Из гостевой сети доступ к основной сети

RIP, OSFP, BGP, MPLS/VPLS
Ответить
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Из гостевой сети доступ к основной сети

Сообщение joker »

Добрый день!
Есть (wAP ac) на нем настроено 2 сети (гостевая vlan dhcp 191.168.30.0 и основная 192.168.1.1).
Правила Firewall (wAP ac) на скриншоте. Запретил ходить на (wAP ac) из гостевой сети в основную и разрешил из гостевой только ip 192.168.1.23.
WAP AC
WAP AC
Снимок.JPG (57.16 КБ) 1173 просмотра
На этом ip 192.168.1.23 веб ресурс который работает по 443 порту cloud.....by
До замены центрального маршрутизатора всё работало. Сейчас установили новый маршрутизатор от mikritik.
Теперь пользователи которые подключены к гостевой сети 191.168.30.0 не могут зайти по имени на cloud.....by на веб-интерфейс.
Пинги из гостевой до 192.168.1.23 ходят. Если пинговать имя из гостевой сети, то пинг проходит и обмен пакетами идет через внешний адрес.
Есть dns-сервер внутренний Виндовый.
Как заставить гостей общаться с cloud.....by через локальный адрес сервера 192.168.1.23?

Это параметры центрального маршрутизатора
/ip route> print
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 WAN3 2
1 X S 0.0.0.0/0 WAN1 1
2 A S 0.0.0.0/0 WAN2 1
3 DS 0.0.0.0/0 pppoe-out1_WAN3 1
4 ADC 1.1.1.2/30 1.1.1.1 ether2-wan2 0
5 ADC 2.2.2.2/30 2.2.2.1 ether1-wan1 0
6 ADC 82.82.82.82/32 82.82.82.81 pppoe-out1_WAN3 0
7 ADC 192.168.1.0/24 192.168.1.1 ether4-lan1 0


/ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept src-address-list=vpn ipsec list log=no
log-prefix=""

1 ;;; L2TP
chain=input action=accept protocol=udp in-interface=ether2-wan2
dst-port=500,1701,4500 log=no log-prefix=""

2 chain=input action=drop in-interface-list=WAN log=no log-prefix=""

3 chain=forward action=drop connection-state=invalid log=no log-prefix=""


/ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=accept src-address=192.168.1.0/24
dst-address=10.1.0.0/16 src-address-list="" log=no log-prefix=""

1 chain=srcnat action=accept src-address=192.168.1.0/24
dst-address=192.168.7.0/24 src-address-list="" log=no log-prefix=""

2 chain=srcnat action=accept src-address=192.168.1.0/24
dst-address=192.168.0.0/24 src-address-list="" log=no log-prefix=""

3 chain=dstnat action=dst-nat to-addresses=192.168.1.23 to-ports=443
protocol=tcp dst-address=82.82.82.82 dst-port=443 log=no
log-prefix=""

4 chain=dstnat action=dst-nat to-addresses=192.168.1.23 to-ports=80
protocol=tcp dst-address=82.82.82.82 dst-port=80 log=no
log-prefix=""

5 chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix=">

Если нужно ещё какую конфигурацию предоставить, то я готов.
Буду очень благодарен за совет и помощь.
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Из гостевой сети доступ к основной сети

Сообщение Chupaka »

Приветствую. Так что поменялось? Раньше какой "центральный маршрутизатор" был? DNS-сервером у клиентов кто работает?

Наиболее простое решение - в DNS статикой прописать нужное имя с адресом 192.168.*
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: Из гостевой сети доступ к основной сети

Сообщение joker »

Chupaka писал(а): 28 окт 2019, 14:00 Приветствую. Так что поменялось? Раньше какой "центральный маршрутизатор" был? DNS-сервером у клиентов кто работает?

Наиболее простое решение - в DNS статикой прописать нужное имя с адресом 192.168.*
В wAP ac ничего не поменялось. Раньше ядром сети был маршрутизатор zyxel zywall USG 300.
Вот DNS который раздается клиенту
DNS пользователя
DNS пользователя
Снимок2.JPG (13.2 КБ) 1164 просмотра
Так в DNS и прописано статикой нужное имя с адресом 192.168.1.23,
запись на dns-сервере
запись на dns-сервере
dns.PNG (7.13 КБ) 1162 просмотра
но из сети 192.168.30.0 пользователь стучится к cloud.....by через внешний адрес - этот ресурс ещё открыт для доступа к нему из интернета.
Повторюсь, что из сети 192.168.30.0 ип адрес облака 192.168.1.23 пингуется, а вот по имени не заходит, отправляет через внешний его адрес 82.82.82.82.
А нужно что бы из сети 192.168.30.0 заходили на cloud.....by по его внутреннему адресу

3 chain=dstnat action=dst-nat to-addresses=192.168.1.23 to-ports=443
protocol=tcp dst-address=82.82.82.82 dst-port=443 log=no
log-prefix=""
Корпич
Сообщения: 79
Зарегистрирован: 06 июн 2019, 16:42

Re: Из гостевой сети доступ к основной сети

Сообщение Корпич »

joker писал(а): 28 окт 2019, 14:41 Так в DNS и прописано статикой нужное имя с адресом 192.168.1.23
Прописано то в одном, а Вы выдаете клиенту три и если он пользуется DNS 8.8.8.8 то как он будет идти к Вашем серверу?
Оставьте только один адрес DNS сервера (который Ваш локальный)- возможно он вообще не доступен.
Чтобы убедится что проблема именно в DNS зайдите на сервер по IP 192.168.1.23 если зайдете значит разруливайте DNS, нет тогда в маршрутизации ищите.
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Из гостевой сети доступ к основной сети

Сообщение Chupaka »

Да, в первую очередь убрать 8.8.8.8 из выдаваемых клиентам ДНСов
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: Из гостевой сети доступ к основной сети

Сообщение joker »

Корпич писал(а): 28 окт 2019, 15:52
joker писал(а): 28 окт 2019, 14:41 Так в DNS и прописано статикой нужное имя с адресом 192.168.1.23
Прописано то в одном, а Вы выдаете клиенту три и если он пользуется DNS 8.8.8.8 то как он будет идти к Вашем серверу?
Оставьте только один адрес DNS сервера (который Ваш локальный)- возможно он вообще не доступен.
Чтобы убедится что проблема именно в DNS зайдите на сервер по IP 192.168.1.23 если зайдете значит разруливайте DNS, нет тогда в маршрутизации ищите.
Спасибо за подсказку. Я не заметил.
Действительно у меня не был доступен локальный DNS.
Разрешил доступ на DNS-сервер из гостевой сети и теперь всё работает.
/ip firewall filter> print
chain=forward action=accept src-address=192.168.1.20
dst-address=192.168.30.0/24 log=no log-prefix=""
Спасибо большое!
Ответить