Как преобразовать IP при прохождении через микротик?

Обсуждение ПО и его настройки
AlexeyP
Сообщения: 11
Зарегистрирован: 29 июн 2018, 21:10

Здравствуйте специалисты и сочувствующие!
Есть сеть из микротиков, связанных между собой через VPN (х.х.1.1 - сервер и клиенты х.х.2.1, х.х.3.1, х.х.4.1). Есть устройство за одним из микротиков с IP адресом х.х.4.100. Нужно что бы пакеты,приходящие только через VPN на данный IP адрес считались из одной с ним локальной сети (х.х.4.0/24).
Как можно это сделать?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Src-nat на том роутере, который отвечает за .4.0/24


Telegram: @thexvo
AlexeyP
Сообщения: 11
Зарегистрирован: 29 июн 2018, 21:10

xvo писал(а): 14 апр 2021, 00:51 Src-nat на том роутере, который отвечает за .4.0/24
Если можно , поподробнее откуда и куда, с какими параметрами? Не силен в сетевой технологии. :ne_vi_del:


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Забить в какой-нибудь address-list адреса сетей других микротиков.
Правило примерно такого вида:

Код: Выделить всё

/ip firewall nat add chain=srcnat action=masquerade src-address-list=ваш_этот_лист dst-address=х.х.4.100


Telegram: @thexvo
AlexeyP
Сообщения: 11
Зарегистрирован: 29 июн 2018, 21:10

Не срабатывает правило!
Пытался блокировать через forward всех кто не ваш_этот_лист - тоже не работает, пакеты режутся.

Код: Выделить всё

/add action=drop chain=forward disabled=yes src-address-list=!ваш_этот_лист dst-address= х.х.4.100
Есть еще варианты, что попробовать, куда копать?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Не понял, при чем тут вообще firewall?
Вам нужно подменять адрес приходящих пакетов - это цепочка srcnat.
Если без правила пакеты доходят, но не с того адреса, тогда правило поможет.
А если не доходят, то надо сначала решить эту проблему.


Telegram: @thexvo
AlexeyP
Сообщения: 11
Зарегистрирован: 29 июн 2018, 21:10

Не, не, пакеты проходят, но я хочу, что бы проходили только с адресов VPN. При этом х.х.4.100 должен принимать пакеты из подсети х.х.4.0


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

AlexeyP писал(а): 15 апр 2021, 20:58 но я хочу, что бы проходили только с адресов VPN.
То есть:
1) Из впн - резрешено и идет подмена адреса.
2) Из своей же локальной сети - запрещено?
Так?


Telegram: @thexvo
AlexeyP
Сообщения: 11
Зарегистрирован: 29 июн 2018, 21:10

Почти.
1) Из впн (список ваш_этот_лист) - разрешено и идет подмена адреса на адрес из локальной сети.
2) Из других сети - запрещен доступ.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну тогда идеологически все верно - и относительно nat и относительно firewall.

Тип туннелей не "чистый" ipsec случаем?


Telegram: @thexvo
Ответить