chyba v NATu: LAN router+wifi NAT v jednom MK

[Pelirob]

Ahoj,
tak nějak tuším, že je to úplná kravina, ale stále se mi nedaří přijít na správné řešení. Historicky jsem měl jsem v síti MK a samostatnou wifi s NATem. Původní konfigurace (obrázek se na proklik zvětší) :

Default gw je 10.0.0.1, na switchi jsou v rozsahu 10.0.5.0/24 připojena další zařízení a za wifi jsou nějaká přenosná zařízení (čtečky kódů, občas můj mobil apod.)

Wifina zdechla a místo nové jsem chtěl použít wifi přímo v MK, když už to umí (obrázek se na proklik zvětší) :

Potřebuji aby wifi klienti byli vždy schováni za 10.0.5.100, dalo se z nich pingnou na všechna zařízení v 10.0.5.0/24 a mohli ven na default gw 10.0.0.1

Určitě mám chybu v NATu - buď si z wifi pingnu na 10.0.0.100(pravidla src-nat, dst-nat), ale nepingnu si na 192.168.1.1, nebo se dostanu na 192.168.1.1 a 10.0.0.100 (masquerade), ale nikam dál.
Můžete mě prosím někdo popostrčit správným směrem?
Děkuji za radu.

[ludvik]

Koukáš na to úplně špatně ...
Pokud to je bridge, je to vlastně součást toho switche. NAT nemá smysl. Nenastavuješ tam vůbec nic. A pracuješ z hlediska konfigurace IP a tak jen s tím bridgem.
Pokud bys to chtěl routovat, nesmíš to dávat do bridge a na wifi bude jiný segment IP, než na tom switchi. Pak i to DHCP bude samostatný. Ale myslím, že to vlastně ani nechceš.

[Pelirob]

Možná na to koukám úplně špatně, ale potřebuju nahradit konfiguraci Mikrotik + ASUS WL-500gP z prvního obrázku jen tím Mikrotikem. Mikrotik má wifi přímo na sobě, tak nevidím důvod, proč by to nešlo.

[ludvik]

Šlo. Máš dva způsoby. Oba jsem ti popsal.

[Pelirob]

Původně jsem kombinoval scr a dst nat 1:1 z 10.0.5.100 na 192.168.1.1 a za tím ještě maškarádu 1:N, ale s tím jsem neuspěl.
Možná to řeším zbytečně složitě, když zruším všechny ostatní pravidla a nechám v NATu jen
/ip firewall nat
add chain=srcnat src-address=192.168.1.10-192.168.1.20 action=masquerade out-interface=eth1
tak to sice funguje, wifi klienti se dostanou kam potřebují, ale směrem ven se tváří jako 10.0.0.11, místo 10.0.5.100.

[ludvik]

To může být správně. Nezapomeň, že nahrazuješ jeden router, který měl dvě rozhraní (a tedy měl za co dělat NAT) jednou wifi kartou v jiném routeru. A překládat musíš za IP z toho routeru.

Se ti to předtím muselo chovat naprosto stejně - s tím rozdílem, že uvnitř té sítě to bylo jako 10.0.5.100, ale navenek stejné. Tedy jsi tam měl dvojitý NAT, teď máš jen jeden.