Доступ к устройствам на интерфейсе WAN

[marcos71]

Добрый времени, уважаемые форумчане.
Тут подкинули, казалось бы, тривиальнейшую задачу, а как ее реализовать - никак не соображу, поможите кто чем может
Ситуация следующая:
hAP ac lite подключен к коммутатору провайдера посредством радиомоста (ubiquity lite beam). Собственном, роутер настроен, интернет раздает, но возникла необходимость получить удаленный доступ к устройствам радиомоста, их ip-адреса 192.168.0.253/24 и 192.168.0.254/24. На роутере настроен NAT, адрес локальной сети за NATом 10.10.10.0/24.
На внешнем интерфейсе роутера работает DHCP-клиент.
После того, как на внешний интерфейс был дополнительно назначен адрес 192.168.0.252/24, устройства стали пинговаться из интерфейса роутера (winbox, Tools -> Ping). Также из локальной сети доступен ip-адрес 192.168.0.252, дополнительно назначенный на wan-интерфейс роутера. Но при этом из локальной сети недоступны адреса, назначенные устройствам радиомоста (192.168.0.253 и 192.168.0.254).
При трассировке адресов 192.168.0.253 и 192.168.0.254 из локальной сети пакеты теряются на 10.10.10.1 (роутер), т.е. роутер не понимает, куда их отправлять, хотя маршрут к сети 192.168.0.0/24 динамически создается, шлюзом указан порт wan и ip-адрес, указанный на нем (192.168.0.252).
Какие еще настройки в RouterOS надо произвести, чтобы получить доступ к устройствам радиомоста?

[karton]

Если с роутера пингует, а с компов нет, мне кажется радиомост просто не знает маршрута до клиентов обратно, по идее это должен решать NAT, но возможно он у вас настроен как-то иначе и в этом случае не срабатывает. Также не совсем понял зачем добавляли дополнительный адрес если там уже есть DHCP-клиент, хотя вы написали что только после этого появился пинг, вообщем если с NAT`ом не прокатит то поподробнее опишите подсети которые между радиомостами и роутером.
Думаю примерно такое правило должно помочь (его важно поместить выше основного правила):

Код: Выделить всё

chain=src-nat action=src-nat dst-address=192.168.0.0/24 to-addresses=192.168.0.252 

[marcos71]

DHCP клиент на внешнем интерфейсе роутера получает ip-адрес от dhcp-сервера провайдера. Это адрес из сети, отличной от сети устройств радиомоста.
Для доступа к сети устройств радиомоста был добавлен адрес на внешнем интерфейсе, входящий в ту же сеть, что и устройства радиомоста.
Если бы nat был настроен не верно, наверное в локальной сети за роутером не было бы интернета?

[karton]

У вас получается теперь на внешнем интерфейсе два адреса и для доступа к подсети 192.168.0.0/24 нужно натить именно на адрес 192.168.0.252, для этого нужно второе правило NAT написать именно для такого случая и поставить его выше основного, я вам такое правило написал в конце первого сообщения. Стандартное правило NAT (не знаю как у вас оно написано) скорее всего заменяет только на адрес от провайдера из-за чего инет есть, а доступа к радиомостам нет, вероятнее всего можно изменить настройки на радиомостах чтоб они знали как попасть в ту или иную сеть, но это сложнее чем добавить второе правило NAT для конкретного условия.

[marcos71]

Да, Вы правы, второго правила nat для сети 192.168.0.0/24 нет. Сегодня попробую его создать и протестировать. Спасибо за отклик.

[marcos71]

karton, большое спасибо. Указанное Вами правило помогло, пакеты на устройства побежали.