Есть два микротика 3011 и 941, на обоих последняя прошивка. На 3011 приходит pppoe от провайдера с белым IP для интернета. Также на 3011 один интерфейс смотрит в локалку с двумя сетямя 192.168.0.0/24 и 192.168.2.0/24, на интерфейсе выставлены адреса 192.168.0.7 и 192.168.2.7 соответсвенно. В NAT два отдельных правила один masquerade для полнстью 192.168.0.0/24 и один с адрес листом из 192.168.2.0/24. в сети 192.168.2.0/24 микротик 941 выступает в роли роутера для hostspot wifi c IP адрессами 10.11.1.0/24. На этом микротике cоотвественно создан nat для hotspot и 10.10.10.0/24 для своих. В целом все работает нормально, но смущает лог на 3011 микротике, там есть правило в конце списка filter - chain=froward action=drop. Каким то не понятным образом на 3011 прилетают пакеты с IP из сети за вторым роуетром.
Код: [admin@MikroTik-Cofee] > /ip firewall export # nov/23/2017 22:40:51 by RouterOS 6.40.4 # software id = VL6P-3R07 # # model = RouterBOARD 941-2nD # serial number = 661605A18631 /ip firewall filter add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \ disabled=yes /ip firewall nat add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \ disabled=yes add action=masquerade chain=srcnat comment="masquerade hotspot network" \ src-address=10.11.1.0/24 add action=masquerade chain=srcnat src-address=10.10.10.0/24
хммм,.... так без NAT пакеты вообще обратно не вернутся же!? отключил на 941 NAT, на 3011 в фильтр посыпалась куча запросов в разы больше чем до этого с IP которые за 941, в connections tracker IP на 3011 941 пропал, кроме ДНС запросов .... включил обратно NAT на 941, на 3011 в фильтре теперь единичные пакеты пролетают, как и до отключения
ну т.е. у вас один адрес "пробирается" без NAT на 3011 ) что это за машинка 10.11.1.10 ? В какой порт физически подключена ? Такое подозрение что она по layer2 к вам попадет на 3011
Пробиваются разные IP хз как они по l2 могут пролезть, они на WIFI в отдельных бриджах 3011 и 941 по кабелю. Спойлер: скрины
а фиг его знает это гости кофэшки, вроде работает у них интернет, не жалуются ... я понять не могу, на 941 же стоит маскарад и все пакеты которые выходят на wan должны поменять адрес источника на адрес самого 941 на этом порту
ну я бы шел следующем путем, если это проблема определенного клиента копать его. Если проблема не в конкретном клиенте копать роутер )
поставил лог на 941 в Mangle Postrouting пакеты у которых надписи NAT нету, как раз прилетают в фильтр на 3011 как так? Спойлер: скрин
Доброе утро! hostpot на bridge "br-free" в нем сейчас один wlan, раньше в него добавлял свободный ethernet порт, чтобы по кабелю подключать еще "глупую" точку доступа для расширения зоны wifi Спойлер: скрин
