Как исключить несколько подсетей из NAT на Mikrotik?

Question

[lenzig]

Дано:
Офис А - в нем поднят L2TP-сервер на микроте и стоит сервачок сбербанка в локалке
Офисы Б и В - подключены к L2TP для доступа к этому серверу
В чем суть - сервер должен видеть каждую машину,которая на него логинится, отдельно. Но он видит только внутреннюю сеть ВПНа, а не локалки офисов Б и В. В правиле маскарадинга можно выкинуть из НАТа только одну подсеть, а вот как исключить из него несколько?

Comments

[Сергей c0re]

имхо, не надо вообще натить/маскарадить впн трафик.

Answer 1

[Dmitry]

1) создаёте адрес-лист с нужными сетями
например

ip firewall address-list add address=10.0.0.0/24 list=local
ip firewall address-list add address=10.0.10.0/24 list=local
ip firewall address-list add address=192.168.0.0/24 list=local
и т.д

2) добавьте правило

ip firewall nat add chain=srcnat action=accept dst-address-list=local place-before=0

либо редактируете существующее правило маскарада

Comments

[lenzig]

я сразу так и решил сделать, логично же вроде.но это не работает, я не знаю почему. подсеть 192.168.0.0/24 исключается а 192.168.10.0/24 нет

[Dmitry]

lenzig, не логично. В вашем случае должно быть одно правило маскарада со списком исключений в dst-address-list

/ip firewall address-list add address=192.168.0.0/24 list=local
/ip firewall address-list add address=192.168.10.0/24 list=local
/ip firewall nat add action=masquerade chain=srcnat dst-address-list=!local out-interface=pppoe-out1