LINUX.ORG.RU

Избранные сообщения AlexeyK

Mikrotik. Частично не работает связь между офисами без NAT.

Форум — Admin

Добрый день.

Прошу помощи, сам уже не знаю в какую сторону копать.

Офисы подключаются через L2TP в Центральный офис (ЦО). Настроена маршрутизация и т.д. Без NAT не работает часть ресурсов, например, нельзя зайти на микротик за микротиком, веб морда DECT телефонов и т.д. Но пинги на те же DECT телефоны проходят, тот же VNC до компьютеров работает. Как только включаю masquerade без исключений, то все веб морды начинают прекрасно открываться. Если перед masquerade добавить правило Action-Accept, то тоже самое.

Вот кусок конфига: 

Mikrotik в удаленном офисе
/ip address
add address=192.168.5.104/24 interface=L2TP - Адрес динамический.
/ip firewall filter
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept
established,related" connection-state=established,related
add action=accept chain=input comment=GRE protocol=gre
add action=drop chain=input comment="drop all from WAN" in-interface-list=WAN
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/16 src-address=192.168.0.0/16
add action=masquerade chain=srcnat
/ip route
add check-gateway=ping distance=4 dst-address=192.168.0.0/16 gateway=192.168.5.1

Mikrotik в ЦО
/ip address
add address=192.168.5.1/24 interface=L2TP - Адрес динамический.
/ip firewall filter
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="accept established,related" connection-state=established,related
add action=accept chain=input comment=GRE protocol=gre
add action=drop chain=input comment="drop all from WAN" in-interface-list=WAN
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/16 src-address=192.168.0.0/16
add action=masquerade chain=srcnat
/ip route
add check-gateway=ping distance=4 dst-address=192.168.104.0/24 gateway=192.168.5.104
Заранее спасибо.

 ,

AlexeyK
()
9 комментариев