместить перед этим drop.

Шаг 5. Тестируем

  1. Пингуем с клиента в 192.168.10.0/24 → 192.168.10.1 (свой шлюз).
  2. Пингуем с клиента в 192.168.1.0/24 → 192.168.1.1.
  3. Пингуем с 192.168.10.x → 192.168.1.100.

В таком виде всё должно заработать.

Обязательно нужно чтобы устройство в сети 192.168.10.0/24 имели прописанный gateway 192.168.10.1, а в сети 192.168.1.0/24 — 192.168.1.1

Причина простая:

  • Хост из сети 192.168.10.0/24 (например, 192.168.10.100/24) знает только о своей подсети.
  • Когда он попытается достучаться до узла 192.168.1.100, он посмотрит в свою маску 255.255.255.0 и поймёт: этот адрес не в моей подсети.
  • Дальше он пошлёт пакет на свой шлюз (gateway), то есть на 192.168.10.1.
  • MikroTik примет пакет и, зная оба маршрута (192.168.10.0/24 и 192.168.1.0/24), переправит его в нужную сеть.

Если gateway не прописать:

  • Устройство будет пытаться найти 192.168.1.x напрямую через ARP в своей подсети.
  • Так как в 192.168.10.0/24 нет такого IP, связи не будет.

То есть на всех устройствах в 192.168.10.0/24 в качестве шлюза должен быть указан 192.168.10.1, а для сети 192.168.1.0/24 — 192.168.1.1.