Вопросы по роутингу

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Ответить
Mxboy
Сообщения: 2
Зарегистрирован: 11 апр 2020, 11:24

Имеется роутер от провайдера (192.168.3.1) с него в локалку раздается инет + он же в этой подсети шлюз по умолчанию.

В его подсети стоит микротик (192.168.3.3) в качестве vpn-клиента через тоннель по инету к удаленному vpn-серваку (клиент 192.168.5.21, сервак 192.168.5.20).

Сей vpn-сервак на удаленной строне тоже микротик (192.168.1.100), он же и роутер там раздающий инет, соответссно шлюз по умолчанию для своей подсети 192.168.1.хх

Как сделать так, чтобы из подсети 192.168.1.xx был бы доступ к подсети 192.168.3.xx, но при этом из этой самой подсети 192.168.3.хх не было б доступа обратно, к подсети 192.168.1.хх ?
Т.е. чтоб роутинг был в одну сторону.


Вернуться к началу
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2527
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:
Контактная информация пользователя Vlad-2

Mxboy писал(а): 11 апр 2020, 14:59 Имеется роутер от провайдера (192.168.3.1) с него в локалку раздается инет + он же в этой подсети шлюз по умолчанию.
В его подсети стоит микротик (192.168.3.3) в качестве vpn-клиента через тоннель по инету к удаленному vpn-серваку (клиент 192.168.5.21, сервак 192.168.5.20).
Сей vpn-сервак на удаленной строне тоже микротик (192.168.1.100), он же и роутер там раздающий инет, соответссно шлюз по умолчанию для своей подсети 192.168.1.хх
Конечно тут выше - куча нюансов.
Mxboy писал(а): 11 апр 2020, 14:59 Как сделать так, чтобы из подсети 192.168.1.xx был бы доступ к подсети 192.168.3.xx, но при этом из этой самой подсети 192.168.3.хх не было б доступа обратно, к подсети 192.168.1.хх ?
Т.е. чтоб роутинг был в одну сторону.
Можете схитрить, сделайте чтобы сеть 1.0/24 выходила в сторону сети 3.0/24 через НАТ (то есть все запросы сети 1.0/24 при попадании
в сеть 3.0/24 должны прятаться за адресом 3.хх), соответственно, сеть 3.0/24 вообще знать не будет где сеть 1.0/24 находиться,
и вот Вам такое обобщённое решение.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Вернуться к началу
Mxboy
Сообщения: 2
Зарегистрирован: 11 апр 2020, 11:24

Можно на пальцах - это как сделать? Пример настроек.


Вернуться к началу
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2527
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:
Контактная информация пользователя Vlad-2

Mxboy писал(а): 11 апр 2020, 19:06 Можно на пальцах - это как сделать? Пример настроек.
У Вас там 3 микротика, куча сетей и прочего, а Вы спрашиваете как сделать NAT/Маскарайдинг?
Странно.

(Вы должны с компа дойти до узла 3.3, там на этом узле(роутере), все пакеты с сети 1.хх/24 должны
заНАТиться, то есть скрыться, то есть роутер(3.3) должен пакеты с адресами 192.168.1.ххх заменить
в них адрес на свой локальный, то бишь на 192.168.3.3, и отправить дальше, для всей сети 3.0/24
эти пакеты будут видны как с адреса 3.3 и никто про сеть 1.хх даже и не будет догадываться.)

НАТ работает у всех дома, когда сеть домашняя при выходе в сторону провайдера подменяется,
провайдер не знает что у Вас дома и какая сеть.

Прочитайте про SRC-NAT правила.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Вернуться к началу
Ответить

Вернуться в «Общие вопросы»