Здравствуйте!
Помогите с вопросом, бьюсь второй день - не могу разобраться. Уже стал думать, что решение данного вопроса невозможно на микротике.
Исходные данные такие:
На микротике (RB2011)-
1 Внешний интерфейс 1.1.1.12/28
2 Внутренний интерфейс 10.10.11.5/24
3 Микротик соединен по внутренней сети с адресом 10.10.11.1/24, за которым через NATподключен целевой адрес 192.168.1.12/24
Нужно трафик приходящий на внешний порт микротика - адрес 1.1.1.12/28 и порт 1278 пробросить до адреса 192.168.1.12/24 на порт 1278
При этом нужно соблюсти условие, чтобы траффик приходящий на 192.168.1.12/24 должен быть с адреса 10.10.11.5/24, соответственно dst-nat не подходит.
Возможно ли реализовать такую конфигурацию, и если да - то подскажите как?
Схема прикреплена.
Спасибо.
Роутинг соединения из внешней сети во внутреннюю
-
tetsuo
- Сообщения: 4
- Зарегистрирован: 16 янв 2014, 15:07
- Вложения
-
- Схема
- Variant.jpg (11.78 КБ) 4036 просмотров
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну все же просто
10.10.11.0/24 - транспортная сеть
Настраивайте маршрутизация между устройствами и прокидывайте порт напрямую на 10.10.11.5
10.10.11.0/24 - транспортная сеть
Настраивайте маршрутизация между устройствами и прокидывайте порт напрямую на 10.10.11.5
Есть интересная задача и бюджет? http://mikrotik.site
-
tetsuo
- Сообщения: 4
- Зарегистрирован: 16 янв 2014, 15:07
Подскажите как? У меня очень мало опыта работы с mikrotik.
Не все тонкости знаю.
Спасибо.
Не все тонкости знаю.
Спасибо.
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
192.168.1.12/24 - ходит в итернеты через микротик? т.е. я к чему: это полная схема сети? или где то есть еще что то, что используется как шлюз для доступа в интернет, для устройств сети.
-
tetsuo
- Сообщения: 4
- Зарегистрирован: 16 янв 2014, 15:07
Да схема не полная. 192.168.1.12 - находится за туннелем. У железки 10.10.11.1 свой выход в интернет (она выходит не через микротик).
Могу поправить схему и выложить более полный вариант.
Могу поправить схему и выложить более полный вариант.
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
При этом нужно соблюсти условие, чтобы траффик приходящий на 192.168.1.12/24 должен быть с адреса 10.10.11.5/24, соответственно dst-nat не подходит.
не пойму, почему не подходит dst-nat? если вам нужно, чтобы пакеты прилетающие от кого то там на 1.1.1.12/28 и отправлялись к 192.168.1.12/24 от лица 10.10.11.5/24 то это как минимум src-nat:
Код: Выделить всё
/ip firewall nat add chain=srcnat action=src-nat src-address=0.0.0.0/0 protocol=tcp dst-port=1278 to-addresses=10.10.11.5во вторых, если вам надо отправить это на 192.168.1.12/24 в порт 1278 вам нужен dst-nat, ибо других вариантов у вас нет:
Код: Выделить всё
/ip firewall nat add chain=dstnat action=dst-nat dst-address=1.1.1.12/28 protocol=tcp dst-port=1278 to-addresses=192.168.1.12 to-ports=1278при этом микротик должен знать, где этот 192.168.1.12 находится, т.е. добавить маршрут:
Код: Выделить всё
/ip route add dst-address=192.168.1.0/24 gateway=10.10.11.1при этом на 10.10.11.1 не должно быть никаких src-nat и dst-nat на этот трафик.
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
tetsuo писал(а):Подскажите как? У меня очень мало опыта работы с mikrotik.
Не все тонкости знаю.
Спасибо.
Так это общие понятия и не важно микротик у вас там или что то другое
Есть интересная задача и бюджет? http://mikrotik.site
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну если схему взять как руководство к действию. То дст-нат вообще не нужен )))
Есть интересная задача и бюджет? http://mikrotik.site