Для теста взаимодействия с корп сетю собрал вот такую схему (на картинке)
Порты 4 и 5 объединил в бридж (bridge4-5). Дал ему - IP 192.168.100.170
На МикроТике прописал маршрут по умолчанию - 0.0.0.0/0 на этот же интерфейс bridge4-5
Компьютер корп сети (Corp PC) поместил в другую подсеть (!!) 192.168.
101.1
На компьютере корп сети я не указывал наш микротик как шлюз(!)
Тестирую..
1. С компьютера корп сети шлю пинг на сервер (ping 192.168.100.10). Чтобы отправить такой пинг я прописал на компьютере корп сети маршрут -
route add 192.168.100.10 192.168.101.1 IF 10
2. Пакет на сервер благодаря бриджу доходит.. Но теперь сервер получает пинг с обратным адресом не из своей сети (192.168.101.1). Что как раз и имитирует стандатное взаимодействие моего сервера с корп сетью.
3. Сервер отвечает на свой шлюз по умолчанию - 192.168.100.170 (это мой бридж в МикроТике)
4. Т.к. на МикроТике прописан путь по умоланию 0.0.0.0/0 на этот же интерфейс bridge4-5, то пакет доходит до компьютера корп сети.
5. Так же проходят пинги и в обратную сторону.
6. Пробовал достучаться из компьютера корп сети до FTP на сервере. Работает.
7. Ну и с сервера пингуются контроллеры мои так же.
Вроде все работает.
Единственно, при такой схеме надо у завода еще один IP просить в корп сети для бриджа Микротика.
А то можно было бы сервер спрятать от корп сети за NAT. (Микротик бы притворился сервером)
Какие подводные камни могут быть в такой схеме на бридже?
Код: Выделить всё
/interface bridge
add name=bridge4-5
/interface ethernet
set [ find default-name=ether1 ] name=ether1-Krones
set [ find default-name=ether2 ] name=ether2-BMJ
set [ find default-name=ether3 ] name=ether3-CMS
set [ find default-name=ether4 ] name=ether4-SRV
set [ find default-name=ether5 ] name=ether5-CORP
/interface list
add name=interface-list-PLC
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge4-5 interface=ether5-CORP
add bridge=bridge4-5 interface=ether4-SRV
/interface list member
add interface=ether1-Krones list=interface-list-PLC
add interface=ether2-BMJ list=interface-list-PLC
add interface=ether3-CMS list=interface-list-PLC
/ip address
add address=10.17.211.170/24 interface=ether1-Krones network=10.17.211.0
add address=192.168.2.170/24 interface=ether2-BMJ network=192.168.2.0
add address=140.80.0.170/24 interface=ether3-CMS network=140.80.0.0
add address=192.168.100.170/24 interface=bridge4-5 network=192.168.100.0
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=interface-list-PLC
/ip route
add distance=1 gateway=bridge4-5