Настройка NAT из DMZ-зоны в режиме CPE

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
masic
Сообщения: 1
Зарегистрирован: 16 фев 2021, 17:30

Есть следующая схема: локалка - cisco - DMZ - mikrotik - wifi_провайдер.
Локалка 10.33.3.0/24; DMZ 12.34.56.0/24; у циски два ip 10.33.3.1 и 12.34.56.1 она NATит все что выходит из локалки на свой dmz айпишник (все работает, тут проблем нет), она подключена в ether1 mikrotik2011, микротик получает автоматом от провайдера локальный адрес 192.168.43.182 по WiFi (см. рисунок). Быстрая настройка в режиме CPE не помогла.
На компе в локалке (ip 10.33.3.3/24, gw 10.33.3.1, dns 12.34.56.1) не могу выйти в Инет, хотя DMZ выхожу. Комп из DMZ непосредственно воткнутый в ether2 микротика в Инет выходит если поставить галочку "Bridge all LAN ports".
Заснифил пакеты на ether1 микротика, DNS запросы-ответы ходят нормально, а для tcp присутствует только TCP-SYN. Из чего делаю вывод, что NAT на микротике не работает, а DNS ответы он генерирует (реплицирует) сам. Подскажите как правильно настроить NAT на микротике в режиме СРЕ, чтоб он пробрасывал статические адреса (не DHCP)
Изображение


Вернуться к началу
gmx
Модератор
Сообщения: 3298
Зарегистрирован: 01 окт 2012, 14:48

Не все понято...

Простое предложение: зачем микротик вообще в режиме роутера? Сюда же мост просится.
Все порты в бридж, настроили wisp и все. Пусть всем остальным пусть рулит cisco. На cisco настройте основной маршрут сразу в шлюз провайдера.

А так-то в вашей схеме получается двойной нат. Зачем все это? Но если хочется нат, то просто в микротике сделайте правило как можно более общим, не указывайте порты и другие дополнительные условия.
Просто scr-nat - masquerade. Все, точно все замаскарадится. Но при этом нужно все остальное тоже правильно настроить. И DHCP и DNS, и основной маршрут... И сделать это дважды и микротике и на cisco...

Последняя ваша фраза про статические адреса совсем не ясна. Куда что должно пробрасываться? Как? Зачем? При чем здесь DHCP? Если нужен nat то речь про "проброс адресов" не идет в принципе.
Что такое вообще "проброс адресов"??? Чтобы передать дальше адреса, которые выдает провайдер на cisco??? Как он их выдает? По DHCP? Вручную??? Есть ли привязка к mac?

Итог один, промежуточному устройству (микротик) лучше всего быть в режиме бриджа (моста). Это самый правильный подход.


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»