Ну, что же.. поигрался. Первое впечатление положительное. Что-то даже работает. Но вот на чем я заткнулся..
Ниже - сначала полная конфигурация.. потом по частям.
Код: Выделить всё
/interface ethernet
set [ find default-name=ether1 ] name=ether1-Krones
set [ find default-name=ether2 ] name=ether2-BMJ
set [ find default-name=ether3 ] name=ether3-CMS
set [ find default-name=ether4 ] name=ether4-SRV
set [ find default-name=ether5 ] name=ether5-CORP
/interface list
add name=interface-list-PLC
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface list member
add interface=ether1-Krones list=interface-list-PLC
add interface=ether2-BMJ list=interface-list-PLC
add interface=ether3-CMS list=interface-list-PLC
/ip address
add address=10.17.211.170/24 interface=ether1-Krones network=10.17.211.0
add address=192.168.2.170/24 interface=ether2-BMJ network=192.168.2.0
add address=140.80.0.170/24 interface=ether3-CMS network=140.80.0.0
add address=192.168.100.170/24 interface=ether4-SRV network=192.168.100.0
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface-list=interface-list-PLC
add action=src-nat chain=srcnat disabled=yes dst-address=10.17.211.160 src-address=192.168.100.10 to-addresses=10.17.211.170
add action=src-nat chain=srcnat disabled=yes dst-address=192.168.2.1 src-address=192.168.100.10 to-addresses=192.168.2.170
/ip route
add distance=1 dst-address=10.17.211.0/24 gateway=ether1-Krones pref-src=10.17.211.170
add distance=1 dst-address=140.80.0.0/24 gateway=ether3-CMS pref-src=140.80.0.170
add distance=1 dst-address=192.168.2.0/24 gateway=ether2-BMJ pref-src=192.168.2.170
Пробовал два варианта конфигурирования NAT
Сначала - через список интерфейсов и masquerade
Затем - напрямую через src-nat
Не смотрите, что задизаблено.. это я в WinBox уже игрался, переключал.
Код: Выделить всё
/ip firewall nat
(правило 1) add action=src-nat chain=srcnat disabled=yes dst-address=10.17.211.160 src-address=192.168.100.10 to-addresses=10.17.211.170
(правило 1) add action=src-nat chain=srcnat disabled=yes dst-address=192.168.2.1 src-address=192.168.100.10 to-addresses=192.168.2.170
Тестирую..
Делаю пинг с компьютера (ноутбук 192.168.100.10 на интерфейсе ether4-SRV ) на 10.17.211.160
При включении выключении правила, написанного через Interface-list все замечательно. Пинг то проходит, то не проходит.
А вот при использовании правил через src-nat имею просто очень странное поведение.
Когда включены правила 1 и 2, то выключение правила 1
НЕ приводит к остановке пинга на адрес 211.160 (!)
Только выключение следом правила 2 приводит к остановке пинга.
Далее включаю правила в обратной последовательности.. сначала включаю правило 2, пинга нет. Ок.
Включаю правило 1 - пинга снова нет (!!)
Выключаю оба и включаю теперь сначала 1 (правило 1 включено единолично, остальные отключены) - пинг пошел.
Только так и работает. Ощущение, что соседние правила мешают и включению и выключению правил.
И так постоянно.
Ну что это? Не понимаю, это глюк или фича?
Почему через интерфейс-лист решил не делать.. Где-то вычитал, что на это больше процессорного времени тратится.
Понимаю, что не так уж и много.. но уже дело принципа. Хочется понять, что не так происходит? Получается, правила глючат.
В остальном, обмен с контроллерами идет.
По взаимодействию с Corp сетью еще буду подумать.