Nastavenie DST a SRC NAT

[maetoo]

Topológia siete.png (3.99 KiB) Zobrazeno 1421 x

Od svojho ISP mám NATovanu jednu verejnu ip adresu na MK RB-411(isp rb). Za nim mám zapojeny svoj MK RB-750(moj rb).
Teraz si NAT pre ostatne zariadenia za mojim rb nastavujem u isp rb.
Ako nastaviť isp rb, aby som si NAT mohol nastavovať až v mojom v rb a nie v isp rb?

Do NATu u isp rb som skušal pridať pravidla podľa tohto vzoru:

Kód: Vybrat vše

add action=dst-nat chain=dstnat dst-address=verejnaIP to-addresses=vnitrniIP
add action=src-nat chain=srcnat src-address=vnitrniIP to-addresses=verejnaIP


V isp rb to vyzera:

Kód: Vybrat vše

add action=dst-nat chain=dstnat disabled=no dst-address=10.55.53.116 to-addresses=192.168.111.1
add action=src-nat chain=srcnat disabled=no src-address=192.168.111.1 to-addresses=10.55.53.116


Keď su pravidla aktivne a zrušim klasicku maškaradu v isp rb, internet nejde.
Ako by ste to riešili? Viete mi poradiť kde mam chýbu keď vypnem maškaradu v isp rb?

V mojom rb mám iba jedno pravidlo v NATe:

Kód: Vybrat vše

add action=masquerade chain=srcnat comment="Hlavna_brana(PBI)-Ma\9Akarada pre port:Ether1" out-interface="!ether2-Poschodie (Mikrotik)"


[ludvik]

protože máš na svém maškarádu, tak tohle:

add action=src-nat chain=srcnat disabled=no src-address=192.168.111.1 to-addresses=10.55.53.116

není pravda. src-address máš tu druhou ...

Maškaráda je to samé, co src-nat. Jenom nenastavuješ adresu, za kterou se to překládá, vezme si ji to samo z rozhraní.

[ludvik]

A pokud u sebe mít maškarádu nechceš, tak musíš napsat src-nat ne dle jedné IP, ale podle celé sítě.

add action=src-nat chain=srcnat disabled=no src-address=192.168.111.0/24 to-addresses=10.55.53.116

A nejspíš i to zopakovat pro IP adresu "WAN" tvého RB.

ISP RB také musí mít routu do sítě 192.168.111.0/24