RB433 a vice NATu/uživatelů

[milanc]

Ahoj,
mám možná jen triviální dotaz, ale nějak se nedaří... Mám 2 uživatele (časem možná 3 = max), jsou připojeni na AP přes RB433 (klient). Každý uživatel visí na jednom portu (ether1,ether2), má svůj subnet 192.168.(1|2)/24 s DHCP atd.
Na wlan1 mám 2x IP adresu. Každého klienta/subnet chci překládat (maškaráda) přes svou IP (důvod: shaping na vyšší rovni per ip, blokování neplatičů...).

Udělal jsem si 2x maškarádu...
subnet 192.168.1.0/24 a subnet 192.168.2.0/24 (nastaveno v Src.Address)
In.Interface použít nelze, zkusil jsem tedy do Dst.Address zadat vždy danou ip na wlan. A neproteče ani bajt.

Můžete mi někdo poradit, je-li to možné, jak na to?

Milan

[Hallo]

Místo masqerade použij srcnat.
Chain:srcnat,Src adress:192.168.X.X(ip konkrétního klienta,nebo celí subnet),Out iface (výstup do netu),Action src-nat,To adresses:xxx.xxx.xxx(ip do netu),to 2x pro ty 2 WAN adresy.

[hocimin1]

/ip firewall nat


add action=src-nat chain=srcnat comment="WLAN 1IP na 192.168.1.0/24" disabled=no src-address=192.168.1.0/24 to-addresses=XXX.XXX.XXX.XXX
add action=src-nat chain=srcnat comment="WLAN 2IP na 192.168.2.0/24" disabled=no src-address=192.168.2.0/24 to-addresses=YYY.YYY.YYY.YYY

XXX.XXX.XXX.XXX - prvni IP adresa na WLAN
YYY.YYY.YYY.YYY - druha IP adresa na WLAN

[milanc]

Ahoj,
děkuji oběma za radu, nastavil jsem, jen zatím není potvrzena funkčnost. Ale snad to pojede.

[milanc]

Ahoj,
rád bych se zeptal ještě na jednu věc, která by se mi nyní hodila. Dalo by se nějak zařídit, aby adresa XXX.XXX.XXX.XXX byla za jinou MAC než YYY.YYY.YYY.YYY? Takto v podstatě obě tyto IP odpovídají společné MAC adrese wlan rozhraní. Pokud by to nešlo, nevadí.

[Hallo]

Jedině dát klienta do režimu klient pseudobridge,to ale nedoporučuju.

[okoun]

a proč jako? normálně to funguje myslím že ve verzi 2 a 3 s tím byly problémy. Verze last 3 a 4 a 5 to jede bez problémů, alepoň u mne.

[hapi]

nikdy nepoužívat tečka

mimochodem, ve v2.x pseudobridge nikdy nebyl.

Když už bridge, tak WDS, nic jinýho.

[Maxik]

pseudo jsem mel pouzite u par klientu ale dal jsem to pryc je to takove divne reseni a myslim zde privatni segment + NAT je lepsi, popr. jen routing bez natu

[okoun]

jak divné?
vždyť každé klientské zařízení od Tplinků a podobnejch plastovejch čínskejch krabiček, má režim bridge a vše funguje. Mikrotik to rozdělil na bridge a pseudo bridge, přitom u všech ostatních zařízení je mod bridge, který se chová jako pseudo u mikrotiků. žádnou zvláštnost bych v tom nehledal.

[Maxik]

nerikam ze to nefunguje, jen se mi nelibi mit ap s klientama v bridzi

[hapi]

jak divné?
vždyť každé klientské zařízení od Tplinků a podobnejch plastovejch čínskejch krabiček, má režim bridge a vše funguje. Mikrotik to rozdělil na bridge a pseudo bridge, přitom u všech ostatních zařízení je mod bridge, který se chová jako pseudo u mikrotiků. žádnou zvláštnost bych v tom nehledal.

všechno tohle funguje pouze když je RBčko(tplink,ovislink,...) i klienti v jednom Cčkovim subnetu. Jakmile za to chceš připojovat další subnety i když budou za pseudobridgem v routeru, zkončil si. To platí jak pro mikrotika, tak pro třeba ovislinky. Teda nevim jak v malim počtu ale měly jsme tu chvíly jedno MKčko v tomhle režimu a za tim asi 4 subnety cca 20-30 lidí a katastrofa. Jednou jede jeden subnet, za chilku druhej atd..

jako nemá smysl řešit, wifina neni a nikdy nebyla navržená pro to na co jí používáme a faktem je, že je navržená tak, aby klientský karty byly v koncovích počítačích a tedy nikam dál to už neputuje. Základní princip je APčko a klientský adaptery v koncovích zařízeních (pc, notebook,mobil) a nikam dál už ne a už vůbec ne transparentně.

Bridge v klientskym modu je vždycky dřív nebo později smrt. Nikdy mi nesmí do sítě. viz UBNTU a jeho nepropouštění OSPF skrz klienta v bridge. Každej bridge u klienta má nějakej háček kromě WDS station.

[Leeonek]

viz UBNTU a jeho nepropouštění OSPF skrz klienta v bridge.

Tam jako má být nějaký problém? Mám asi 5 p2p spojů na ubnt a ospf mi přes to v pohodě běží. Módy jak wds tak klasika ap-station.

[hapi]

někdo tu o tom psal. Sám nemám v síti ani jedno UBNT.

[Hallo]

NS5 client-bridge oproti MK s ap-bridge není plně transparentní...