Добрый день!
Есть (wAP ac) на нем настроено 2 сети (гостевая vlan dhcp 191.168.30.0 и основная 192.168.1.1).
Правила Firewall (wAP ac) на скриншоте. Запретил ходить на (wAP ac) из гостевой сети в основную и разрешил из гостевой только ip 192.168.1.23.
На этом ip 192.168.1.23 веб ресурс который работает по 443 порту cloud.....by
До замены центрального маршрутизатора всё работало. Сейчас установили новый маршрутизатор от mikritik.
Теперь пользователи которые подключены к гостевой сети 191.168.30.0 не могут зайти по имени на cloud.....by на веб-интерфейс.
Пинги из гостевой до 192.168.1.23 ходят. Если пинговать имя из гостевой сети, то пинг проходит и обмен пакетами идет через внешний адрес.
Есть dns-сервер внутренний Виндовый.
Как заставить гостей общаться с cloud.....by через локальный адрес сервера 192.168.1.23?
Это параметры центрального маршрутизатора
/ip route> print
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 WAN3 2
1 X S 0.0.0.0/0 WAN1 1
2 A S 0.0.0.0/0 WAN2 1
3 DS 0.0.0.0/0 pppoe-out1_WAN3 1
4 ADC 1.1.1.2/30 1.1.1.1 ether2-wan2 0
5 ADC 2.2.2.2/30 2.2.2.1 ether1-wan1 0
6 ADC 82.82.82.82/32 82.82.82.81 pppoe-out1_WAN3 0
7 ADC 192.168.1.0/24 192.168.1.1 ether4-lan1 0
/ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept src-address-list=vpn ipsec list log=no
log-prefix=""
1 ;;; L2TP
chain=input action=accept protocol=udp in-interface=ether2-wan2
dst-port=500,1701,4500 log=no log-prefix=""
2 chain=input action=drop in-interface-list=WAN log=no log-prefix=""
3 chain=forward action=drop connection-state=invalid log=no log-prefix=""
/ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=accept src-address=192.168.1.0/24
dst-address=10.1.0.0/16 src-address-list="" log=no log-prefix=""
1 chain=srcnat action=accept src-address=192.168.1.0/24
dst-address=192.168.7.0/24 src-address-list="" log=no log-prefix=""
2 chain=srcnat action=accept src-address=192.168.1.0/24
dst-address=192.168.0.0/24 src-address-list="" log=no log-prefix=""
3 chain=dstnat action=dst-nat to-addresses=192.168.1.23 to-ports=443
protocol=tcp dst-address=82.82.82.82 dst-port=443 log=no
log-prefix=""
4 chain=dstnat action=dst-nat to-addresses=192.168.1.23 to-ports=80
protocol=tcp dst-address=82.82.82.82 dst-port=80 log=no
log-prefix=""
5 chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix=">
Если нужно ещё какую конфигурацию предоставить, то я готов.
Буду очень благодарен за совет и помощь.
Из гостевой сети доступ к основной сети
-
- Сообщения: 45
- Зарегистрирован: 29 апр 2019, 16:22
Из гостевой сети доступ к основной сети
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Из гостевой сети доступ к основной сети
Приветствую. Так что поменялось? Раньше какой "центральный маршрутизатор" был? DNS-сервером у клиентов кто работает?
Наиболее простое решение - в DNS статикой прописать нужное имя с адресом 192.168.*
Наиболее простое решение - в DNS статикой прописать нужное имя с адресом 192.168.*
-
- Сообщения: 45
- Зарегистрирован: 29 апр 2019, 16:22
Re: Из гостевой сети доступ к основной сети
В wAP ac ничего не поменялось. Раньше ядром сети был маршрутизатор zyxel zywall USG 300.
Вот DNS который раздается клиенту Так в DNS и прописано статикой нужное имя с адресом 192.168.1.23, но из сети 192.168.30.0 пользователь стучится к cloud.....by через внешний адрес - этот ресурс ещё открыт для доступа к нему из интернета.
Повторюсь, что из сети 192.168.30.0 ип адрес облака 192.168.1.23 пингуется, а вот по имени не заходит, отправляет через внешний его адрес 82.82.82.82.
А нужно что бы из сети 192.168.30.0 заходили на cloud.....by по его внутреннему адресу
3 chain=dstnat action=dst-nat to-addresses=192.168.1.23 to-ports=443
protocol=tcp dst-address=82.82.82.82 dst-port=443 log=no
log-prefix=""
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
- Сообщения: 79
- Зарегистрирован: 06 июн 2019, 16:42
Re: Из гостевой сети доступ к основной сети
Прописано то в одном, а Вы выдаете клиенту три и если он пользуется DNS 8.8.8.8 то как он будет идти к Вашем серверу?
Оставьте только один адрес DNS сервера (который Ваш локальный)- возможно он вообще не доступен.
Чтобы убедится что проблема именно в DNS зайдите на сервер по IP 192.168.1.23 если зайдете значит разруливайте DNS, нет тогда в маршрутизации ищите.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Из гостевой сети доступ к основной сети
Да, в первую очередь убрать 8.8.8.8 из выдаваемых клиентам ДНСов
-
- Сообщения: 45
- Зарегистрирован: 29 апр 2019, 16:22
Re: Из гостевой сети доступ к основной сети
Спасибо за подсказку. Я не заметил.Корпич писал(а): ↑28 окт 2019, 15:52Прописано то в одном, а Вы выдаете клиенту три и если он пользуется DNS 8.8.8.8 то как он будет идти к Вашем серверу?
Оставьте только один адрес DNS сервера (который Ваш локальный)- возможно он вообще не доступен.
Чтобы убедится что проблема именно в DNS зайдите на сервер по IP 192.168.1.23 если зайдете значит разруливайте DNS, нет тогда в маршрутизации ищите.
Действительно у меня не был доступен локальный DNS.
Разрешил доступ на DNS-сервер из гостевой сети и теперь всё работает.
/ip firewall filter> print
chain=forward action=accept src-address=192.168.1.20
dst-address=192.168.30.0/24 log=no log-prefix=""
Спасибо большое!