Задать вопрос
@qrnm

Доступ к внутренним ресурсам из изолированной подсети?

Ситуация следующая:
1. Оборудование: Mikrotik
2. Основная сеть: 10.10.10.0/24 gtw: 10.10.10.1
3. Остевая сеть: 10.10.22.0/24 gtw: 10.10.22.1
4. В основной подсети на адресе 10.10.10.10 есть web сервис к которому необходимо предоставить доступ из гостевой подсети через внешний адрес: 192.168.100.2.
5. Гостевая сеть имеет доступ к глобальной. Гостевая сеть изолирована от основной: ip route rule add src-address=10.10.22.0/24 dst-address=10.10.10.0/24 action=unreachable
6. Добавлено правило dst-nat: ip firewall nat add chain=dstnat dst-address=192.168.100.2 protocol=tcp dst-port=80 action=dst-nat to-addresses=10.10.10.10
7. Добавлено правило src-nat: ip firewall nat add chain=srcnat src-address=10.10.22.0/24 out-interface=bridge_10.10.10.0 action=src-nat to-addresses=10.10.10.1
8. В итоге нет прохождения пакетов из подсети 10.10.22.0/24 до хоста 10.10.10.10. При отключении правила маршрутизации пакеты проходят, при снятии дампа на хосте 10.10.10.10 в качестве src. address выступает 10.10.10.1. То есть отрабатывают и dst-nat и src-nat.

Необходимо предоставить доступ к этому веб сервису из гостевой подсети через внешний ip адрес. Гостевая сеть должна быть изолирована без исключений.
  • Вопрос задан
  • 192 просмотра
Подписаться 1 Средний Комментировать
Решения вопроса 1
@nApoBo3
Посмотрите диаграмму прохождения пакетов.
У вас сначала пакет с 10.10.22.x на 192.168.100.2
Дальше dst nat и пакет становится с 10.10.22.x на 10.10.10.10
Потом он попадает в форвард и там должен словить ваше правило с unreachable.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы