Как настроить NAT между 2мя микротиками для связывания двух сетей с помощью L2TP?
Есть 2 подсети 1ая 192.168.3.0/24, микротик выступает в качестве роутера (внутренний адрес адрес 3.1, есть публичный IP) 2ая 192.168.0.0/24, публичного IP нет,есть отдельный роутер(не микротик) (адрес 0.1, он является шлюзом по умолчанию ), микротик (адрес 0.3 ) используется для связи с сеткой 1
подсети связаны с помощью микротиков через L2TP ( на 3.1 L2TP сервер, с адресом 192.168.9.1),
на микротике 0.3 клиент с адресом 9.2
соотвественно настроены роуты (на 3.1 добавлен 192.168.0.0/24 через 9.2 , на 0.3 добавлен 192.168.3.0/24 через 9.1)
микротики видят друг друга,
проблема (в принципе понятная , только не могу решить уже который день ) :
пинги из сети 3.0 идут например до адреса 192.168.0.50 , но ответ обратно дойти не может тк шлюзом выступает не микротик 0.3, а отдельный роутер-шлюз (0.1)
Насколько я понимаю надо настроить NAT на 0.3 чтобы в исходящих пакетах адрес отправителя был не 3.х , а 0.3 , а при ответах от устройства подменять его обратно
Подскажите пожалуйста как правильно настроить NAT или любой другой вариант конфигурации ( перерыл кучу статей , пробовал например EoIP , ничего не взлетает)
Ограничения по топологии (поменять шлюз по умолчанию во 2й сетке с роутера(0.1) на микротик(0.3), или
вообще выкинуть отдельный роутер оставив только микрот ) не изменить (можно настраивать как угодно только микроты, роутер и дефолтный шлюз с серым IP трогать не могу),
настроить статический роут на устройствах в 2й подсети тоже не могу - это ESPшки с прошитым шлюзом 0.1 к которым собственно нужно получить доступ из 3.0
проброс портов не вариант - хочется из своей сети обращатся к разным устройствам в другой сети (компы, роутеп, esp-шки) по разным протоколам (http, ssh, ping, ...) и для каждого заводить проброс - это ад
+ еще DHCP в другой сети - это ад в кубе
Почему не можешь трогать дефолтный шлюз с серым IP? мак адрес? или что-то другое?
У меня была почти подобная схема, где у покупали 2 точки у одного провайдера, в силу географичкого положения корпусов предприятия и в одном корпусе был серый IP, а в главном белый. Т.к. провайдер был один - просто сделал IP-IP туннель и указывал его в качестве шлюза по умолчанию.
все просто - 2я сеть это дача - роутер со свистком 4g , микротик там старый - однопортовый (раньше он был роутером , модем вставлялся в него, но потом он стал глючить аппаратно имеено на 4г модеме)
Alosd, ну вот теперь более понятно, на немикротике добавить статический маршрут до сети 3,0, надеюсь на нем есть возможность указания статических маршрутов
Korben5E, добавлен ( 3.0/24 -> 0.3)- не помогает
что происходит (как я понимаю - поправьте если не так)
если я с компа (например 0.100) в этой (2й / серой) сетке пингую внешний адрес (8.8.8.8)
на компе в таблице маршрутизации есть все адреса текущей сети (0.0/24 и шлюз для других подсетей = 0.1)
0.100 (комп) отправляет пакет на 0.1
0.1 (роутер ) смотрит на свою таблицу - отправляет в след. шлюз (инет)
ответ идет обратно по всей этой же цепочке (понятно что тут еще WAN адрес и все промежуточные - их опускаем ) 8.8.8.8 -> 0.1 -> 0.100
если я пингую из 2-й подсети адрес из 1й подсети (напр 3.100) :
0.100 (комп) отправляет пакет на 0.1
0.1 (роутер) видит статичекий роут ( 3.0/24 -> 0.3 ) отправляет пакет в 0.3
0.3 (микрот) находит в таблице роутов адрес для 3.100 - отправляет его через L2TP на 3.1
3.1 (микротик-роутер в 1й сети ) отправляет пакет в 3.100
ответ идет обратно (тут могу ошибаться) уже не по всей цепочке запросов, а по
3.100 -> 3.1 -> 0.3 -> 0.100 - те 0.1 у нас выпал
а вот если я наоборот пингую из 1й подсети компы во 2й, то получается (снова не уверен) следущее
напр 3.100 -> 0.100
3.100 (комп) отправляет пакет на 3.1
3.1 (микротик-роутер в 1й сети) оправляет его через L2TP на 0.3
0.3 (микрот) отправляет его на 0.100
а ответ идет обратно 0.100-> 0.1 (тк это шлюз ),
а так как это ответ - а не запрос (и роутер "не помнит про отправителя") - то ответ дропается
И если картина правильная , получается чт омне нужно как-то при попадании пакета на 0.3 (микрот)
поменять в нем отправителя (на сам 0.3), запомнить это и когда комп (0.100) вернет ответ, в нем поменять обратно на реальный адрес (с 0.3 на 3.100), но возможно есть и блоее прочтые/правильные варианты
(в порядке бреда - может у L2TP клиента (на 0.3) роутинг как то поменять на 0.1
чтобы все пакеты из 1й сети попадая на микрот во 2й сети шли дальше не напрямую адресатам , а обязательно через роутер 0.1 - и по идее и запросы и ответы тогда будут идти по маршруту типа
3.100->3.1->0.3->0.1->0.100 , ответ 0.100-> 0.1 -> 0.3 -> 3.1 -> 3.100
)
0.1 (роутер ) смотрит на свою таблицу - отправляет в след. шлюз (инет)
Почему в инет?
если у него есть статический маршрут типа " чтобы попасть в сеть 3.0 обратись к 0.3", то пакет завернется и ни в какой инет не пойдет... если не работает - просто поставьте микротик перед инет-шлюзам...
пусть микротик раздает ареса клиентам, а шлюз общается только с микротиком.