Доброго времени суток, коллеги. Подскажите как сделать наиболее правильно.
Имеем: Микрот951 (прошивка 6.47) с интернет-каналом по проводу и резервным по LTE. Резервирование настроено рекурсивными маршрутами. Имеется две сети: 1) локалка+Wifi 192.168.0.0/24
2) сеть Wifi для мобильников 192.168.11.0/24
Задача такова: нужно при отваливании основного канала WAN и включении резервного LTE
1) полностью не пускать в интернет мобильники 192.168.11.0/24 через LTE
2) из сети 192.168.0.0/24 разрешить работать с интернетом - нескольким устройствам, работать с почтой - другим нескольким, остальным также запретить.
Резервный канал не для всех
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Нат правило в котором будут натиться только избранные, по адрес листу и дело в шляпе.
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
т.е. правильно я понимаю нужны правила NAT а не Filter? Использовать src-nat? я думал дропать фильтром.... чтобы не пускать меть 192.168.11.0/24 нужно же правило в Filter?
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Код: Выделить всё
/ip firewall nat add action=masquerade chain=srcnat out-interface=reserv_chenal src-address-list=vip
-
- Сообщения: 16
- Зарегистрирован: 29 сен 2020, 16:42
Не совсем правильное решение, тк в таком случае на модем к провайдеру остальные будут также стучать просто без маскардинга(своими серыми адресами).KARaS'b писал(а): ↑30 сен 2020, 06:33Вот так как-то. Зачем мучать фаервол или что-то еще, если можно просто обрубить доступ в самом начале.Код: Выделить всё
/ip firewall nat add action=masquerade chain=srcnat out-interface=reserv_chenal src-address-list=vip
Но конечно так можно сделать.
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
а как правильнее? подскажите пожалуйстаbolshe писал(а): ↑30 сен 2020, 12:43Не совсем правильное решение, тк в таком случае на модем к провайдеру остальные будут также стучать просто без маскардинга(своими серыми адресами).KARaS'b писал(а): ↑30 сен 2020, 06:33Вот так как-то. Зачем мучать фаервол или что-то еще, если можно просто обрубить доступ в самом начале.Код: Выделить всё
/ip firewall nat add action=masquerade chain=srcnat out-interface=reserv_chenal src-address-list=vip
Но конечно так можно сделать.