Transparent Firewall из ПК с RouterOS

[denis.rojkov]

Друзья!

Направьте на путь истенный)

Есть роутер hap AX3, есть провайдер который раздает интернет
к роутеру подключаются клиенты по lan и wlan
К lan-порту подключен сервер на котором крутится nginx доступный в интернете по имени (аренда dns сервера)
Соответственно на AX3 - стоит 7.x, есть WAN-порт который с dhcp client забирает белый IP, bridge на котором сервер с nginx, bridge на котором wlan

Появилась неплохая коробочка на которой есть 2 ethernet, много памяти и быстрый nvme

Есть ли возможность сделать из RouterOS на ПК - хороший фаервол и чтоб hap AX3 работал с провайдером как будто этой "прокладки" из RouterOS нет?
(идея: функцию фаервола переложить на RouteOS на ПК - так как в нем памяти больше и процессор много интереснее)

p.s. за качество картинки не пинайте

[Erik_U]

На коробочку - виртуализацию, а на нее - Cloud Hosted Router

[denis.rojkov]

Стоит на коробочке (с img) - RoiuterOS
Вопрос как связать её WAN с LAN - чтоб AX3 как будто взаимодействует напрямую по своему WAN с провайдером
а CHR - отбивал всякий лишний трафик

[Erik_U]

Вопрос как связать её WAN с LAN - чтоб AX3 как будто взаимодействует напрямую по своему WAN с провайдером

Зачем?
На CHR поднимайте и нат и фв.
А ах3 пусть целиком внутри сети остается. Без маршрутизации на нем.

[denis.rojkov]

Вопрос как связать её WAN с LAN - чтоб AX3 как будто взаимодействует напрямую по своему WAN с провайдером

Зачем?
На CHR поднимайте и нат и фв.
А ах3 пусть целиком внутри сети остается. Без маршрутизации на нем.

А куда деть веб-сервер?) он подключен через бондинг к AX3

[denis.rojkov]

Сейчас весь трафик который приходит на WAN-порт Ax3 на порты 80,443 - dstnat на ip-сервера
Как мне это пробрасывать когда появляется CHR в разрыве?

то есть провайдер это 73.x.x.x
AX3 - 10.xxx.xxx.xxx, все это под dhcp
на CHR будет некий 172.x.x.x который выдаст адрес этой сети на WAN-порт AX3

Не понимаю как правила маршрутизации переписывать)

[Erik_U]

172.x.x.x не нужен
AX3 сделать коммутатором
настройки проброса веб-cервера, ната и фаервола перенести на CHR

[denis.rojkov]

172.x.x.x не нужен
AX3 сделать коммутатором
настройки проброса веб-cервера, ната и фаервола перенести на CHR

то есть сетку 10.x.x.x дает AX3, порты CHR: LAN берет с AX3, а WAN с провайдера? и маршрутизация спокойно пойдет с WAN на устройство которое на AX3? то есть для такого правила сетка 10.x.x.x единое целое (AX3 + LAN порт CHR)?

[Erik_U]

у chr с одной стороны 73.x.x.x
с другой стороны 10.xxx.xxx.xxx
У AX3 со всех сторон 10.xxx.xxx.xxx

Вся маршрутизация на chr
на AX3 коммутатор и точка доступа. При желании, можно DHCP сервер оставить на AX3.

[denis.rojkov]

у chr с одной стороны 73.x.x.x
с другой стороны 10.xxx.xxx.xxx
У AX3 со всех сторон 10.xxx.xxx.xxx

Вся маршрутизация на chr
на AX3 коммутатор и точка доступа. При желании, можно DHCP сервер оставить на AX3.

Собрал:
CHR: ether1 - смотрит в сторону провайдера, ether2 - в сторону AX3 (+ ether3 - для подключения с компьютера, на всякий), на обоих интерфейсах dhcp-клиент, правила и нат - переехали на него с AX3 (на ax3 они соответственно убраны), CHR не видит шлюз (10.10.10.1)
AX3: порт который раньше WAN с dhcp-клиентом заведен на bridge на котором dhcp-сервер
Wifi клиент подключенный к AX3 - "Подключено. Интернет есть" - по факту интернета нет, при попытках обратиться к серверу подключённому к AX3 по IP - соединяется, но с большой задержкой (видимо маршрутизация случилась очень мутной)
Подключиться к CHR можно если подключиться к wifi AX3