Добрый день, Дано: микротик. wan-2.2.2.2 , lan-192.168.88.1 Проблемы: 1)Не получается настроить проброс всего трафика который приходит на wan интерфейс без подмены src-address на адрес микротика(192.168.88.1). Например, узел 1.1.1.1 отправляет на wan микротика (2.2.2.2) запрос, где все пакеты перенаправляются на адрес 192.168.88.2(узел в сети), нужно что бы на адрес 192.168.88.2 приходил пакет с ip отправителя не 192.168.88.1(адрес микротика), а реальный ip (1.1.1.1) 2)при обращении на wan ip микротика(2.2.2.2:*) с указанием порта, который проброшен в локальную сеть из локальной сети(192.168.88.0/24) запрос не отрабатывается, но при обращиении через интернет все работает корректно Вопрос: как настроить правильные правила для корректной работы данных схем?
Да, по одному внешнему и внутреннему адресу на маршрутизаторе, для локальной сети 192.168.88.0/24 является основным шлюзом в интернет
И как вы себе при этом представляете работу NAT, если вы все порты транслируете на один хост ? Цель какая ?
на роутерах типа д-линк\тп-линк\... это называется DMZ например, 951 микротик является точкой доступа которая раздает интернет по wi-fi, за ним RouterOS6.* x86 (является резервным каналом для 951), к которому подключено еще множество аналогичных маршрутизаторов Цель: сократить количество правил фильтрации, оставив на 951 функции роутера и базовую защиту, централизовать обращения из интернета на одном производительном маршрутизаторе, резервирование каналов интернета.
Разберитесь с Hairpin NAT Вам надо сделать что-то вида Код: /ip firewall nat add action=dst-nat chain=dstnat dst-address=1.1.1.1 to-addresses=2.2.2.2 add action=masquerade chain=srcnat dst-address=1.1.1.1 src-address=2.2.2.0/24 Где 1.1.1.1 Внешний адрес 2.2.2.2 адрес внутреннего хоста в DMZ 2.2.2.0/24 адрес внутренней сети.
