Роутинг соединения из внешней сети во внутреннюю

Обсуждение ПО и его настройки
Ответить
tetsuo
Сообщения: 4
Зарегистрирован: 16 янв 2014, 15:07

Здравствуйте!

Помогите с вопросом, бьюсь второй день - не могу разобраться. Уже стал думать, что решение данного вопроса невозможно на микротике.

Исходные данные такие:
На микротике (RB2011)-
1 Внешний интерфейс 1.1.1.12/28
2 Внутренний интерфейс 10.10.11.5/24
3 Микротик соединен по внутренней сети с адресом 10.10.11.1/24, за которым через NATподключен целевой адрес 192.168.1.12/24

Нужно трафик приходящий на внешний порт микротика - адрес 1.1.1.12/28 и порт 1278 пробросить до адреса 192.168.1.12/24 на порт 1278
При этом нужно соблюсти условие, чтобы траффик приходящий на 192.168.1.12/24 должен быть с адреса 10.10.11.5/24, соответственно dst-nat не подходит.

Возможно ли реализовать такую конфигурацию, и если да - то подскажите как?

Схема прикреплена.

Спасибо.
Вложения
Схема
Схема
Variant.jpg (11.78 КБ) 3775 просмотров


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну все же просто
10.10.11.0/24 - транспортная сеть
Настраивайте маршрутизация между устройствами и прокидывайте порт напрямую на 10.10.11.5


Есть интересная задача и бюджет? http://mikrotik.site
tetsuo
Сообщения: 4
Зарегистрирован: 16 янв 2014, 15:07

Подскажите как? У меня очень мало опыта работы с mikrotik.
Не все тонкости знаю.

Спасибо.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

192.168.1.12/24 - ходит в итернеты через микротик? т.е. я к чему: это полная схема сети? или где то есть еще что то, что используется как шлюз для доступа в интернет, для устройств сети.


tetsuo
Сообщения: 4
Зарегистрирован: 16 янв 2014, 15:07

Да схема не полная. 192.168.1.12 - находится за туннелем. У железки 10.10.11.1 свой выход в интернет (она выходит не через микротик).
Могу поправить схему и выложить более полный вариант.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

При этом нужно соблюсти условие, чтобы траффик приходящий на 192.168.1.12/24 должен быть с адреса 10.10.11.5/24, соответственно dst-nat не подходит.

не пойму, почему не подходит dst-nat? если вам нужно, чтобы пакеты прилетающие от кого то там на 1.1.1.12/28 и отправлялись к 192.168.1.12/24 от лица 10.10.11.5/24 то это как минимум src-nat:

Код: Выделить всё

/ip firewall nat add chain=srcnat action=src-nat src-address=0.0.0.0/0 protocol=tcp dst-port=1278 to-addresses=10.10.11.5

во вторых, если вам надо отправить это на 192.168.1.12/24 в порт 1278 вам нужен dst-nat, ибо других вариантов у вас нет:

Код: Выделить всё

/ip firewall nat add chain=dstnat action=dst-nat dst-address=1.1.1.12/28 protocol=tcp dst-port=1278 to-addresses=192.168.1.12 to-ports=1278

при этом микротик должен знать, где этот 192.168.1.12 находится, т.е. добавить маршрут:

Код: Выделить всё

/ip route add dst-address=192.168.1.0/24 gateway=10.10.11.1

при этом на 10.10.11.1 не должно быть никаких src-nat и dst-nat на этот трафик.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

tetsuo писал(а):Подскажите как? У меня очень мало опыта работы с mikrotik.
Не все тонкости знаю.

Спасибо.

Так это общие понятия и не важно микротик у вас там или что то другое


Есть интересная задача и бюджет? http://mikrotik.site
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну если схему взять как руководство к действию. То дст-нат вообще не нужен )))


Есть интересная задача и бюджет? http://mikrotik.site
tetsuo
Сообщения: 4
Зарегистрирован: 16 янв 2014, 15:07

Спасибо.


Ответить