Из гостевой сети доступ к основной сети

RIP, OSFP, BGP, MPLS/VPLS
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Из гостевой сети доступ к основной сети

Сообщение joker »

Добрый день!
Есть (wAP ac) на нем настроено 2 сети (гостевая vlan dhcp 191.168.30.0 и основная 192.168.1.1).
Правила Firewall (wAP ac) на скриншоте. Запретил ходить на (wAP ac) из гостевой сети в основную и разрешил из гостевой только ip 192.168.1.23.
Снимок.JPG
На этом ip 192.168.1.23 веб ресурс который работает по 443 порту cloud.....by
До замены центрального маршрутизатора всё работало. Сейчас установили новый маршрутизатор от mikritik.
Теперь пользователи которые подключены к гостевой сети 191.168.30.0 не могут зайти по имени на cloud.....by на веб-интерфейс.
Пинги из гостевой до 192.168.1.23 ходят. Если пинговать имя из гостевой сети, то пинг проходит и обмен пакетами идет через внешний адрес.
Есть dns-сервер внутренний Виндовый.
Как заставить гостей общаться с cloud.....by через локальный адрес сервера 192.168.1.23?

Это параметры центрального маршрутизатора
/ip route> print
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 WAN3 2
1 X S 0.0.0.0/0 WAN1 1
2 A S 0.0.0.0/0 WAN2 1
3 DS 0.0.0.0/0 pppoe-out1_WAN3 1
4 ADC 1.1.1.2/30 1.1.1.1 ether2-wan2 0
5 ADC 2.2.2.2/30 2.2.2.1 ether1-wan1 0
6 ADC 82.82.82.82/32 82.82.82.81 pppoe-out1_WAN3 0
7 ADC 192.168.1.0/24 192.168.1.1 ether4-lan1 0


/ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept src-address-list=vpn ipsec list log=no
log-prefix=""

1 ;;; L2TP
chain=input action=accept protocol=udp in-interface=ether2-wan2
dst-port=500,1701,4500 log=no log-prefix=""

2 chain=input action=drop in-interface-list=WAN log=no log-prefix=""

3 chain=forward action=drop connection-state=invalid log=no log-prefix=""


/ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=accept src-address=192.168.1.0/24
dst-address=10.1.0.0/16 src-address-list="" log=no log-prefix=""

1 chain=srcnat action=accept src-address=192.168.1.0/24
dst-address=192.168.7.0/24 src-address-list="" log=no log-prefix=""

2 chain=srcnat action=accept src-address=192.168.1.0/24
dst-address=192.168.0.0/24 src-address-list="" log=no log-prefix=""

3 chain=dstnat action=dst-nat to-addresses=192.168.1.23 to-ports=443
protocol=tcp dst-address=82.82.82.82 dst-port=443 log=no
log-prefix=""

4 chain=dstnat action=dst-nat to-addresses=192.168.1.23 to-ports=80
protocol=tcp dst-address=82.82.82.82 dst-port=80 log=no
log-prefix=""

5 chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix=">

Если нужно ещё какую конфигурацию предоставить, то я готов.
Буду очень благодарен за совет и помощь.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Из гостевой сети доступ к основной сети

Сообщение Chupaka »

Приветствую. Так что поменялось? Раньше какой "центральный маршрутизатор" был? DNS-сервером у клиентов кто работает?

Наиболее простое решение - в DNS статикой прописать нужное имя с адресом 192.168.*
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: Из гостевой сети доступ к основной сети

Сообщение joker »

Chupaka писал(а): 28 окт 2019, 14:00 Приветствую. Так что поменялось? Раньше какой "центральный маршрутизатор" был? DNS-сервером у клиентов кто работает?

Наиболее простое решение - в DNS статикой прописать нужное имя с адресом 192.168.*
В wAP ac ничего не поменялось. Раньше ядром сети был маршрутизатор zyxel zywall USG 300.
Вот DNS который раздается клиенту
Снимок2.JPG
Так в DNS и прописано статикой нужное имя с адресом 192.168.1.23,
dns.PNG
но из сети 192.168.30.0 пользователь стучится к cloud.....by через внешний адрес - этот ресурс ещё открыт для доступа к нему из интернета.
Повторюсь, что из сети 192.168.30.0 ип адрес облака 192.168.1.23 пингуется, а вот по имени не заходит, отправляет через внешний его адрес 82.82.82.82.
А нужно что бы из сети 192.168.30.0 заходили на cloud.....by по его внутреннему адресу

3 chain=dstnat action=dst-nat to-addresses=192.168.1.23 to-ports=443
protocol=tcp dst-address=82.82.82.82 dst-port=443 log=no
log-prefix=""
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Корпич
Сообщения: 79
Зарегистрирован: 06 июн 2019, 16:42

Re: Из гостевой сети доступ к основной сети

Сообщение Корпич »

joker писал(а): 28 окт 2019, 14:41 Так в DNS и прописано статикой нужное имя с адресом 192.168.1.23
Прописано то в одном, а Вы выдаете клиенту три и если он пользуется DNS 8.8.8.8 то как он будет идти к Вашем серверу?
Оставьте только один адрес DNS сервера (который Ваш локальный)- возможно он вообще не доступен.
Чтобы убедится что проблема именно в DNS зайдите на сервер по IP 192.168.1.23 если зайдете значит разруливайте DNS, нет тогда в маршрутизации ищите.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Из гостевой сети доступ к основной сети

Сообщение Chupaka »

Да, в первую очередь убрать 8.8.8.8 из выдаваемых клиентам ДНСов
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: Из гостевой сети доступ к основной сети

Сообщение joker »

Корпич писал(а): 28 окт 2019, 15:52
joker писал(а): 28 окт 2019, 14:41 Так в DNS и прописано статикой нужное имя с адресом 192.168.1.23
Прописано то в одном, а Вы выдаете клиенту три и если он пользуется DNS 8.8.8.8 то как он будет идти к Вашем серверу?
Оставьте только один адрес DNS сервера (который Ваш локальный)- возможно он вообще не доступен.
Чтобы убедится что проблема именно в DNS зайдите на сервер по IP 192.168.1.23 если зайдете значит разруливайте DNS, нет тогда в маршрутизации ищите.
Спасибо за подсказку. Я не заметил.
Действительно у меня не был доступен локальный DNS.
Разрешил доступ на DNS-сервер из гостевой сети и теперь всё работает.
/ip firewall filter> print
chain=forward action=accept src-address=192.168.1.20
dst-address=192.168.30.0/24 log=no log-prefix=""
Спасибо большое!