Страница 1 из 1
NAT
Добавлено: 23 окт 2015, 10:32
23q
Есть микротик, в нем 2 бриджа и один ван:
1 бридж: 2 и 3 порт (192.168.25.0/24)
2 бридж: 4 и 5 порт (192.168.36.0/24)
ван 1 порт.
У одной сети и у второй есть инет через ван. Можно ли сделать что б доступ с 192.168.25.0/24 на 192.168.36.0/24 был, а наоборот не был))) Типа так, как будто к микротику во второй бридж подключил роутер и на нем за натом спрятал подсеть.
Re: NAT
Добавлено: 23 окт 2015, 12:34
WhiteWolf
Если подсети натить так:
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.36.0/24
add action=masquerade chain=srcnat src-address=192.168.25.0/24
Получите желаемое.
Re: NAT
Добавлено: 23 окт 2015, 14:45
ansh
а если два WAN (2 провайдера) и вся LAN уходит наружу через первый WAN1
роутинг через WAN2 выключен... Как сделать так, чтобы один комп из сети уходил наружу через WAN2?
Код: Выделить всё
add action= masquerade chain=srcnat out-interface=WAN2
это правило не помогает...
Re: NAT
Добавлено: 23 окт 2015, 16:20
ansh
пометил пакеты, добавил роутинг для них и NAT... инет заработал через WAN2...)
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=prerouting connection-mark=no-mark disabled=no src-address=192.168.0.5 new-connection-mark=inet_con passthrough=no
/ip route
add distance=1 gateway=2.2.2.2 routing-mark=inet_con
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wan2
Re: NAT
Добавлено: 27 окт 2015, 10:50
23q
WhiteWolf писал(а):Если подсети натить так:
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.36.0/24
add action=masquerade chain=srcnat src-address=192.168.25.0/24
Получите желаемое.
а вот херра... сделал два таких правила... пинги идут и с одной и с другой стороны. вот почему так?? кто-то может обьяснить?
сделал так:
Код: Выделить всё
/ip firewall mangle
chain=prerouting action=mark-connection new-connection-mark=36
passthrough=yes dst-address=192.168.25.0/24 in-interface=bridge2 log=no
log-prefix=""
Код: Выделить всё
/ip firewall filter
chain=forward action=drop connection-mark=36 log=no log-prefix=""
так работает.
Re: NAT
Добавлено: 27 окт 2015, 10:56
vqd
с интересом наблюдаю за данно веткой.
Там наводку Connection state = new
Re: NAT
Добавлено: 27 окт 2015, 13:17
WhiteWolf
Самое простое
Код: Выделить всё
/ip firewall filter
add action=drop chain=forward connection-state=new dst-address=192.168.25.0/24 src-address=192.168.36.0/24
Но ТС, я так понял, хотел ходить в 192.168.36.0/24 НАТом
Re: NAT
Добавлено: 27 окт 2015, 13:30
vqd
одно другому не мешает...
Re: NAT
Добавлено: 28 окт 2015, 09:31
23q
WhiteWolf писал(а):Самое простое
Код: Выделить всё
/ip firewall filter
add action=drop chain=forward connection-state=new dst-address=192.168.25.0/24 src-address=192.168.36.0/24
Но ТС, я так понял, хотел ходить в 192.168.36.0/24 НАТом
спасибо. правильно ли я понимаю, пакеты которые прошли через правило маскарадинга уже не являются новыми и поэтому проходят, а те пакеты которые исходят от 192.168.36.0/24 не маскарадятся на 24 подсеть и являются для роутера новыми?
Re: NAT
Добавлено: 28 окт 2015, 10:48
vqd
новые это новые и не важно применен к ним НАТ или нет