Как настроить nat между двумя bridge на mikrotik?

Question

[Александр Каплун]

Доброе время суток,

Есть Mikrotik с 2-мя Bridge с в которых находятся сети, LAN и Video, с одинаковой адресацией 192.168.2.1/24
Нужно сделать так что бы трафик из Video не мог из нее выбраться, но из LAN можно было по 80 порту попадать на DVR в сети Video.

Comments

[Денис Сечин]

А при чем здесь nat? и зачем тогда 2 бриджа если адресация одинаковая?

[Александр Каплун]

Денис Сечин: из за того что сети одинаковые IP адреса многих устройств совпадают. Так же, вторая сеть была сделана для видео наблюдения и в ней боле 150 различных устройств, изменить им адресацию будет очень непросто. Кроме того мешать активный трафик с камер с обычной сетью очень не хочется.

[Денис Сечин]

Александр Каплун: для этого vlan есть а не бридж

[Денис Сечин]

Если у вас одинаковая адресация значит у вас один dhcp-сервер на 2 бридж, следовательно все камеры находятся в одном широковещательном домене! нужен vlan а не bridge

[Александр Каплун]

Денис Сечин: для Video нет DHCP, там руками выставили адреса для всего оборудования

[Денис Сечин]

Александр Каплун: Какая разница? у вас одна маска на всю сеть, это один широковещательный домен

Answer 1

[Александр Каплун]

в итоге я поднял meta роутер на своем mikrotik настроил там сеть и соединил их как два независимых устройства

Answer 2

[Владимир Кивва]

А просто добавить запрещающее правило в фаерволе по именам интерфейсов?

Answer 3

[Сергей]

Если адресация одинаковая, то никак. Нет механизма, чтобы сказать что надо стучаться на ip 192.168.2.78 сети 1, а не сети 2. Поэтому все подобные маршруты будут распределяться в пределах каждой подсети, не проходя между бриджами.
Если нужен доступ на конкретные ip второй подсети, которых нет в первой подсети, необходимо это явно прописать в ip->route.

Answer 4

[Виктор Бельский]

Если сети физически разделены и связаны только через микротик на разных интерфейсах, то используйте netmap в nat и придумайте фейковые сети для существующих. Например при обращении к адресу 192.168.102.5 с интерфейса ethet1, будет произведена трансляция в адрес 192.168.2.5 и пакет отправлен в ether2 и по аналогии при запросе к 192.168.202.5 с интерфейса ether2, произойдет трансляция в 192.168.2.5 на ethet1.

Comments

[Александр Каплун]

У меня сеть Video воткнута в ethet9. Если не сложно, можете написать все необходимые правила что бы это заработало (с учетом того что внутренняя сеть 192.168.2.1/24). Буду очень благодарен.

[Александр Каплун]

Я сделал следующее:
1. Для сети LAN выдуманный адрес 192.168.10.0/24
2. Для сети Video выдуманный адрес 192.168.11.0/24
3. Между LAN и Video 192.168.2.0/30

На Mikrotik LAN
IP/Firewall/NAT

chain=srcnat action=netmap to-addresses=192.168.10.0/24 src-address=192.168.1.0/24 dst-address=192.168.11.0/24 log=yes log-prefix="DVR180_OUT"
chain=dstnat action=netmap to-addresses=192.168.1.0/24 src-address=192.168.11.0/24 dst-address=192.168.10.0/24 log=yes log-prefix="DVR180_IN"

IP/Route

DST-ADDRESS: 192.168.11.0/24                    GATEWAY: 192.168.2.2               DISTANCE: 1

На Mikrotik VIDEO
IP/Firewall/NAT

chain=srcnat action=netmap to-addresses=192.168.11.0/24 src-address=192.168.1.0/24 dst-address=192.168.10.0/24 log=yes log-prefix="DVR180_OUT"
chain=dstnat action=netmap to-addresses=192.168.1.0/24 src-address=192.168.10.0/24 dst-address=192.168.11.0/24 log=yes log-prefix="DVR180_IN"

IP/Route

DST-ADDRESS: 192.168.10.0/24                    GATEWAY: 192.168.2.1               DISTANCE: 1

НО по какой то причине все равно не работает, при этом в Connections видно что пакеты приходят и преобразуются но как будто не доходят до конечных устройств (проверял через ping и tracert не проходят)

Answer 5

[Кирилл Васильев]

если сети одинаковые, то вам без VRF не обойтись иначе вы получаете проблему с маршрутизацией уже на connected маршрутах.
вам необходимо как минимум один из интерфейсов поместить в VRF и настроить route leaks (утечка маршрута).
Это единственный возможный способ работать с одинаковыми сетями в пределах одного маршрутизатора и не важно кто производитель и какая ОС на нём стоит. если есть две пересекающиеся сети - значит сразу VRF

Answer 6

[Vladimir Zhurkin]

Есть Mikrotik с 2-мя Bridge с в которых находятся сети, LAN и Video, с одинаковой адресацией 192.168.2.1/24
Нужно сделать так что бы трафик из Video не мог из нее выбраться, но из LAN можно было по 80 порту попадать на DVR в сети Video.

Хотелось бы увидеть конфигурацию.

Но допустим у вас два bridge, один из них будет работать через CPU.
Можно было бы очень просто настроить роутинг между ними, но у вас одинаковая адресация.
Я бы конечно очень сильно советовал сменить на другое, особенно там где dhcp, это было бы проще.
Если вдруг это невозможно, то вам для хождение из одной сети в другоую надо использовать netmap.

Вот пример, что есть два офиса:

1 офис
/ip firewall nat
add action=netmap chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.0.0/24\
to-addresses=192.168.1.0/24
add action=netmap chain=dstnat dst-address=192.168.1.0/24 src-address=192.168.2.0/24\
to-addresses=192.168.0.0/24

2 офис

/ip firewall nat
add action=netmap chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24\
to-addresses=192.168.2.0/24
add action=netmap chain=dstnat dst-address=192.168.2.0/24 src-address=192.168.1.0/24\
to-addresses=192.168.0.0/24

Теперь ходим из офиса-1 в офис-2 по адресам 192.168.2.х, а из офиса-2 в офис-1 по адресам 192.168.1.х

По другому увы не как, чудес не бывает.