Въпрос за дабъл НАТ

[dimitrow]

Здравейте,

 

Абсолютно начинаещ съм в света на Mikrotik и мрежите като цяло, но ми се налага да направя нещо далеч по-сложно от моите познания. Ситуацията е следната :

В офис структурата на входа имам следната ситуация - Mikrotik, управляван от доставчика на интернет, а след него Mikrotik RouterBoard 951G-2HnD, управляван от нас. Целта е да се направи двойно пренасочване на порт - веднъж от първия микротик към същия порт на втория Микротик, а след това от втория микротик към специфичен порт и ип от вътрешната мрежа. Искаме да го направим така, за да можем да отваряме/затваряме въпросния порт от управлявания от нас Микротик, когато се налага.

Вторият рутер работи с localbridge м/у двата порта - входа и изхода.

В крайна сметка трябва да се получи следното:
Реално_IP:PORT1 - IP_на_2ри_Микротик:PORT1 - IP_от_Организацията:PORT2

В момента доставчика на интернет е пренасочил PORT1 към същия порт на IP-то на втория Микротик, което незнам доколко е правилно и какво да правя аз след това във втория рутер? Опитах да сложа dstnat към желания от мен адрес и порт, но без успех.

Питането ми е какво трябва да се настрой в първия и втория рутер? Дано съм успял да обясня правилно, така че да ме разберете.

 

Благодаря предварително

Редактирано 23 Ноември, 2018 от dimitrow

[ilko-gd]

Вторият рутер използваш ли го за NAT и Firewall, че поне аз не разбирам от написаното. Ако го използваш приемаме следната конфигурация: ether1 интерфейса е свързан с рутера на доставчика ти, а ether2-ether5 и wlan1 са сложени в bridge и са локалната ти мрежа. В такъв случай задаваш на ether1 статичен адрес от LAN мрежата на рутера на доставчика ти като например 192.168.46.5 и в IP Routes си задаваш Default Gateway за 0.0.0.0/0 /всяка мрежа с всяка маска/ например 192.168.46.1. Адресите са примерни и трябва да ги замениш в съответствие с конфигурацията на рутера на доставчика ти. След това доставчика трябва да ти пренасочи желаният порт, например 5900 към ether1 IP адреса на твоят рутер, в моят пример към 192.168.46.5. После ти в IP->Firewall->NAT трябва да си създадеш dst-nat правило, което пренасочва порт 5900 към например 192.168.153.21 (адреса е примерен, приемаме, че твоята LAN мрежа е 192.168.153.0/24). Последна стъпка е да разрешиш dst-nat трафика във Forward chain, може изцяло, може и само за конкретният порт. Така чрез включване и изключване на dst-nat правилото в твоят рутер ще можеш да контролираш кога да е достъпен ресурса от вън.

Редактирано 25 Ноември, 2018 от ilko-gd