Mikrotik: как настроить доступ к определенному IP в другой подсети?

Question

[SterhXXX]

Приветы!
Есть вопрос к гуру Mikrotik-ов! Ребята, помогите, пожалуйста, настроить доступ из одной подсети к определенным IP в другой.
Подробнее. Есть сеть 192.168.0.0/21 и 192.168.12.0/24. Задача из любого (ну, или можно определенного) IP второй подсети попасть на 192.168.3.3. Там у нас стоит видеорегистратор и директор хочет не переключаясь в другую сеть, смотреть камеры.
Если Я правильно понимаю вопрос в маршрутизации, но как это сделать - хз.
Спасибо!

Comments

[fdroid]

Все три подсети на одном микротике маршрутизируются? Если да, то при наличии явных запрещающих правил все сети должны иметь связь друг с другом. Непонятна схема вашей сети, хоть схематично набросайте где и что.

[SterhXXX]

Обратите внимание. Сеть состоит из 2 сегментов: vlan20 и vlan30. Видеорегистраторы в 20-м vlan-е, а смотреть их нужно из 30-го.
Капризный у нас дир. Женщина(((

Answer 1

[Diman89]

Исходя из вашей картинки - у вас прописаны запрещающие правила
надо их найти и сделать в них исключение (знак "!") для нужного ip/mac

Comments

[SterhXXX]

Да. У меня есть вот такое ограничение. Запрет маршрутизации между 2-мя подсетями. Можно ли тут как-то поправить, чтобы решить задачу???

[Diman89]

SterhXXX, я бы отключил обе записи в этом меню, и добавил подобное в ip firewall filter с исключением (в фильтре куда больше опций)

[SterhXXX]

Diman89, Я тоже по началу искал инфу, как это через firewall делать, но не успев найти, наткнулся на кучу отзывов, что спецом для такого запрета и служит ip route rule. Мол, в этом случае firewall - это костыль с боку))) В общем, было все реализовано как реализовано, и как это сделать через firewall так и не нашел.

[Diman89]

SterhXXX, ip route rule действительно более производителен по сравнению с filter в простых операциях, но ими же и ограничен

[AkaZLOY]

SterhXXX, вы путаете фильтр маршрутов и пакетный фильтр (он же firewall в микротике), это абсолютно две разные функции, решающие две разные задачи.

ip firewall filter add chain=forward dst-address=192.168.3.3 action=accept

И это правило в списке фаервола поднимите выше запрещающих правил.

[Diman89]

AkaZLOY, без отмены правил в ip route rule ваше решение все равно не заработает, правильней будет целиком все в filter прописать

[AkaZLOY]

Diman89, мой ответ подразумевал данное действие, надо было об этом прямо написать. Вообще использовать route rule в качестве запретов идиологически не правильно. Хотите запрещать - добавляйте правила в firewall или пишите более узкие маршруты.

[SterhXXX]

Ребят, спасибо за советы. Покопаю в эту сторону.
Однако хотелось бы услышать от гуру Mikrotik-ов пояснение, можно ли реализовать задуманное через route rule. Тем более это не запреты, а настройка маршрутизации)))