Добрый день! Есть небольшая загвоздка. Имеется MikroTik RB4011iGS+
На нём настроен VPN 1 с районами (10.1.0.0, 10.1.1.0, 10.1.2.0 и 10.1.3.0). Ещё есть модем ZTE (10.10.1.1), на котором VPN 2 с возможным доступом к программе только под одним IP 10.10.1.2 (адрес программы 99.99.99.99). Подскажите, пожалуйста, как именно настроить NAT, чтобы из MikroTik'a все районы могли достучаться до модема ZTE и шли под IP 10.10.1.2 для работы с программой.
Ещё раз про NAT
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Ещё раз про NAT
Добрый. Адрес 10.10.1.2 кому принадлежит? Как модем подключен к роутеру?
-
Alex2019
- Сообщения: 16
- Зарегистрирован: 22 авг 2019, 15:17
Re: Ещё раз про NAT
Через UTP ZTE подключен к MikroTik, прописан в Adresses и добавлен в общий Bridge. IP получается наш локальный, одному из компьютеров принадлежит, где клиент программы установлен. Мы сами его задаём. Но должен быть именно такой, так как на их стороне по VPN 2 он разрешённый
-
Alex2019
- Сообщения: 16
- Зарегистрирован: 22 авг 2019, 15:17
Re: Ещё раз про NAT
Сейчас вот так настроен маршрут, адрес и NAT
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Ещё раз про NAT
Ну, в целом, так и должно работать, если трафик в обе стороны проходит через роутер. Загвоздка может быть в том, что модем отправляет ответы напрямую на 10.10.1.2, поэтому роутер не может разнатировать соединение. Вижу два варианта решения проблемы:
1) Перевесить адрес 10.10.1.2 на роутер, а текущему клиенту 10.10.1.2 выдать любой другой.
2) Костыль в виде
- это должно направлять ответы на IP-интерфейс роутера, после чего обратный NAT должен отработать.
1) Перевесить адрес 10.10.1.2 на роутер, а текущему клиенту 10.10.1.2 выдать любой другой.
2) Костыль в виде
Код: Выделить всё
/interface bridge nat
add action=redirect chain=dstnat mac-protocol=ip src-address=99.99.99.99/32-
Alex2019
- Сообщения: 16
- Зарегистрирован: 22 авг 2019, 15:17
Re: Ещё раз про NAT
Достучаться получилось вот с такими настройками. Трасерт проходит весь маршрут. Подмена IP сработала. Только тут сама программа раньше писала, что проверьте подключение, а сейчас уже пишет, что доступ запрещён, типа не правильный логин или пароль. Возможно какая-то идентификация IP идёт ещё дальше. Будем уже на стороне их сервера разбираться.Chupaka писал(а): ↑23 авг 2019, 11:43 Ну, в целом, так и должно работать, если трафик в обе стороны проходит через роутер. Загвоздка может быть в том, что модем отправляет ответы напрямую на 10.10.1.2, поэтому роутер не может разнатировать соединение. Вижу два варианта решения проблемы:
1) Перевесить адрес 10.10.1.2 на роутер, а текущему клиенту 10.10.1.2 выдать любой другой.
2) Костыль в виде- это должно направлять ответы на IP-интерфейс роутера, после чего обратный NAT должен отработать.Код: Выделить всё
/interface bridge nat add action=redirect chain=dstnat mac-protocol=ip src-address=99.99.99.99/32
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
Alex2019
- Сообщения: 16
- Зарегистрирован: 22 авг 2019, 15:17
Re: Ещё раз про NAT
Но идея у Вас интересная. Попробую по Вашему варианту, может сейчас всё заработает.
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Ещё раз про NAT
Идея про костыль? Ибо первый вариант, я так понимаю, вы сами и реализовали 
-
Alex2019
- Сообщения: 16
- Зарегистрирован: 22 авг 2019, 15:17
Re: Ещё раз про NAT
Да, идея про костыль. Реально присвоить роутеру 10.10.1.2 и просто все запросы к 99.х.х.х перенаправлять на роутер. Только немного доделать костыль)) По-быстрому не сработал. Надо продумать немного детали
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск