NAT включён только на сервере, на микротике его нет, так как людям из 172.16.4.0/24 нужен доступ в 172.16.18.0/24 и обратно. точнее даже он больше нужен как раз в обратном направлении.
на mikrotik кортина аналогичная:
[admin@Router] > /tool traceroute 93.158.134.3
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 172.16.18.1 0% 1 104.1ms 104.1 104.1 104.1 0
2 server_gw 0% 1 104.3ms 104.3 104.3 104.3 0
3 85.14.2.2 0% 1 108.6ms 108.6 108.6 108.6 0
4 80.81.192.251 0% 1 139.2ms 139.2 139.2 139.2 0
5 213.180.213.104 0% 1 165.7ms 165.7 165.7 165.7 0
6 213.180.213.121 0% 1 179.8ms 179.8 179.8 179.8 0
7 87.250.239.50 0% 1 182.9ms 182.9 182.9 182.9 0
8 0% 1 0ms
[admin@Router] > ping src-address=172.16.4.1 93.158.134.3
SEQ HOST SIZE TTL TIME STATUS
0 172.16.18.1 84 64 104ms port unreachable
1 172.16.18.1 84 64 103ms port unreachable
sent=2 received=0 packet-loss=100%
На компьютерах в сети шлюз по умолчанию другой, но на всех прописано
route add -net 172.16.1.0/24 gw 172.16.0.1
route add -net 172.16.0.0/24 gw 172.16.1.1
про таблицы IPTABLES немного сложнее. у меня на шлюзе стоит FirewallD и уже изрядно настроен, пока была одна локалка и один интернет. Но локальные интерфейсы находятся в одной зоне, и теоретически, должны нормально друг друга видеть. TCPDUMP показывает, что пакет уходит с одной сети в другую, но обратно не приходит
так у меня же как раз эти роуты и присутствуют, поп умолчанию.
cat /proc/sys/net/ipv4/ip_forward выдаёт 1, мне кажется у меня бы тогда и интернет не работал, если бы был 0
да я уже по разному пробовал (закомментированные строки). то есть это сам медиавики редиректит?
получается, что проще на внутреннем хосте под настроить апачь, и не морочить себе голову
