У меня следующая проблема: у клиента есть несколько локальных сетей, например, LAN1 и LAN2 с одинаковыми частными диапазонами IP (192.168.10.x), и мне нужно отслеживать все сети.
У меня есть три интерфейса маршрутизатора, такие как LAN1, LAN2 и MONITOR.
Что мне нужно сделать, так это один-к-одному NAT от LAN1 до MONITOR, а другой от LAN2 до MONITOR. Конфигурация NAT должна выглядеть следующим образом:
Мне нужно иметь возможность доступа с MONITOR на LAN1 и с MONITOR на LAN2. В мониторе я могу использовать любой диапазон, какой захочу. Чтобы сделать пример легко читаемым, предположим, что у меня есть 10.0.0.0/16 в сети MONITOR. Итак, мне нужно скрыть частные адреса LAN1 и LAN2, например:
- IP-адрес LAN1 192.168.10.0/24 скрыт как 10.0.1.0/24
- IP-адрес LAN2 192.168.10.0/24 скрыт как 10.0.2.0/24
Таким образом, я могу получить доступ к машине 192.168.10.23 в LAN1 по адресу 10.0.1.23 и машине 192.168.10.23 (тот же IP) в LAN2 по адресу 10.0.2.23 (обратите внимание на отображение 10.0.1.x для LAN1, 10.0.2.x для LAN2)
Мне нужно определить NAT для LAN1, как это
/ip firewall nat add chain=dstnat dst-address=10.0.1.0/24 \
action=netmap to-addresses=192.168.10.0/24
/ip firewall nat add chain=srcnat src-address=192.168.10.0/24 \
action=netmap to-addresses=10.0.1.0/24
(Очевидно, для LAN2 я использую аналогичное определение NAT)
Все идет нормально. Если я использую это определение NAT для LAN1, все работает как положено.
Проблема в том, когда я определяю NAT для второй локальной сети. Я пробовал мосты, маршрутизацию с искаженными пакетами, используя VLAN ... но ни одна из моих конфигураций не дает мне ожидаемых результатов. Например, если я пингую 192.168.1.23, эхо-запросы иногда поступают на машину 19.168.10.23 по LAN1, а в других случаях я получаю эхо-запросы от машины с тем же IP-адресом в LAN2. В других случаях маршруты терпят неудачу (есть некоторая проблема с ними).
Я не против, если я должен использовать маршрутизацию или мост. Я не возражаю против того, какие IP-адреса я использую в сети MONITOR LAN, но я не могу изменить IPS в LAN1 и LAN2.
В двух словах, мне нужно назначить NAT от интерфейса MONITOR к интерфейсу LAN1 для 10.0.1.0/24 до 192.168.10.0/24 и другой NAT от интерфейса MONITOR к LAN2 для 10.0.2.0/24 до 192.168.10.0/24. Я не смог разделить трафик для обоих "каналов" из-за повторяющихся IP-адресов в LAN1 и LAN2.
Ты хоть представляешь, как мне этого добиться?