Рад помочь! :)
Какую модель выбрать?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Telegram: @thexvo
-
- Сообщения: 41
- Зарегистрирован: 05 авг 2020, 09:53
Пока думал над другой схемой, додумался до другого варианта решения задачи.
Можно же IP адресу контроллера поставить в соответствие некий IP адрес на стороне сервера.. чтобы сервер думал, что он общается с контроллером в своей сети.
Кажется это называется статический NAT.
Как я это делаю..
1. интерфейсу на стороне сервера задаю дополниельный IP. это будет NATовский адрес контроллера (например 192.168.100.160)
2. в dstnat микротика меняю ненастоящий адрес назначения на настоящий в сети контроллера.
3. в srcnat микротика маскирую адрес источника (сервер) адресом интерфейса на строне контроллера.
Код: Выделить всё
add address=192.168.100.170/24 interface=bridge4-5 network=192.168.100.0
add address=192.168.175.167 interface=bridge4-5 network=192.168.175.167
add action=netmap chain=dstnat dst-address=192.168.100.160 in-interface=bridge4-5 to-addresses=10.17.211.160
add action=masquerade chain=srcnat out-interface=ether1-Krones src-address=192.168.100.10
В сервере можно оставить шлюз на корп. сеть.
Все ли так?
Можно ли как-то уйти от назначения второго IP на интерфейсе? (если я не ставлю на интерфейсе IP, то микротик, на запрос ARP от сервера - у кого IP 192.168.175.167? ничего не отвечает. хотя мог бы ))
Кстати, если теперь микротик не является шлюзом по умолчанию, нужно ли вешать первый IP (192.168.100.170/24) на интерфейс со стороны сервера? Это ведь был IP именно микротика-шлюза.
-
- Сообщения: 41
- Зарегистрирован: 05 авг 2020, 09:53
Собственно, вот другой завод, другая схема и конфигурация для нее с использованием подменного IP для одного контроллера.
Здесь только 1 контроллер (из тех, которые надо опрашивать) находится в чужой сети.
По крайней мере, пинги ходят )
Не очень понимаю зачем нам нужен IP из сети сервера на интерфейсе, который смотрит на сервер?
add address=192.168.175.192/24 interface=ether2-ProLeiT network=192.168.175.0
Ведь сервер больше не использует шлюз на микротик.
Но без этого не работает
Здесь только 1 контроллер (из тех, которые надо опрашивать) находится в чужой сети.
Код: Выделить всё
/interface ethernet
set [ find default-name=ether1 ] name=ether1-Krones
set [ find default-name=ether2 ] name=ether2-ProLeiT
/ip address
add address=10.23.34.192/24 interface=ether1-Krones network=10.23.34.0
add address=192.168.175.192/24 interface=ether2-ProLeiT network=192.168.175.0
add address=192.168.175.167 interface=ether2-ProLeiT network=192.168.175.167
add address=192.168.0.1/24 interface=ether5-service network=192.168.0.0
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-Krones src-address=192.168.175.190
add action=netmap chain=dstnat dst-address=192.168.175.167 in-interface=ether2-ProLeiT to-addresses=10.23.34.167
Не очень понимаю зачем нам нужен IP из сети сервера на интерфейсе, который смотрит на сервер?
add address=192.168.175.192/24 interface=ether2-ProLeiT network=192.168.175.0
Ведь сервер больше не использует шлюз на микротик.
Но без этого не работает
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Может как-то это и можно обойти используя Bridge NAT, но я бы в это не влезал. Назначить адреса микротику - самый простой вариант.
В принципе не обязательно - можно какой-то из этих адресов и использовать для доступа к самому микротику, если к контроллерам доступ нужен только по каким-то определенным портам.
Но опять же не вижу проблемы в одном лишнем адресе, который будет использоваться именно для доступа к микротику.
Telegram: @thexvo