Как преобразовать IP при прохождении через микротик?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну почему же увы.
В данном случае это плюс - он предсказуемо маршрутизируется.
В случае с чистым ipsec'ом пришлось бы думать, как увязать политики с firewall'ом и nat'ом.
Так и по факту, что вы сделали, и что не работает:
1) адрес-лист с которого разрешено ходить на 4.100 вы сделали?
2) nat правило добавили?
3) в firewall правило запрещающее ходить на 4.100 со всех остальных адресов добавили (вообще в него бы добавить ещё условие на in-interface или in-interface-list и впн туда, а то оно как-то получается слишком "широко" написано)
И каков в итоге результат?
В данном случае это плюс - он предсказуемо маршрутизируется.
В случае с чистым ipsec'ом пришлось бы думать, как увязать политики с firewall'ом и nat'ом.
Так и по факту, что вы сделали, и что не работает:
1) адрес-лист с которого разрешено ходить на 4.100 вы сделали?
2) nat правило добавили?
3) в firewall правило запрещающее ходить на 4.100 со всех остальных адресов добавили (вообще в него бы добавить ещё условие на in-interface или in-interface-list и впн туда, а то оно как-то получается слишком "широко" написано)
И каков в итоге результат?
Telegram: @thexvo
-
- Сообщения: 11
- Зарегистрирован: 29 июн 2018, 21:10
1) сделано;
2) добавил, поставил первым;
3)добавил, поставил первым.
В итоге:
2) правило nat не работает (счетчик на нуле)
3)правило фаервола на 4.100 режет все пакеты
Включил логирование на правило фаервола - нет подмены. Где-то в nat затыка.
2) добавил, поставил первым;
3)добавил, поставил первым.
В итоге:
2) правило nat не работает (счетчик на нуле)
3)правило фаервола на 4.100 режет все пакеты
Включил логирование на правило фаервола - нет подмены. Где-то в nat затыка.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Подмены само собой нет - src-nat он уже после цепочки forward firewall'а .
Так что не работает не nat-правило, а именно то, которое сбрасывает (можно, кстати, проверить - отключив его). Либо оба.
Какие у вас адреса внесены в список?
Совпадают ли они с адресами по которым фактически идет подключение?
Так что не работает не nat-правило, а именно то, которое сбрасывает (можно, кстати, проверить - отключив его). Либо оба.
Какие у вас адреса внесены в список?
Совпадают ли они с адресами по которым фактически идет подключение?
Telegram: @thexvo
-
- Сообщения: 11
- Зарегистрирован: 29 июн 2018, 21:10
В списке все подсети с 1.0/24 до 4.0/24, плюс подсеть впн.
Без forvard правило nat тоже не работает.
Без forvard правило nat тоже не работает.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ерунда какая-то.
Торчем посмотрите или просто в списке соединений: если начать ломиться в четвертую подсеть через впн - откуда (с какого адреса) идут запросы?
Торчем посмотрите или просто в списке соединений: если начать ломиться в четвертую подсеть через впн - откуда (с какого адреса) идут запросы?
Telegram: @thexvo
-
- Сообщения: 11
- Зарегистрирован: 29 июн 2018, 21:10
Вот и я о том же.
Торч молчит, редкие всплески при выключенном правиле фаервола, и то подсеть 0.0.0.0/0
При включенном правиле только DNS запросы на сам роутер , хочет, гад, связаться с сервером. И все...
Может поможет понять - на 4.100 сидит вифи реле (Sonoff), может работать в локальной сети (пробовал).
Торч молчит, редкие всплески при выключенном правиле фаервола, и то подсеть 0.0.0.0/0
При включенном правиле только DNS запросы на сам роутер , хочет, гад, связаться с сервером. И все...
Может поможет понять - на 4.100 сидит вифи реле (Sonoff), может работать в локальной сети (пробовал).
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну так может оно в локальной сети вообще на более низком уровне работает, а по IP только наружу ходит?
Вы для начала разберитесь с доступом между сетями на примере какого-то менее специфического устройства. Так чтобы трафик туда-сюда ходил без всякого NAT'а.
А уже потом можно будет попробовать разобраться, как быть с sonoff'ом.
Вы для начала разберитесь с доступом между сетями на примере какого-то менее специфического устройства. Так чтобы трафик туда-сюда ходил без всякого NAT'а.
А уже потом можно будет попробовать разобраться, как быть с sonoff'ом.
Telegram: @thexvo
-
- Сообщения: 11
- Зарегистрирован: 29 июн 2018, 21:10
Буду пытаться. Спасибо.