Какую модель выбрать?

[xvo]

Вам, а так же Vlad-2, Ca6ko, bst-botsman огромное спасибо за то, что комментировали и указывали направление! Это бесценно!
До вас я не знал вообще в какую сторону смотреть.

Рад помочь! :)

[mr_dima]

Вам, а так же Vlad-2, Ca6ko, bst-botsman огромное спасибо за то, что комментировали и указывали направление! Это бесценно!
До вас я не знал вообще в какую сторону смотреть.

Рад помочь! :)

Пока думал над другой схемой, додумался до другого варианта решения задачи.
Можно же IP адресу контроллера поставить в соответствие некий IP адрес на стороне сервера.. чтобы сервер думал, что он общается с контроллером в своей сети.
Кажется это называется статический NAT.
Как я это делаю..

1. интерфейсу на стороне сервера задаю дополниельный IP. это будет NATовский адрес контроллера (например 192.168.100.160)
2. в dstnat микротика меняю ненастоящий адрес назначения на настоящий в сети контроллера.
3. в srcnat микротика маскирую адрес источника (сервер) адресом интерфейса на строне контроллера.

Код: Выделить всё

add address=192.168.100.170/24 interface=bridge4-5 network=192.168.100.0
add address=192.168.175.167 interface=bridge4-5 network=192.168.175.167

add action=netmap chain=dstnat dst-address=192.168.100.160 in-interface=bridge4-5 to-addresses=10.17.211.160
add action=masquerade chain=srcnat out-interface=ether1-Krones src-address=192.168.100.10

Никому не надо прописывать шлюз на микротик. Все думают, что общаются в своей сети.
В сервере можно оставить шлюз на корп. сеть.

Все ли так?
Можно ли как-то уйти от назначения второго IP на интерфейсе? (если я не ставлю на интерфейсе IP, то микротик, на запрос ARP от сервера - у кого IP 192.168.175.167? ничего не отвечает. хотя мог бы ))

Кстати, если теперь микротик не является шлюзом по умолчанию, нужно ли вешать первый IP (192.168.100.170/24) на интерфейс со стороны сервера? Это ведь был IP именно микротика-шлюза.

[mr_dima]

Собственно, вот другой завод, другая схема и конфигурация для нее с использованием подменного IP для одного контроллера.
Здесь только 1 контроллер (из тех, которые надо опрашивать) находится в чужой сети.

Код: Выделить всё

/interface ethernet
set [ find default-name=ether1 ] name=ether1-Krones
set [ find default-name=ether2 ] name=ether2-ProLeiT
/ip address
add address=10.23.34.192/24 interface=ether1-Krones network=10.23.34.0
add address=192.168.175.192/24 interface=ether2-ProLeiT network=192.168.175.0
add address=192.168.175.167 interface=ether2-ProLeiT network=192.168.175.167
add address=192.168.0.1/24 interface=ether5-service network=192.168.0.0

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-Krones src-address=192.168.175.190
add action=netmap chain=dstnat dst-address=192.168.175.167 in-interface=ether2-ProLeiT to-addresses=10.23.34.167

По крайней мере, пинги ходят )

Не очень понимаю зачем нам нужен IP из сети сервера на интерфейсе, который смотрит на сервер?
add address=192.168.175.192/24 interface=ether2-ProLeiT network=192.168.175.0
Ведь сервер больше не использует шлюз на микротик.
Но без этого не работает

[xvo]

Все ли так?
Можно ли как-то уйти от назначения второго IP на интерфейсе? (если я не ставлю на интерфейсе IP, то микротик, на запрос ARP от сервера - у кого IP 192.168.175.167? ничего не отвечает. хотя мог бы ))

Может как-то это и можно обойти используя Bridge NAT, но я бы в это не влезал. Назначить адреса микротику - самый простой вариант.

Кстати, если теперь микротик не является шлюзом по умолчанию, нужно ли вешать первый IP (192.168.100.170/24) на интерфейс со стороны сервера? Это ведь был IP именно микротика-шлюза.

В принципе не обязательно - можно какой-то из этих адресов и использовать для доступа к самому микротику, если к контроллерам доступ нужен только по каким-то определенным портам.
Но опять же не вижу проблемы в одном лишнем адресе, который будет использоваться именно для доступа к микротику.