@liks

Как преобразовать ip адрес из одной подсети в другую с помощью микротик?

Господа, не могу понять как правильно сделать:
Есть два офиса с микротиками, между ними натянут SSTP туннель с айпишниками 172.16.30.1 и 172.16.30.2
В одном офисе подсеть 192.168.0.0 в другом 192.168.13.0 все это собственно заворачивается в тунель.
Проблема в том, что когда я пингую компьютер из одной подсети в другую файрволл конечного компьютера режет пинги так как видит, что пинги прилетают не из той подсети в которой он находится. Если отключаю файрволл то всё работает нормально.
Вопрос: что мне нужно сделать на микротах, чтобы в пакетах идущих из одной подсети в другую подменялся source-ip и конечный компьютер думал будто пакет пришел из его подсети. Знаю что надо копать в сторону NAT, но наобум натыкать не получилось, так как особо с натированием не сталкивался. Помогите пожалуйста.
С прошедшим праздником, кстати :)
  • Вопрос задан
  • 1895 просмотров
Решения вопроса 1
@q2digger
никого не трогаю, починяю примус
Нат снизит производительность сети.
Может быть стоит настроить firewalls на клиентах?
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@res2001
Developer, ex-admin
Не стоит разворачивать NAT - так вы зарежете другие возможности, например доступ к сетевым шарам в соседней сети станет не тривиальной задачей.
Виндовый фаервол относительно легко рулится удаленно даже без АД и т.п. - консольная команда netsh умеет удаленно управлять фаерволом. Естественно ее нужно запускать с админскими правами на удаленном ПК.
Надеюсь хоть логин/пароль админа у вас на компах один и тот же?
Ответ написан
Комментировать
@AkaZLOY
QA Engineer
Тут надо копать в сторону домена в офисе (если конечно он есть) и через него разрешить данные подсети, как разрешённые. Если домена нет, то делать это на каждом компьюторе.

Насчёт NAT. Представте, что у каждого пакет, идущего в туннель, меняется source ip address. Это очень сильно сказывается на производительности. Лично я так делал, только для того, чтобы на клиентском устройстве скрыть маршруты до моих внутренних сетей, где нет DMZ. То что вы предлагает это костыль.
В любом случае я не знаю, какие задачи у вас решаются, и зачем натянут SSTP вместо привычного GRE или EoIP (раз это два микротика). Поэтому далее два правила ната, ответ на ваш вопрос.
Для роутера с адресом туннеля 172.16.30.1:

ip firewall nat add chain=srcnat in-interface="интерфейс sstp-туннеля1" dst-address=192.168.0.0/24 action=src-nat to-addresses="адрес микротика1"


Для второго соответственно:

ip firewall nat add chain=srcnat in-interface="интерфейс sstp-туннеля2" dst-address=192.168.13.0/24 action=src-nat to-addresses="адрес микротика2"
Ответ написан
Комментировать
@Korben5E
Если при отключенном FW пинг проходит - то надо добавить разрешающее правило конкретно для ваших подсетей и поставить его по выше.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы