Как настроить NAT между 2мя микротиками для связывания двух сетей с помощью L2TP?

Question

[Alosd]

Есть 2 подсети
1ая 192.168.3.0/24, микротик выступает в качестве роутера (внутренний адрес адрес 3.1, есть публичный IP)
2ая 192.168.0.0/24, публичного IP нет, есть отдельный роутер(не микротик) (адрес 0.1, он является шлюзом по умолчанию ), микротик (адрес 0.3 ) используется для связи с сеткой 1

подсети связаны с помощью микротиков через L2TP ( на 3.1 L2TP сервер, с адресом 192.168.9.1),
на микротике 0.3 клиент с адресом 9.2

соотвественно настроены роуты (на 3.1 добавлен 192.168.0.0/24 через 9.2 , на 0.3 добавлен 192.168.3.0/24 через 9.1)

микротики видят друг друга,

проблема (в принципе понятная , только не могу решить уже который день ) :
пинги из сети 3.0 идут например до адреса 192.168.0.50 , но ответ обратно дойти не может тк шлюзом выступает не микротик 0.3, а отдельный роутер-шлюз (0.1)
Насколько я понимаю надо настроить NAT на 0.3 чтобы в исходящих пакетах адрес отправителя был не 3.х , а 0.3 , а при ответах от устройства подменять его обратно

Подскажите пожалуйста как правильно настроить NAT или любой другой вариант конфигурации ( перерыл кучу статей , пробовал например EoIP , ничего не взлетает)

Ограничения по топологии (поменять шлюз по умолчанию во 2й сетке с роутера(0.1) на микротик(0.3), или
вообще выкинуть отдельный роутер оставив только микрот ) не изменить (можно настраивать как угодно только микроты, роутер и дефолтный шлюз с серым IP трогать не могу),
настроить статический роут на устройствах в 2й подсети тоже не могу - это ESPшки с прошитым шлюзом 0.1 к которым собственно нужно получить доступ из 3.0

Answer 1

[Юрий MikroTik]

За основу можно взять Проброс порта на хост без шлюза
На данная схема заведомо плохая, если ESP захочет сам связаться, то упрется в свой шлюз.

Comments

[Alosd]

проброс портов не вариант - хочется из своей сети обращатся к разным устройствам в другой сети (компы, роутеп, esp-шки) по разным протоколам (http, ssh, ping, ...) и для каждого заводить проброс - это ад
+ еще DHCP в другой сети - это ад в кубе

[Юрий MikroTik]

Alosd, тогда без возможности приписать маршруты не будет работать

Answer 2

[Korben5E]

Почему не можешь трогать дефолтный шлюз с серым IP? мак адрес? или что-то другое?
У меня была почти подобная схема, где у покупали 2 точки у одного провайдера, в силу географичкого положения корпусов предприятия и в одном корпусе был серый IP, а в главном белый. Т.к. провайдер был один - просто сделал IP-IP туннель и указывал его в качестве шлюза по умолчанию.

Comments

[Alosd]

все просто - 2я сеть это дача - роутер со свистком 4g , микротик там старый - однопортовый (раньше он был роутером , модем вставлялся в него, но потом он стал глючить аппаратно имеено на 4г модеме)

[Korben5E]

Alosd, ну вот теперь более понятно, на немикротике добавить статический маршрут до сети 3,0, надеюсь на нем есть возможность указания статических маршрутов

[Alosd]

Korben5E, добавлен ( 3.0/24 -> 0.3)- не помогает
что происходит (как я понимаю - поправьте если не так)
если я с компа (например 0.100) в этой (2й / серой) сетке пингую внешний адрес (8.8.8.8)
на компе в таблице маршрутизации есть все адреса текущей сети (0.0/24 и шлюз для других подсетей = 0.1)

• 0.100 (комп) отправляет пакет на 0.1
  
• 0.1 (роутер ) смотрит на свою таблицу - отправляет в след. шлюз (инет)
  
• ответ идет обратно по всей этой же цепочке (понятно что тут еще WAN адрес и все промежуточные - их опускаем ) 8.8.8.8 -> 0.1 -> 0.100
  

если я пингую из 2-й подсети адрес из 1й подсети (напр 3.100) :

• 0.100 (комп) отправляет пакет на 0.1
  
• 0.1 (роутер) видит статичекий роут ( 3.0/24 -> 0.3 ) отправляет пакет в 0.3
  
• 0.3 (микрот) находит в таблице роутов адрес для 3.100 - отправляет его через L2TP на 3.1
  
• 3.1 (микротик-роутер в 1й сети ) отправляет пакет в 3.100
  
  
• ответ идет обратно (тут могу ошибаться) уже не по всей цепочке запросов, а по
  3.100 -> 3.1 -> 0.3 -> 0.100 - те 0.1 у нас выпал
  

а вот если я наоборот пингую из 1й подсети компы во 2й, то получается (снова не уверен) следущее
напр 3.100 -> 0.100

• 3.100 (комп) отправляет пакет на 3.1
  
• 3.1 (микротик-роутер в 1й сети) оправляет его через L2TP на 0.3
  
• 0.3 (микрот) отправляет его на 0.100
  
• а ответ идет обратно 0.100-> 0.1 (тк это шлюз ),
  а так как это ответ - а не запрос (и роутер "не помнит про отправителя") - то ответ дропается
  

И если картина правильная , получается чт омне нужно как-то при попадании пакета на 0.3 (микрот)
поменять в нем отправителя (на сам 0.3), запомнить это и когда комп (0.100) вернет ответ, в нем поменять обратно на реальный адрес (с 0.3 на 3.100), но возможно есть и блоее прочтые/правильные варианты

(в порядке бреда - может у L2TP клиента (на 0.3) роутинг как то поменять на 0.1
чтобы все пакеты из 1й сети попадая на микрот во 2й сети шли дальше не напрямую адресатам , а обязательно через роутер 0.1 - и по идее и запросы и ответы тогда будут идти по маршруту типа
3.100->3.1->0.3->0.1->0.100 , ответ 0.100-> 0.1 -> 0.3 -> 3.1 -> 3.100
)

[Korben5E]

0.1 (роутер ) смотрит на свою таблицу - отправляет в след. шлюз (инет)

Почему в инет?
если у него есть статический маршрут типа " чтобы попасть в сеть 3.0 обратись к 0.3", то пакет завернется и ни в какой инет не пойдет... если не работает - просто поставьте микротик перед инет-шлюзам...
пусть микротик раздает ареса клиентам, а шлюз общается только с микротиком.

[Korben5E]

Alosd, в общем плане понял как это сделать?