Здравствуйте специалисты и сочувствующие!
Есть сеть из микротиков, связанных между собой через VPN (х.х.1.1 - сервер и клиенты х.х.2.1, х.х.3.1, х.х.4.1). Есть устройство за одним из микротиков с IP адресом х.х.4.100. Нужно что бы пакеты,приходящие только через VPN на данный IP адрес считались из одной с ним локальной сети (х.х.4.0/24).
Как можно это сделать?
Как преобразовать IP при прохождении через микротик?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Src-nat на том роутере, который отвечает за .4.0/24
Telegram: @thexvo
-
- Сообщения: 11
- Зарегистрирован: 29 июн 2018, 21:10
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Забить в какой-нибудь address-list адреса сетей других микротиков.
Правило примерно такого вида:
Правило примерно такого вида:
Код: Выделить всё
/ip firewall nat add chain=srcnat action=masquerade src-address-list=ваш_этот_лист dst-address=х.х.4.100
Telegram: @thexvo
-
- Сообщения: 11
- Зарегистрирован: 29 июн 2018, 21:10
Не срабатывает правило!
Пытался блокировать через forward всех кто не ваш_этот_лист - тоже не работает, пакеты режутся.
Есть еще варианты, что попробовать, куда копать?
Пытался блокировать через forward всех кто не ваш_этот_лист - тоже не работает, пакеты режутся.
Код: Выделить всё
/add action=drop chain=forward disabled=yes src-address-list=!ваш_этот_лист dst-address= х.х.4.100
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Не понял, при чем тут вообще firewall?
Вам нужно подменять адрес приходящих пакетов - это цепочка srcnat.
Если без правила пакеты доходят, но не с того адреса, тогда правило поможет.
А если не доходят, то надо сначала решить эту проблему.
Вам нужно подменять адрес приходящих пакетов - это цепочка srcnat.
Если без правила пакеты доходят, но не с того адреса, тогда правило поможет.
А если не доходят, то надо сначала решить эту проблему.
Telegram: @thexvo
-
- Сообщения: 11
- Зарегистрирован: 29 июн 2018, 21:10
Не, не, пакеты проходят, но я хочу, что бы проходили только с адресов VPN. При этом х.х.4.100 должен принимать пакеты из подсети х.х.4.0
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
- Сообщения: 11
- Зарегистрирован: 29 июн 2018, 21:10
Почти.
1) Из впн (список ваш_этот_лист) - разрешено и идет подмена адреса на адрес из локальной сети.
2) Из других сети - запрещен доступ.
1) Из впн (список ваш_этот_лист) - разрешено и идет подмена адреса на адрес из локальной сети.
2) Из других сети - запрещен доступ.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну тогда идеологически все верно - и относительно nat и относительно firewall.
Тип туннелей не "чистый" ipsec случаем?
Тип туннелей не "чистый" ipsec случаем?
Telegram: @thexvo