Помогите настроить контролируемый NAT с пробросом сетей через VPN

Обсуждение ПО и его настройки
Ответить
Dmitrix
Сообщения: 10
Зарегистрирован: 25 авг 2016, 12:33

Всем привет), решил приобщиться к форуму, имею слабые познания в сети и нравится использовать микротики за их практичность и настраиваемость.

есть 2 микротика hap lite, две сети соединенные через ovpn 192.168.2.0/24 и 192.168.0.0/24
сеть 192.168.2.0/24 шлюзом служит mikrotik1 192.168.2.1
сеть 192.168.0.0/24 шлюзом служит mikrotik2 192.168.0.1
mikrotik1 ovpn клиент 1.1.1.2 ovpn сервера на mikrotik2 1.1.1.1, прописаны статические роуты из 192.168.0.0/24 в 192.168.2.0/24 и обратно
на mikrotik1 dhcp сервер выдает ip 192.168.2.100-192.168.2.199, dns 192.168.0.2, gtw 192.168.2.1 и 4 статических ip которые привязаны к arp объединенные в address list inetusers

как сделать чтобы доступ в интернет имели только 4 статических IP inetusers, а все остальные только доступ к сети 192.168.2.0/24 ?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Посмотрите вот этот пост , да и всю ветку прочитайте, она вся об изоляции и маршрутизации


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Dmitrix
Сообщения: 10
Зарегистрирован: 25 авг 2016, 12:33

т.е. в моем случае

на mikrotik2

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward connection-state=new dst-address=0.0.0.0/0 src-address=192.168.2.0/24 src-address-list=!inetusers dst-address=!192.168.0.0/24


из сети 192.168.2.0/24 мы можем ходить на любые адреса 192.168.0.0/24 и обратно, а в интернет нельзя
список inetusers из сети 192.168.2.0/24 может еще и в интернет выходить через NAT


Ответить