ipfire + mikrotik

Обсуждение ПО и его настройки
Ответить
vshaev
Сообщения: 21
Зарегистрирован: 12 окт 2017, 11:43

Всем хорошего дня.
Имеется сеть - к провайдеру со статикой 77.77.77.77.смотрит ipfire к которому (green 192.168.1.0/24) подключен микротик HEX со своей сеткой 192.168.10.0/24. Микротик в теории на данный момент можно было бы и убрать, но на нем поднят WG а ipfire может только ovpn и ipsec которые удаленные клиенты не могут по разным причинам.
В идеале хотелось бы из сети 192.168.10.0/24 всех клиентов перенести в 192.168.1.0/24 и микротик использовать исключительно для туннеля для этой сети, но вот как это реализовать (и можно ли в принципе) - не знаю.
Существующий вариант неудобен тем, что ipfire всех клиентов за микротиком (192.168.10.0/24) видит как 192.168.1.100 (адрес роутера от dhcp ipfire) что очень неудобно с т.з. администрирования.
Не смог найти решения по обеим вариантам. Можете поделиться мнениями?


Вернуться к началу
Illinory
Сообщения: 102
Зарегистрирован: 23 окт 2019, 15:08

Существующий вариант неудобен тем, что ipfire всех клиентов за микротиком (192.168.10.0/24) видит как 192.168.1.100 (адрес роутера от dhcp ipfire) что очень неудобно с т.з. администрирования.
На Микротике общее правило для NAT очень широкое - сделайте только через WG интерфейс, если вообще требуется NAT, а если нет, то просто удалить/деактивировать.
На ipfire

Код: Выделить всё

route add 192.168.10.0/24 via 192.168.1.100
, чтобы не потерять связность сетей.

Надеюсь, что я правильно понял описание Вашей сети.


Вернуться к началу
vshaev
Сообщения: 21
Зарегистрирован: 12 окт 2017, 11:43

Illinory писал(а): 03 дек 2023, 12:54 На Микротике общее правило для NAT очень широкое - сделайте только через WG интерфейс, если вообще требуется NAT, а если нет, то просто удалить/деактивировать.
На ipfire

Код: Выделить всё

route add 192.168.10.0/24 via 192.168.1.100
, чтобы не потерять связность сетей.

Надеюсь, что я правильно понял описание Вашей сети.
Спасибо за ответ.
Деактивация маскардинга зарубает весь трафик. Или тут нужно какое то разрешающее правило?
Буду экспериментировать.


Вернуться к началу
Illinory
Сообщения: 102
Зарегистрирован: 23 окт 2019, 15:08

vshaev писал(а): 03 дек 2023, 13:51
Illinory писал(а): 03 дек 2023, 12:54 На Микротике общее правило для NAT очень широкое - сделайте только через WG интерфейс, если вообще требуется NAT, а если нет, то просто удалить/деактивировать.
На ipfire

Код: Выделить всё

route add 192.168.10.0/24 via 192.168.1.100
, чтобы не потерять связность сетей.

Надеюсь, что я правильно понял описание Вашей сети.
Спасибо за ответ.
Деактивация маскардинга зарубает весь трафик. Или тут нужно какое то разрешающее правило?
Буду экспериментировать.
Маскарадинг же у вас для чего-то?
Исключите локальные интерфейсы и/или сети из этого правила. Например, не маскарадить dst 192.168.1.0/24.


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»