Проброс трафика

[Fanta16 9]

Добрый день,

Подскажите как развернуть NAT на mikrotik.
Имеется преднастроенное промышленное оборудование. Одно из них имеет адрес 192.168.0.1 и шлюз. Другие устройства общаются с данным оборудованием и имеют ip адреса 192.168.0.x и т.д., dhcp server данное оборудование не имеет и сменить ip адрес тоже нет возможности. Для настройки приходится подключаться физически в свитч с этим оборудованием. Подскажите как можно с помощью микротика перенаправить адреса 192.168.0.1 и другие в mikrotik на адреса, например 192.168.88.5 и т.д. в отдельно созданный vlan или что-то подобное. Вариант я полагаю только через NAT, но как настройки сконфигурирован на mikrotik?
Пробовал несколько вариантов, не получилось(

Подскажите пожалуйста, может есть какие варианты решения данной конфигурации?

[Chupaka]

Здравствуйте. Пока ничего не понятно. Если у оборудования настроен шлюз [по умолчанию] и этим шлюзом является микротик - тогда всё должно работать безо всяких NAT'ов. Какой адрес у шлюза и кто это? Если не микротик - какой у него адрес?

[Fanta16 9]

Согласен, немного не понятно.
Есть промышленное оборудование 6 шт. у него свой адрес. 192.168.0.1 - железка 1 (она же и шлюз), 192.168.0.2 - железка два, 192.168.0.3 - железка 3, 192.168.0.4 железка 4, 192.168.0.5 - железка 5, 192.168.0.6 - железка 6. Оборудование подключено к неуправляемому свитчу и оно общается друг с другом. Изменить адреса нельзя, но есть нужда постоянно настраивать его через веб интерфейс.
Нужно чтобы все оборудование имело такие же адресаты, но при этом ещё и можно было к железке с адресом 192.168.0.1 попасть по адресу 192.168.88.6 и она находилась в этом Лане.
Вообщем как-то так. Немного непонятно, но вроде говорят, что микротик это умеет. И нужно чтобы с других сетей на другом роутере тоже можно было на эту железку попасть по адресу 192.168.88.6 - через vlan.
Т.е. нужно чтобы при попытки зайти на адрес 192.168.88.6 микротик переадресовывал на железку с адресом 192.168.0.1 в другую сеть со своим шлюзом(которым является эта железка)

[Chupaka]

Куда подключен микротик - понятнее не стало. А откуда такое странное требование - 192.168.88.6? Почему плохо обращаться напрямую к 192.168.0.х? Железка 1 куда подключена второй стороной (раз уж она шлюз)?

Или, например, можно микротик подключить к тому же неуправляемому свитчу, выдать ему адрес 192.168.0.7 и замаскарадить доступ в подсеть 192.168.0.* (чтобы железки видели подключение с адреса 192.168.0.7, а не настоящего клиента). Но мы всё ещё ничего не знаем об остальной сети: что там за другие сети на другом роутере и можно ли этот другой роутер настраивать?

[Chupaka]

Т.е. нужно чтобы при попытки зайти на адрес 192.168.88.6 микротик переадресовывал на железку с адресом 192.168.0.1 в другую сеть со своим шлюзом(которым является эта железка)

Код: Выделить всё

/ip firewall nat add chain=dstnat dst-address=192.168.88.6 action=dst-nat to-addresses=192.168.0.1

[yuriy66]

Здравствуйте. Имеется вопрос. Я создал дополнительный бридж на микротике с внутренней сетью 192.198.11.0/24. Основной бридж с сетью 192.168.10.0\24. На дополнительный бридж подключил роутер TP-Link c его сетью 192.168.0.1/24 для раздачи инета по wi-fi. Как бы все работает,шлюзом выступает ip 192.168.11.1. Теперь как мне сделать возможность из сети 192.168.10.0/24 видеть сеть 192.168.0.1/24.
На TP-Link данная проблема решается без проблем,прописал на нем роутинг и из сети ТР-Link я вижу сеть 192.168.10.0/24 без проблем(хотя мне этого не нужно. Как на микротике реализовать мою хотелку?

[Chupaka]

Не совсем понимаю, зачем на TP-Link прописывать что-то, у него и так шлюз по умолчанию должен на микротик указывать. А вот заработает ли доступ, если создать на микротике маршрут к 192.168.0.0/24 через TP-Link - большой вопрос. Если TP-Link сделан качественно, то не заработает (роутер должен защищать свою внутреннюю сеть от доступа извне). Если его можно переключить в режим бриджа - то так и сделайте, чтобы сам микротик раздавал адреса 192.168.11.0/24 беспроводным клиентам. Тогда проблема исчезнет сама собой.

[yuriy66]

спасибо большое! Вы правы...Установил TP-Link в режим бриджа и проблема ушла. Но появилась попутно еще она хотелка. Нужно из сети 192.168.11.0/24 видеть сеть 192.168.10.0/24 только оному компьютеру(192.168.11.10). Это возможно реализовать? Очень буду признателен...

[Chupaka]

Конечно можно, именно для фильтрации и придумали фильтр файрвола. Например, так:

Код: Выделить всё

/ip firewall filter add
chain=forward src-address=192.168.11.10 dst-address=192.168.10.0/24 connection-state=new action=accept
chain=forward src-address=192.168.11.0/24 dst-address=192.168.10.0/24 connection-state=new action=reject

В результате соединения, инициированные из 192.168.11.0/24, не дойдут до 192.168.10.0/24 (при этом в обратную сторону можно будет ходить; если это тоже нежелательно - убрать "connection-state=new" из правил)

[yuriy66]

Спасибо огромное....это то что было нужно....