SRCnat

Тема в разделе "Маршрутизация", создана пользователем Роман88, 29 ноя 2016.

  1. Роман88

    Роман88 Новый участник

    Привет Всем!! Нужна помощь не могу разобраться, имеются два офиса 1 и 2. На обоих офисах стоят микротики, за ними подняты сети 1 (192.168.25.0/24) и 2 (192.168.63.0/24). Между микротиками поднят туннель L2TP (адерса туннеля 1 микротика 192.168.6.1, и адрес 2 микротика 2 192.168.6.2) . Теперь самое интересное, на 2 микротике создали правило , блокирующее доступ к сети 63.0/24 кроме одного хоста с адресом 25.4, но в тоже время из сети 63.0/24 мне нужно иметь полный доступ к сети 25.0/24. Но его нет. Подскажите пожалуйста как проще организовать доступ из одной сети в другую. Я так думаю что можно с помощью Src-nat, сеть 63.0/24 натить на 192.168.6.2 и сеть 25.0/24 натить на 192.168.6.1. ОЧень нужна помощь в решении этого вопроса.
     
  2. Dmitry_S

    Dmitry_S Участник

    А у вас что-то не работает? Маршруты на микротиках и компах прописаны?
    Вообще не понял, зачем тут чего-то натить?
     
  3. Илья Князев

    Илья Князев Администратор Команда форума

    Настройка маршрутов. Настройка файрвол с учетом connaction-state.
    NAT здесь ни при чем.
     
  4. Роман88

    Роман88 Новый участник

    Может я не правильно объяснил, попробую еще. Вот правило
    ;;; DROP 25.0/24
    chain=forward action=drop src-address=!192.168.25.4
    dst-address=192.168.63.0/24 in-interface=korvinHome log=no log-prefix="", которое блокирует доступ между сетями (если оно отключено, то сети видят друг друга без проблем). Но при включенном правиле, я не могу получить доступ из сети 63.0/24 в сеть 25.0/24. Но мне нужно видеть всю сеть 25.0/24 из сети 63.0/24 без исключений. Как правильно мне это сделать?
     
  5. Илья Князев

    Илья Князев Администратор Команда форума

    Выше поставить
    chain=forward connection-state=established,related action=accept
     
  6. Роман88

    Роман88 Новый участник

    Уважаемый Илья а можно небольшое пояснение к этому правилу?
     
  7. Илья Князев

    Илья Князев Администратор Команда форума

    Пропускать ранее устанвленные соединения.
     
  8. Роман88

    Роман88 Новый участник

    Да может быть, оно и так да вот не на все адреса могу попасть. Есть те которые не доступны
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    Разбирайтесь с файрволлом в винде.
    Формально можете конечно сделать дополнительный src-nat, чтобы запрос в удаленную подсеть приходил с адреса микротик.
     
    Роман88 нравится это.
  10. Dmitry_S

    Dmitry_S Участник

    Не похоже на виндовый файервол, т.к. с выключенным правилом всё работает

    Роман88, вы точно NAT не используете?
     
  11. Роман88

    Роман88 Новый участник

    Все разобрался, спасибо большое всем кто откликнулся. Отдельное спасибо Илье Князеву.
     
  12. Dmitry_S

    Dmitry_S Участник

    Написали бы, в чем была проблема. Может кому-то тоже поможет
     
  13. Роман88

    Роман88 Новый участник

    А пордон, виноват. Как и сказал Илья, на машины не работал доступ, из из встроенного фаирвола. В остальном все работает отлично. Еще раз большое спасибо!