Воткнуть Микротик между провайдером и корпоративным интернетом

[ivg69]

Есть от провайдера условный адрес 192.168.1.206/30 и шлюз 205.
Задача на бридж ether2, ether3, wlan выдаем по DHCP сетку 192.168.88.0 и через NAT интернет (это без проблем работает).
А вот на порт ether4 вешаем адрес 192.168.1.205/30 и прикидываемся шлюзом от провайдера.
Знаю, что можно, но не понимаю как?

[podarok66]

Зачем? Зачем создавать конфликт адресов в локальной сети? Два одинаковых адреса в одной сети - это заведомо пригласить местного админа поискать вас и принять меры к укорачиванию ваших шаловливых ручек.
Просто опишите цель столь странной операции, возможно, вам подскажут более простой выход.

[ivg69]

Затем, что интернет в корпоративной сети сильно урезаный, ни почты, ни ютуба.
А здесь через VRF сделать можно, но я пока чего-то не понимаю...

[podarok66]

Я сдаюсь, я не понимаю смысла в самой постановке задачи. ТС может почитать по теме VRF вот это: https://mum.mikrotik.com/presentations/ ... 118918.pdf
Может найдутся желающие разобраться, я пас.

[KARaS'b]

Я сдаюсь, я не понимаю смысла в самой постановке задачи. ТС может почитать по теме VRF вот это: https://mum.mikrotik.com/presentations/ ... 118918.pdf
Может найдутся желающие разобраться, я пас.

Человек хочет устроить что-то вроде mitm, воткнуть между провайдером и клиентским оборудованием свое железо и заставить его для клиента казаться шлюзом провайдера, при этом теми же настройками что на клиентском устройстве получить доступ в интернет от провайдера но на своем устройстве.

[podarok66]

Ну так помогите ему, если вы понимаете, о чём речь. Я точно не понимаю. Если объясните так, что даже до моего скудного умишки дойдёт, буду благодарен.

[Ca6ko]

To podarok66
Корпоративный админ ограничил доступ к интернету по каким-то соображения. Юзер хочет перед корпоративным роутером вставить свой и обойти ограничения.
Вряд ли кто-то возьмется ему помогать

[podarok66]

И что, это может нормально работать? И админ корпорации никак это не отследит?
Уверяю вас, я не ёрничаю. Я просто пытаюсь в голове выстроить цепочку.
* На корпоративном роутере каким-то (мне неведомо, каким) способом отделяет запретный трафик и дропает его. Правильно?
* Предположим, я втыкаю в промежуток между этим роутером и компом свою железку, которая выдаёт нужные маршруты, в том числе и в сторону запретых сайтов. Правильно?
* Но трафик-то всё одно пойдёт через корпоративный роутер, который один хрен будет его анализировать и дропать запретное. Вот тут что-то не так. Проясните на пальцах, что именно.
Я бы понял создание туннеля с шифрованием, да хотя бы и ssh или openvpn. Тут с анализом определённые сложности и всё более-менее разрешимо. Пуляем запретные сайты через туннель, остальное обычной дорогой. Но в данном же случае никакого шифрования. Где подвох и моя ошибка?

[KARaS'b]

To podarok66, как вариант, втыкаем посередине со всем ирегалиями, что были задуманы (т.с. не с проста заговорил про vrf, в теории он реально может такое разрулить), присваиваем адрес из пространства корп сети, а дальше, непосредственно на машине, при помощи маршрутов, полностью или выборочно, заруливаем трафик через тот шлюз что поставили. Но соглашусь, вариант с тоннелем проще и менее палевый, тот же sstp будет прям идеальным вариантом и надо лишь найти до чего его поднять.)

[podarok66]

Спасибо, более или менее уложил в голове. Надо читать и много.
Но туннель значительно проще. Я как-то одного слишком умного админа обходил, просто из принципа. Загонял в тоннель ssh торрент-клиент и качал фильмы в корпоративную сеть. Он потом в панике во всей сети из портов оставил http, https и почту через корпоративный сервер.Через пару месяцев всё откатили, потому как админить было почти нереально, учитывая, что только в Европе несколько десятков филиалов. А меня искали чуть не год, машина, с которой чудил , мониторилась практически постоянно. Хорошо, что на ней под одной учёткой человек 20 работало. Пронесло, но я больше так не проказничаю