Столкнулся с такой задачкой, где-то пробелы в знаниях не соображу как.
И так схема сети во вложении. Свичи на схеме тупые vlan не работают.
Конфигурация на микротиках дефолтная для 6.48
Добавлены для резервирования на МК1 с большей дистанцией второй маршрут 0.0.0.0/0 через 192.168.33.2, соответственно на МК2 зеркально через 192.168.33.1.
у РС1 и РС2 разные шлюзы
Проблема нужно сделать доступ к ресурсам РС2 через МК1. Стандартный проброс порта dst-nat в данном случае не работает так как видимо ответ уходит через МК2.
Толкните в нужное направление
Два роутера/шлюза в одной сети
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
1) Маскарад сделать в дополнение к dst-nat, но тогда логичным образом все запросы будут как-будто приходить от MK1 (hairpin nat по сути, но вывернутый наизнанку).
2) IP-IP туннель прокинуть между роутерами - и на MK1 заворачивать трафик в него.
Дальше действовать по стандартной схеме (на MK2 заворачивать обратно в туннель).
3) Ну так то в принципе есть совсем не нулевая вероятность, что свитчи тегированные пакеты будут пропускать как есть, а не сбрасывать, так что и vlan вместо IPIP тоже наверняка прокатит.
2) IP-IP туннель прокинуть между роутерами - и на MK1 заворачивать трафик в него.
Дальше действовать по стандартной схеме (на MK2 заворачивать обратно в туннель).
3) Ну так то в принципе есть совсем не нулевая вероятность, что свитчи тегированные пакеты будут пропускать как есть, а не сбрасывать, так что и vlan вместо IPIP тоже наверняка прокатит.
Telegram: @thexvo
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Спасибо большое.
Сам тоже склонился к вывернутому hairpin nat
Добавил правило
И все заработало.
Свичи теги не пропускают, пробовал.
Вариант с IP-IP спасибо, буду тоже иметь ввиду, но пока работает не буду трогать.
Сам тоже склонился к вывернутому hairpin nat
Добавил правило
Код: Выделить всё
add action=src-nat chain=srcnat dst-address=192.168.33.122 dst-port=60000 protocol=tcp to-addresses=192.168.33.1
Свичи теги не пропускают, пробовал.
Вариант с IP-IP спасибо, буду тоже иметь ввиду, но пока работает не буду трогать.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.