NAT с нескольких интерфейсов на разные подсети

[ether]

Доброго времени суток.

Имеется 3011, интерфейс с интернетом и маршрутом по умолчанию + интерфейс с 10.222.0.1/16 + интерфейс с 10.33.10.1/23 + интерфейс с 10.110.223.1/24 с маршрутом для 10.110.0.0/16 через 10.110.223.254

Задача чтобы из локальной подсети за NAT любой комп мог достучаться до Интернета и любого из доступных адресов 10.х.х.х

Интернет работает, пинги и несложные штуки вроде ssh и telnet на 10.х.х.х ходят, но с http уже не получается.

Подскажите как корректно настроить NAT для такой конфигурации.

[Chupaka]

Интернет работает, пинги и несложные штуки вроде ssh и telnet на 10.х.х.х ходят, но с http уже не получается.

поскольку сам NAT либо работает, либо нет, похоже, проблема с MTU/MSS. для начала нужно больше данных о том, что там за интерфейсы

[ether]

Интерфейсы:

Код: Выделить всё

/interface> print
Flags: D - dynamic, X - disabled, R - running, S - slave 
 #     NAME                                TYPE       ACTUAL-MTU L2MTU  MAX-L2MTU
 0  R  ether1                              ether            1500  1598       8156
 1     ether2-master                       ether            1500  1598       8156
 2   S ether3                              ether            1500  1598       8156
 3   S ether4                              ether            1500  1598       8156
 4   S ether5                              ether            1500  1598       8156
 5  RS ether6-master                       ether            1500  1598       8156
 6  RS ether7                              ether            1500  1598       8156
 7   S ether8                              ether            1500  1598       8156
 8   S ether9                              ether            1500  1598       8156
 9   S ether10                             ether            1500  1598       8156
10     sfp1                                ether            1500  1600       8158
11 DR  <pptp-ppp1>                         pptp-in          1400
12  R  ;;; defconf
       bridge                              bridge           1500  1594
13  R  vlan1                               vlan             1500  1594
14     vlan2                               vlan             1500  1594
15  R  vlan3                               vlan             1500  1594
16  R  vlan4                               vlan             1500  1594
17  R  vlan5                               vlan             1500  1594
18  RS vlan6                               vlan             1500  1594

Конфиг вланов:

Код: Выделить всё

/interface vlan
add interface=ether1 name=vlan1 vlan-id=1
add interface=ether2-master name=vlan2 vlan-id=2
add interface=ether1 name=vlan3 vlan-id=3
add interface=ether1 name=vlan4 vlan-id=4
add interface=ether1 name=vlan5 vlan-id=5
add interface=ether1 name=vlan6 vlan-id=6

[Chupaka]

И что за pptp-ppp1? Он участвует в работе?

[ether]

Удаленный доступ в локалку. С ним проблема не связана.

[Chupaka]

Интернет работает, пинги и несложные штуки вроде ssh и telnet на 10.х.х.х ходят, но с http уже не получается.

какая ошибка по http?

[Antares]

Имхо тут скорее надо смотреть настройки Firewall, поскольку если пинги и telnet/ssh ходят, значит с маршрутизацией и NAT скорее всего всё ок. А пропускать одни протоколы и резать другие это прерогатива фаера.
Еще бы я проверил "10.110.223.1/24 с маршрутом для 10.110.0.0/16 через 10.110.223.254", в плане приоритета (в сравнении с маршрутом на 0.0.0.0/0). Да и вообще этот маршрут кривоват, поскольку 10.110.223.0/24 входит в 10.110.0.0/16, а так делать нежелательно.
Ну и напоследок проверить обратные маршруты и их приоритеты из 10.110.0.0/16 на локальные сегменты.