Резервный канал не для всех

[Skylear]

Доброго времени суток, коллеги. Подскажите как сделать наиболее правильно.
Имеем: Микрот951 (прошивка 6.47) с интернет-каналом по проводу и резервным по LTE. Резервирование настроено рекурсивными маршрутами. Имеется две сети: 1) локалка+Wifi 192.168.0.0/24
2) сеть Wifi для мобильников 192.168.11.0/24

Задача такова: нужно при отваливании основного канала WAN и включении резервного LTE
1) полностью не пускать в интернет мобильники 192.168.11.0/24 через LTE
2) из сети 192.168.0.0/24 разрешить работать с интернетом - нескольким устройствам, работать с почтой - другим нескольким, остальным также запретить.

[KARaS'b]

Нат правило в котором будут натиться только избранные, по адрес листу и дело в шляпе.

[Skylear]

т.е. правильно я понимаю нужны правила NAT а не Filter? Использовать src-nat? я думал дропать фильтром.... чтобы не пускать меть 192.168.11.0/24 нужно же правило в Filter?

[KARaS'b]

Код: Выделить всё

/ip firewall nat add action=masquerade chain=srcnat out-interface=reserv_chenal src-address-list=vip

Вот так как-то. Зачем мучать фаервол или что-то еще, если можно просто обрубить доступ в самом начале.

[bolshe]

Код: Выделить всё

/ip firewall nat add action=masquerade chain=srcnat out-interface=reserv_chenal src-address-list=vip

Вот так как-то. Зачем мучать фаервол или что-то еще, если можно просто обрубить доступ в самом начале.

Не совсем правильное решение, тк в таком случае на модем к провайдеру остальные будут также стучать просто без маскардинга(своими серыми адресами).
Но конечно так можно сделать.

[Skylear]

Код: Выделить всё

/ip firewall nat add action=masquerade chain=srcnat out-interface=reserv_chenal src-address-list=vip

Вот так как-то. Зачем мучать фаервол или что-то еще, если можно просто обрубить доступ в самом начале.

Не совсем правильное решение, тк в таком случае на модем к провайдеру остальные будут также стучать просто без маскардинга(своими серыми адресами).
Но конечно так можно сделать.

а как правильнее? подскажите пожалуйста