Имеется 3 маршрутизатора mikrotik связанные через vpn
m1 - Локальная подсеть 192.168.0.0/24. ip l2tp клиента 192.168.7.2/32
m2 - Локальная подсеть 192.168.1.0/24. ip l2tp клиента 192.168.7.3/32
m3 - Локальная подсеть 192.168.2.0/24. ip l2tp сервера 192.168.7.1/32
на m1 есть маршрут до 192.1168.1.0/24 и 192.168.2.0/24 через интерфейс l2tp
Хочу запретить доступ из 0.0/24 в 1.0/24 определенному узлу в сети, например узлу 192.168.0.150 к узлу 192.168.1.150
Что делаю. На l2tp сервере 192.168.2.1 (192.168.7.1) создаю правило forward src adress 192.168.0.150 dst 192.168.1.150 action drop
Но правило не работает. Подозреваю причина в том, что m2 распознает всю подсеть 0.0/24, как узел 192.168.7.2
Подскажите как заставить его "подставлять" адрес отправителя узел за микротиком?
Подозреваю, что мне напортачил с маскарадингом. На данный момент маскарадинг влюкчен на всех микротах без указания интерфейсов.
Схему описал примерную, т.к. фактически микротиков и подсетей на порядок больше.
Если нужны логи, все предоставлю, только укажите какие, спасибо.
Подозреваю, что мне напортачил с маскарадингом. На данный момент маскарадинг влюкчен на всех микротах без указания интерфейсов.
В этом и проблема - к тому времени, когда пакет попадает на forward, маскарадингом ему уже заменили адрес источника. Уберите маскарад на l2tp и сделайте нормальную маршрутизацию.
Pontius71, я подозреваю что вы сделали маскарад на l2tp интерфейсах что бы не прописывать обратные маршруты на vpn клиентах. Но если всё оборудование под вашим контролем, то лучше настроить между ними маршрутизацию чем городить NAT. Например, в изначальной постановке, все клиенты из сети 0.0/24 идущие в 1.0/24 будет видеться как единый адрес 192.168.7.2.
Простой
Сложный
