Mikrotik без NAT со «сквозной» адресацией. Как?

Question

[Влад]

Имеем:
Сети X - 10.61.5.0/24 ,
Y - 10.56.0.0/24 и
Z - 10.57.0.0/24.
Шлюз для сети X - устройство, которое нельзя заменить Микротиком с IP - 10.61.5.1 ,
Mikrotik RouterBOARD 951G 2HnD с IP - 10.61.5.4 -который смотрит на шлюз 10.61.5.1, который, в свою очередь смотрит на сети Y и Z, а также
второй IP 10.61.5.6 - который смотрит в локальную сеть Х.

Как сделать, чтобы пакеты проходили из сети Х через Mikrotik в сети Y, Z и обратно без изменения IP назначения\источника?

UPD: Добавил схему.


И экспорт конфигурации

/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway

/ip route
add distance=1 gateway=10.61.5.1

Comments

[Александр Романов]

Вы бы схемку хоть на бумаге накидали и сфоткали. Я чувствую, что могу Вам помочь, но не понимаю условие задачи )))

Answer 1

[alegzz]

если 10.61.5.0/24, то как 10.61.5.1 понимает, что в сеть 10.61.5.0/24 нужно посылать пакеты через микротик, а не напрямую?

Comments

[Влад]

Никак, он о микротике не знает, видимо поэтому я и не могу настроить нормально.

[alegzz]

ну тогда играйтесь с proxy arp

Answer 2

[Максим Мосейчук]

1) Разрешить нужные цепочки в файрволе (по умолчанию там много чего заблокировано).
2) Настроить маршруты.

Comments

[Влад]

1. А не подскажете что именно убрать?

Как мне видится, это строчку: add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
и соответственно /ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway

Вот полный список.

/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway

2. И какие маршруты нужны?

[Максим Мосейчук]

Маскардинг убрать. Остальные тоже временно отключить.

Устройства подсети X должны иметь маршрут в другие подсети через 10.61.5.6

Answer 3

[nimbo]

маршрутизация ж

Comments

[Влад]

А по конкретнее можно?

[nimbo]

Влад: всё то же самое что с NAT, но без NAT и маршруты прописать в нужные шлюзы, в вашем случае маршруты должны быть прописаны в 10.61.5.1

Answer 4

[Azazel PW]

Да вы батенька знатный мазахист, вы потом в этих говнах запутаетесь когда случится авария.
Выводите микротик и подключенные устройства в другую подсеть, шлюз ему ставьте 10.61.5.1.

Comments

[Влад]

Шлюз 10.61.5.1 невозможно заменить микротиком. Приходится быть мазохистом.

Answer 5

[gaid78]

А если объединить два порта в бридж и сказать чтобы бридж работал в режиме тупого свитча....