NAT през IPsec

[Щирлиц]

Здравейте Колеги и весели празници

Ситуацията е следната - 2 мрежи са свързани през IPsec: 1. публично ИП 1.1.1.1 и мрежа 10.1.1.0/24, втората мрежа е с публично ИП 2.2.2.2 и мрежа зад него 192.168.0.0/24. И на двете места рутерите са Микротик.

Въпроса е, как да НАТ-на ИП 1.1.1.1:80 към ИП от втората мрежа, примерно 192.168.0.117:80

[Щирлиц]

преди 36 минути, JohnTRIVOLTA написа:

/ip firewall nat add action=src-nat chain=srcnat disabled=no dst-address=192.168.0.0/24 to-addresses=10.1.1.1

 /ip firewall nat

add action=src-nat chain=srcnat disabled=no dst-address=192.168.0.0/24 to-addresses=10.1.1.1 

Хитро и интересно, сменяш сорс адреса с локалният за да го хване полисито ! Така обаче се натват и локалните заявки от мрежата или това не е проблем ? Проблем, че реално 10.1.1.0/24 ще е скрита за 192.168.0.0/24 по този начин ?

 

Не е проблем dst-adress да е само необходимото IP, а не цялата мрежа. А 10.1.1.0.24 не е скрита - по-нагоре са accept правилата за IPsec-а

[JohnTRIVOLTA]

преди 14 минути, Щирлиц написа:

Не е проблем dst-adress да е само необходимото IP, а не цялата мрежа. А 10.1.1.0.24 не е скрита - по-нагоре са accept правилата за IPsec-а

Ясно .То може да си седи това правило, просто като първо ще трябва да ти е :

add chain=srcnat src-address=10.1.1.0/24 dst-address=192.168.0.0/24

Интересен казус бе за разрешаване !