NAT Mikrotik странные вещи с masquerade куда копать?

Question

[Олег Шевченко]

В NAT action masquerade При указании out списка интерфейсов пропадает доступ в локальной сети к части хостов в чем может быть проблема куда копать ?

Answer 1

[Softer]

Сталкивался с подобным, решил заданием нескольких правил NAT с именами интерфейсов вместо списка.

Comments

[Олег Шевченко]

Сейчас вообще оставил без указания интерфейсов out и как либо сетей в src, вопрос на сколько это правильно? Хотя в таком случае все четко работает, (2 провайдера)

[Softer]

Если не указать out - натить будет все, даже локалку (если разные сети).

[Олег Шевченко]

Softer, прошу прощения за глупый вопрос , что в этом плохого и почему в этом случае все работает?дуступ есть в нужные подсети и нету в ненужные. Всего 5 сетей, 4 из них во vlan

[Softer]

Потому что "НАТит" между сетями, а не маршрутизирует.
Т.е. простыми словами - если сеть А видит сеть Б чрез роутер Р то при маршрутизации хост в Б будет видеть адрес хоста сети А, а в случае НАТа - адрес роутера Р. Надеюсь не запутал :)
В общем работать то оно будет, но подход сам по себе не верный.

[Олег Шевченко]

Softer, боюсь тогда у меня в корне все не верно настроенно! Скажите а если пришлю конфиг что бы вы глянули, может наставили на путь истинный ? Естественно не за бесплатно !

[Softer]

Олег Шевченко, лучше разобраться самому. Тем более что в подписи указана смежная профессия :)

[Олег Шевченко]

Softer, вас понял, спасибо за разъяснения !

[Softer]

Олег Шевченко, если что - обращайтесь :)

[Олег Шевченко]

Softer, а на сколько важно указать подсети ? Или это уже не обязательно ?

[Softer]

Олег Шевченко, тяжело что-то говорить не зная архитектуры сети.

[Олег Шевченко]

Softer, описать архитектуру?

[Softer]

Олег Шевченко, можно :)

[Олег Шевченко]

Softer, dc
Сеть 10 имеет доступ в интернет и полность изолоирована от всех других
сеть 1 для управления оборудованием, есть доступ в эту подсеть только у администратора (адрес 150.10)
сеть 100 для телефонии телефоны и 2 астериска в ней имеет доступ только администратор (адрес 150.10)(тут проблемы.....)
сеть 150 общая сеть для пользователей имеет доступ в инет, не пересекается с другими сетями
сеть 140 так же имеет доступ в интернет и имеет доступ только к адресу 150.204
вкратце так

[Олег Шевченко]

https://yadi.sk/i/-QzndEDaPI4Atw

[Softer]

Олег Шевченко,
* Каждая сеть представлена 1 интерфейсом (vlan, eth etc).
* Допустим у Вас 10.0.0.0/8 в локалке (суммарно).
* Между сетями работает обычный роутинг, доступы управляются через цепочку forward.
* Между сетью и инетом работает NAT (snat или masquerade).
* Можно написать 2 правила (для каждого провайдера) - src=10/8 dst-interface=ether1. В принципе как небольшой костыль можно написать src=10/8 dst != 10/8 action=masquerade.
* Доступы для NAT управляются так же через forward.

На вскидку - как-то так.
PS: Кстати, на тему 2-х провайдеров: https://habr.com/post/313342/

[Олег Шевченко]

Спасибо! Но блиин что то не понятно ...про 10/8 , извиняюсь за свою тупость ...ладно буду пытаться понять то что вы сказали, и применить на свой конфиг

[Softer]

Олег Шевченко, ничего страшного, никто не рождается со знанием сетей :)

Answer 2

[Drno]

имена интерфейсов укажите правильно.
Или подсети...

Comments

[Олег Шевченко]

Перепроверил все три раза , все верно !

[Drno]

можно увидеть ip firewall nat print и ip firewall filter print ??
Адреса публичные и лишнее можете обрезать

[Олег Шевченко]

Drno, посмотрю, спасибо

Answer 3

[Jeff Lebowski]

Terminal - export compact покажите, мб что и получится подсказать