Настройка Hairpin NAT 2 бриджа, запрещен роутинг между бриджами.

Обсуждение ПО и его настройки
Ответить
amz
Сообщения: 4
Зарегистрирован: 06 ноя 2018, 11:47

Добрый день подскажите пожалуйста.
Есть такая конфигурация:
Внешний ай пи статика :1.1.1.1
Есть сеть в первом бридже 2.2.2.2/24 - лан1
Есть сеть в втором бридже 3.3.3.3/24 - лан2

В лан1 - находяться пользователи
в лан2 - находиться сервер.
Для изоляции сервера между лан1 и лан 2 запрещен роутинг правилами в route list.

С внешнего ай пи настроен проброс порта для доступа на сервер и работает.
Настраиваю Hairpin NAT. Работает только если убираю правила запрещающие роутинг в route list.

Возможно кто, то подскажет в чем нюанс настройки Hairpin NAT в такой ситуации когда 2 бриджа и запрещен между ними роутинг.
Возможно есть альтернативный вариант настройки, когда лан1 изолирован от лан2 при этом будет работать проброс порта (к которому будут обращаться снаружи сети и из нутри)
Заранее большое спасибо.


Вернуться к началу
Аватара пользователя
podarok66
Модератор
Сообщения: 4358
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну запретите хождение трафика между сетями в firewall filter...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Вернуться к началу
amz
Сообщения: 4
Зарегистрирован: 06 ноя 2018, 11:47

podarok66 писал(а): 06 ноя 2018, 20:07 Ну запретите хождение трафика между сетями в firewall filter...
Я понимаю что моя просьба это тысячный раз одно и тоже.
Но если Вам не сложно
То какие правила в фаервол и какие правило в нат ,чтобы работало как выше было описано.
Заранее больше Вам спасибо.


Вернуться к началу
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

на интерфейсе лан2 делайте НАТ трафику пришедшему с подсети 2.2.2.0/24. НАТить в IP интерфейса лан2.


Вернуться к началу
amz
Сообщения: 4
Зарегистрирован: 06 ноя 2018, 11:47

kt72ru писал(а): 07 ноя 2018, 21:11 на интерфейсе лан2 делайте НАТ трафику пришедшему с подсети 2.2.2.0/24. НАТить в IP интерфейса лан2.
если вам не сложно синтаксис команды?
спасибо.


Вернуться к началу
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

не проверял, но как-то так
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=80 protocol=tcp to-addresses=3.3.3.X
add action=masquerade chain=srcnat dst-address=1.1.1.1 dst-port=80 protocol=tcp src-address=2.2.2.0/24


Вернуться к началу
amz
Сообщения: 4
Зарегистрирован: 06 ноя 2018, 11:47

kt72ru писал(а): 08 ноя 2018, 18:17 не проверял, но как-то так
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=80 protocol=tcp to-addresses=3.3.3.X
add action=masquerade chain=srcnat dst-address=1.1.1.1 dst-port=80 protocol=tcp src-address=2.2.2.0/24
не работает пока запрещено хождение между подсетями фаерволом. в обе стороны.
как только отключаю правило блокировки хождение из 2.2.2.2 в 3.3.3.3 работает.


Вернуться к началу
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

разрешите в файрволе прохождение пакетов из сети 2.2.2.0/24 до хоста 3.3.3.X tcp port 80


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»