VP
Т.е. в первом, которое dst-nat, нужно убрать интерфейс и чтобы оно не было слишком оптимистичным, нужно явно указать адрес, который на внешнем интерфейсе
Верно.
»интерфейс вланы не надо совать в бридж
ну они же типа для маршрутизации, все верно
Size: a a a
2020 October 30
TS
интерфейс вланы не надо совать в бридж
надо порт сунуть в бридж и включить влан фильтринг, раскидать вланы по портам
если надо на влан повесть адрес, то интерфейс влан вешается на бридж, а на него адрес
надо порт сунуть в бридж и включить влан фильтринг, раскидать вланы по портам
если надо на влан повесть адрес, то интерфейс влан вешается на бридж, а на него адрес
а, все, наконец дошло, нашёл очки, которые носил в руках все время
VP
А тут что не так? Вроде и hairpin на всю локалку
Это не хаирпин НАТ это ровно такой же НАТ, как на выход в интернет.
TS
@invissible_kid
спасибо)
спасибо)
PS
»если надо на влан повесть адрес, то интерфейс влан вешается на бридж, а на него адрес
То есть VLAN-Interface выступает в роли IRB-интерфейса, если проводить аналогию с джуниперами?
То есть VLAN-Interface выступает в роли IRB-интерфейса, если проводить аналогию с джуниперами?
на джунах это скорее unit
PT
Верно.
И, ровно такую же конструкцию, нужно сочинять для всех портов, которые проброшены внутрь?
TS
на джунах это скорее unit
А что у тебя тогда будет в роли IRB?
TS
Ну на микроте
LT
Это не хаирпин НАТ это ровно такой же НАТ, как на выход в интернет.
Хм.. И то верно. Буду думать как тогда правильнее
PS
А что у тебя тогда будет в роли IRB?
бридж)
LT
Всех в Питер! Будем разводить эти ваши бриджи!))
VP
И, ровно такую же конструкцию, нужно сочинять для всех портов, которые проброшены внутрь?
Нет. Там можно (нужно) обойтись общим правилом, которое натит только трафик с соурсами из конкретной локалки имеющими дестанейшен адрес эту же локалку.
AK
И, ровно такую же конструкцию, нужно сочинять для всех портов, которые проброшены внутрь?
я вот так hairpin делаю:
два универсальных правила обслуживают все dstnat'ы
/ip firewall mangle add action=mark-connection chain=forward comment="Companion for SRCNAT: Hairpin NAT: Mark dstnat connections for Hairpin NAT srcnat masquerading" connection-nat-state=dstnat connection-state=new in-interface-list=list-LAN new-connection-mark=hairpin-dstnat passthrough=yes
/ip firewall nat add action=masquerade chain=srcnat comment="SRCNAT: Hairpin NAT" connection-mark=hairpin-dstnat
два универсальных правила обслуживают все dstnat'ы
LT
Нет. Там можно (нужно) обойтись общим правилом, которое натит только трафик с соурсами из конкретной локалки имеющими дестанейшен адрес эту же локалку.
А как тогда натить правильно дст если в локалке может быть проброшено несколько разных хостов? Маскарадинг?
VP
я вот так hairpin делаю:
два универсальных правила обслуживают все dstnat'ы
/ip firewall mangle add action=mark-connection chain=forward comment="Companion for SRCNAT: Hairpin NAT: Mark dstnat connections for Hairpin NAT srcnat masquerading" connection-nat-state=dstnat connection-state=new in-interface-list=list-LAN new-connection-mark=hairpin-dstnat passthrough=yes
/ip firewall nat add action=masquerade chain=srcnat comment="SRCNAT: Hairpin NAT" connection-mark=hairpin-dstnat
два универсальных правила обслуживают все dstnat'ы
"побочные эффекты" понимаете?
AK
"побочные эффекты" понимаете?
какие?
VP
какие?
"лишний" НАТ. Ваше правило без "побочек" будет работать только если локалка одна.
PT
Нет. Там можно (нужно) обойтись общим правилом, которое натит только трафик с соурсами из конкретной локалки имеющими дестанейшен адрес эту же локалку.
Туплю, можно подробнее
VP
А как тогда натить правильно дст если в локалке может быть проброшено несколько разных хостов? Маскарадинг?
Баз разницы сколько. Маскарад или соурснат - зависит от лени. И то и другое работать будет. Даже нетмап. )