Здравствуйте, коллеги! Прошу дать подсказку в реализации следующего механизма: На данный момент от провайдера приходит канал с подсетью 213.170.84.40/29, у провайдера шлюз 213.170.84.41, у маршрутизатора локальной сети (MikroTik) адрес 213.170.84.42, и несколько хостов (DMZ) включено параллельно с маршрутизатором с адресами ...43, 44, 45... Задача - пропускать весь трафик этих хостов через Firewall. Есть договоренность с провайдером, он готов маршрутизировать всю подсеть через серую подсеть, например, 172.16.1.0/24. Таким образом, на внешнем интерфейсе маршрутизатора я поднимаю серый адрес 172.16.1.2 для маршрутизации, еще на одном интерфейсе подниму адрес 213.170.84.41 в качестве шлюза для хостов в DMZ. А вот как мне сделать, чтобы вся локальная сеть выходила через NAT с адресом 213.170.84.42, я не могу сообразить. Чем мне для этого воспользоваться? Да, сразу предупреждаю, оставить канал так, как есть, и настроить NAT для каждого хоста в DMZ не предлагать, они должны на своих интерфейсах иметь родные белые адреса. P.S. Да, понятно, что локальная сеть подключена к третьему интерфейсу того же роутера. Допустим, пакет из локалки наружу влетел через Ether3 и после маршрутизации он должен попасть в NAT как исходящий пакет с интерфейса, на котором прописан адрес 213.170.84.42. Чтобы этот пакет ушел наружу к провайдеру, он должен влететь в интерфейс, на котором прописан адрес 213.170.84.41. Мне непонятно, как исходящий пакет сделать входящим в пределах одной подсети. Что-то мне подсказывает, что просто создать bridge и привязать к нему оба адреса не сработает.
1. В принципе можно и без транзитной сети. Запихиваем порты WAN и DMZ в бридж. Ставим в Bridge Settings Use-ip-firewall=yes и фильтруем трафик между портами бриджа. 2. У вас схема 172.16.1.0/30 на транзите и есть реальный адрес. Ну так и пишите правило /ip firewall nat chain=srcnat out-interface=wan src-address=!213.170.84.40/29 action=src-nat to-address 213.170.84.42 Тогда роутер заменит адрес отправителя на 213.170.84.42 и все срастется.
Спасибо большое! По пункту 1 что имеется в виду под WAN и DMZ? WAN серая сеть снаружи, а DMZ моя 213.170.84.40? Тогда совсем непонятно, как они в одном бридже будут жить. По пункту 2 - в принципе понятно... а, просто не будет лишнего хопа на маршруте, а так все равно, с каким адресом источника пакет выйдет из роутера. Осталось только разобраться, как ловить новые соединения внутрь локалки в DSTNAT на адрес ...84.42, но это, наверно, сам додумаю.