Sergey Ryzhkin: Шлюз по умолчанию используется когда нет других маршрутов, запись которую я вам привел в ответе говорит - что сеть 10.0/24 нужно искать на шлюзе 50.249, а все остальное должно идти на шлюз по умолчанию. Есть подозрение, что к вашему центосу прилетают пакеты с адресом источника из сети 10.0.0.0. Добавьте на центосе еще одну статическую запись для 10.0.0.0 указывающая на 249 адрес и проверьте.
Sergey Ryzhkin: Шлюз по умолчанию используется когда нет других маршрутов, запись которую я вам привел в ответе говорит - что сеть 10.0/24 нужно искать на шлюзе 50.249, а все остальное должно идти на шлюз по умолчанию. Есть подозрение, что к вашему центосу прилетают пакеты с адресом источника из сети 10.0.0.0. Добавьте на центосе еще одну статическую запись для 10.0.0.0 указывающая на 249 адрес и проверьте.
На первой циске у вас же должны быть записи, что 192.168.50.0/24 is directly connected GigabitEthernet0/0, которые и рассказыват куда слать пакеты для 50 подсети
Позвольте с вами не согласится, src поменяется если будет использоваться masquerade с внешнего или на внутренний интерфейс, если этого не будет, то произойдет перенаправленbе с реальным ip
Андрей: Вы немного не поняли. В целях экономии, вместо покупки железки для DPI, за офигиллион денег, они используют перехват dns запросов, для блокировки сайтов.
Если бы был маскарадинг, то тогда подставлсялся бы ip адрес 10.0.0.2, но тут срабатывает маршрутизизия и меняется только mac адрес, вы можете посмотреть на второй железке, к ней будут прилетать пакеты от 5.5.5.5.
Добавте правило ip firewall nat add action=masquerade chain=srcnat dst-address=10.0.1.10 src-address=5.5.5.5
И еще, что в качестве дефолт гейтвея у 10.0.0.1? Т.к. допустим, мы коннектимся с адреса 5.5.5.5, на 1.1.1.2, микрот перенаправляет пакет на шлюз 10.0.0.1, который отдает его 10.0.1.10, он принимает и шлет ответ на свой гейт по умолчаню (если это не второй интерфейс на 10.0.0.1, то не взлетит), 10.0.0.1 принимает и смотрит, что 5,5,5,5 нет в таблице маршрутизации и отправляет его на дефолтный гейт и если это не 10.0.0.2, то опять не летит.
Василий: Да, согласен, vlan per client закрывает все проблемы (а если еще и DHCP option 82 использовать, то управление этим сводится к паре телодвижений), но иногда нужно чтобы была связь м/у разными хостами, а когда они в разных вланах, приходится нагружать свой роутер, т.к. нужно маршрутизировать трафик, либо включать arp-proxy и выдавать в vlan адреса с более длинной маской
Василий: mac spoofing отсекается port-security на порту коммутатора, с настройкой только одного мака (если пользователь хочет нескольких пользователей сети, то ставит роутер с wan портом), arp spoofing лечится ARP Protection (который берет инфу из таблицы DHCP snooping)