Есть микротик, в нем 2 бриджа и один ван:
1 бридж: 2 и 3 порт (192.168.25.0/24)
2 бридж: 4 и 5 порт (192.168.36.0/24)
ван 1 порт.
У одной сети и у второй есть инет через ван. Можно ли сделать что б доступ с 192.168.25.0/24 на 192.168.36.0/24 был, а наоборот не был))) Типа так, как будто к микротику во второй бридж подключил роутер и на нем за натом спрятал подсеть.
NAT
-
WhiteWolf
- Сообщения: 55
- Зарегистрирован: 15 сен 2015, 09:10
- Откуда: НСК
Если подсети натить так:
Получите желаемое.
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.36.0/24
add action=masquerade chain=srcnat src-address=192.168.25.0/24
-
ansh
- Сообщения: 31
- Зарегистрирован: 23 июн 2015, 12:51
а если два WAN (2 провайдера) и вся LAN уходит наружу через первый WAN1
роутинг через WAN2 выключен... Как сделать так, чтобы один комп из сети уходил наружу через WAN2?
это правило не помогает...
Код: Выделить всё
add distance=1 gateway=1.1.1.1роутинг через WAN2 выключен... Как сделать так, чтобы один комп из сети уходил наружу через WAN2?
Код: Выделить всё
add action= masquerade chain=srcnat out-interface=WAN2это правило не помогает...
-
ansh
- Сообщения: 31
- Зарегистрирован: 23 июн 2015, 12:51
пометил пакеты, добавил роутинг для них и NAT... инет заработал через WAN2...)
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=prerouting connection-mark=no-mark disabled=no src-address=192.168.0.5 new-connection-mark=inet_con passthrough=no
/ip route
add distance=1 gateway=2.2.2.2 routing-mark=inet_con
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wan2
-
23q
- Сообщения: 57
- Зарегистрирован: 16 май 2013, 11:21
WhiteWolf писал(а):Если подсети натить так:Получите желаемое.Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.36.0/24
add action=masquerade chain=srcnat src-address=192.168.25.0/24
а вот херра... сделал два таких правила... пинги идут и с одной и с другой стороны. вот почему так?? кто-то может обьяснить?
сделал так:
Код: Выделить всё
/ip firewall mangle
chain=prerouting action=mark-connection new-connection-mark=36
passthrough=yes dst-address=192.168.25.0/24 in-interface=bridge2 log=no
log-prefix="" Код: Выделить всё
/ip firewall filter
chain=forward action=drop connection-mark=36 log=no log-prefix=""так работает.
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
с интересом наблюдаю за данно веткой.
Там наводку Connection state = new
Там наводку Connection state = new
Есть интересная задача и бюджет? http://mikrotik.site
-
WhiteWolf
- Сообщения: 55
- Зарегистрирован: 15 сен 2015, 09:10
- Откуда: НСК
Самое простое Но ТС, я так понял, хотел ходить в 192.168.36.0/24 НАТом 
Код: Выделить всё
/ip firewall filter
add action=drop chain=forward connection-state=new dst-address=192.168.25.0/24 src-address=192.168.36.0/24
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
23q
- Сообщения: 57
- Зарегистрирован: 16 май 2013, 11:21
WhiteWolf писал(а):Самое простоеНо ТС, я так понял, хотел ходить в 192.168.36.0/24 НАТомКод: Выделить всё
/ip firewall filter
add action=drop chain=forward connection-state=new dst-address=192.168.25.0/24 src-address=192.168.36.0/24
спасибо. правильно ли я понимаю, пакеты которые прошли через правило маскарадинга уже не являются новыми и поэтому проходят, а те пакеты которые исходят от 192.168.36.0/24 не маскарадятся на 24 подсеть и являются для роутера новыми?
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
новые это новые и не важно применен к ним НАТ или нет
Есть интересная задача и бюджет? http://mikrotik.site