Russian Users MikroTik | Форум пользователей MikroTik

Коллеги, добрый день.
Подскажите, имеет ли вообще задача решение.
RB1100
WAN1
WAN2
внутри
один бридж LAN на нем VLAN 10 и 20
VLAN 20 c DHCP 192.168.0.x
В нем все работает ходят в инет через WAN2.
VLAN 10 , так сложилось что внутри только статика с адресами 192.168.10.x (оборудования много оно разное давнишнее, менять подсеть нельзя).
за WAN2 тоже есть сеть 192.168.10.x. там много различных сервисов, к которым нужен доступ ( на VLAN20 он есть).
Надо, чтобы оборудования из VLAN10 уходило беспрепятственно в WAN2.
Совпадение адресов исключено. То есть они точно уникальные.
Возможно ли вообще решить этот вопрос, при использовании VLAN и не меняя подсеть на оборудовании внутри VLAN?
Изначально виделось это так : Попробовать принудительно завернуть весь трафик c VLAN10 На WAN2 ( сделать как будто они в одной сети). Но доступа ко второму роутеру нет, а следовательно EOIP туннель отпадает.
Вторая идея была, попытаться спрятать VLAN За натом, но не могу сообразить как это сделать.
Может я вообще зря напрягаюсь, и без изменения адресов задача не решается?

netmap + vrf + mangle

Либо в сочетании с маскарадом, если достаточно только в одну сторону доступа и там подразумевается обычный NAT из LAN в WAN.
Либо и туда и сюда в два разных диапазона, если NAT'а там быть по логике не должно.

Адресация внутри сетей тогда сохранится, но между ними разумеется ходить придется по измененным адресам.

Логика такая:

1) Оба интерфейса (WAN2 и VLAN10) выносятся в отдельные vrf.

2) Берутся две "виртуальные" сети (например 10.0.10.0/24 и 10.0.100.0/24), которые будут проецироваться на 192.168.10.0/24 в зависимости от того, куда именно надо попасть.

3) Трафик на эти виртуальные сети помечается в mangle prerouting в нужную vrf.

4) Дальше назначение подменяется через dst-nat netmap в 192.168.10.0/24

5) Дополнительно и источник подменяется в src-nat netmap в одну из "виртуальных сетей", если запрос идет из другой из них; если из каких-то других сетей, то не трогается.

В принципе должно быть достаточно только одного vrf, особенно если надо сохранить возможность в одну из этих двух сетей ходить по оригинальным адресам из VLAN20 или WAN1.

xvo писал(а): ↑08 дек 2022, 12:53 Логика такая:

1) Оба интерфейса (WAN2 и VLAN10) выносятся в отдельные vrf.

2) Берутся две "виртуальные" сети (например 10.0.10.0/24 и 10.0.100.0/24), которые будут проецироваться на 192.168.10.0/24 в зависимости от того, куда именно надо попасть.

3) Трафик на эти виртуальные сети помечается в mangle prerouting в нужную vrf.

4) Дальше назначение подменяется через dst-nat netmap в 192.168.10.0/24

5) Дополнительно и источник подменяется в src-nat netmap в одну из "виртуальных сетей", если запрос идет из другой из них; если из каких-то других сетей, то не трогается.

В принципе должно быть достаточно только одного vrf, особенно если надо сохранить возможность в одну из этих двух сетей ходить по оригинальным адресам из VLAN20 или WAN1.

VRF идея, попробую. Спасибо.