Как преобразовать IP при прохождении через микротик?

Обсуждение ПО и его настройки
AlexeyP
Сообщения: 11
Зарегистрирован: 29 июн 2018, 21:10

Увы, pptp.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну почему же увы.
В данном случае это плюс - он предсказуемо маршрутизируется.
В случае с чистым ipsec'ом пришлось бы думать, как увязать политики с firewall'ом и nat'ом.

Так и по факту, что вы сделали, и что не работает:
1) адрес-лист с которого разрешено ходить на 4.100 вы сделали?
2) nat правило добавили?
3) в firewall правило запрещающее ходить на 4.100 со всех остальных адресов добавили (вообще в него бы добавить ещё условие на in-interface или in-interface-list и впн туда, а то оно как-то получается слишком "широко" написано)

И каков в итоге результат?


Telegram: @thexvo
AlexeyP
Сообщения: 11
Зарегистрирован: 29 июн 2018, 21:10

1) сделано;
2) добавил, поставил первым;
3)добавил, поставил первым.
В итоге:
2) правило nat не работает (счетчик на нуле)
3)правило фаервола на 4.100 режет все пакеты
Включил логирование на правило фаервола - нет подмены. Где-то в nat затыка.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Подмены само собой нет - src-nat он уже после цепочки forward firewall'а .
Так что не работает не nat-правило, а именно то, которое сбрасывает (можно, кстати, проверить - отключив его). Либо оба.

Какие у вас адреса внесены в список?
Совпадают ли они с адресами по которым фактически идет подключение?


Telegram: @thexvo
AlexeyP
Сообщения: 11
Зарегистрирован: 29 июн 2018, 21:10

В списке все подсети с 1.0/24 до 4.0/24, плюс подсеть впн.
Без forvard правило nat тоже не работает. :ne_vi_del:


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ерунда какая-то.
Торчем посмотрите или просто в списке соединений: если начать ломиться в четвертую подсеть через впн - откуда (с какого адреса) идут запросы?


Telegram: @thexvo
AlexeyP
Сообщения: 11
Зарегистрирован: 29 июн 2018, 21:10

Вот и я о том же.
Торч молчит, редкие всплески при выключенном правиле фаервола, и то подсеть 0.0.0.0/0
При включенном правиле только DNS запросы на сам роутер , хочет, гад, связаться с сервером. И все...
Может поможет понять - на 4.100 сидит вифи реле (Sonoff), может работать в локальной сети (пробовал).


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну так может оно в локальной сети вообще на более низком уровне работает, а по IP только наружу ходит?

Вы для начала разберитесь с доступом между сетями на примере какого-то менее специфического устройства. Так чтобы трафик туда-сюда ходил без всякого NAT'а.
А уже потом можно будет попробовать разобраться, как быть с sonoff'ом.


Telegram: @thexvo
AlexeyP
Сообщения: 11
Зарегистрирован: 29 июн 2018, 21:10

Буду пытаться. Спасибо.


Ответить