Ich habe folgendes Problem: Ein Kunde hat mehrere LANs, beispielsweise LAN1 und LAN2 mit den gleichen privaten IP-Bereichen (192.168.10.x), und ich muss alle Netzwerke überwachen.
Ich habe drei Schnittstellen des Routers wie folgt benannt: LAN1, LAN2 und MONITOR
Was ich tun muss, ist ein Eins-zu-Eins-NAT von LAN1 zu MONITOR und anderes von LAN2 zu MONITOR. Die NAT-Konfiguration sollte folgendermaßen aussehen:
Ich muss von MONITOR auf LAN1 und von MONITOR auf LAN2 zugreifen können. Im Monitor kann ich jeden Bereich verwenden, den ich möchte. Um das Beispiel leicht lesbar zu machen, nehmen wir an, dass ich die 10.0.0.0/16 in MONITOR LAN habe. Ich muss also die privaten Adressen von LAN1 und LAN2 wie folgt ausblenden:
Auf diese Weise kann ich unter LAN1 über die Adresse 10.0.1.23 auf die Maschine 192.168.10.23 und unter LAN2 unter der Adresse 10.0.2.23 auf die Maschine 192.168.10.23 zugreifen (beachten Sie das Mapping 10.0.1.x für LAN1, 10.0.2.x für LAN2)
Ich muss ein NAT für LAN1 so definieren
/ip firewall nat add chain=dstnat dst-address=10.0.1.0/24 \ action=netmap to-addresses=192.168.10.0/24 /ip firewall nat add chain=srcnat src-address=192.168.10.0/24 \ action=netmap to-addresses=10.0.1.0/24 (Natürlich verwende ich für LAN2 eine ähnliche NAT-Definition.)
So weit, ist es gut. Wenn ich diese NAT-Definition für LAN1 verwende, funktioniert alles wie erwartet.
Das Problem ist, wenn ich das NAT für das zweite LAN definiere. Ich habe Bridging versucht, mit entstellten Paketen routen, VLANs verwenden ... aber keine meiner Konfigurationen liefert mir die erwarteten Ergebnisse. Wenn ich zum Beispiel 192.168.1.23 anpinge, kommen die Pings manchmal auf LAN1 an die Maschine 19.168.10.23, und bei anderen Gelegenheiten bekomme ich die Pings von der Maschine mit der gleichen IP auf LAN2. Bei anderen Gelegenheiten schlagen die Routen fehl (es gibt Probleme mit ihnen).
Es macht mir nichts aus, wenn ich Routing oder Bridging verwenden muss. Es macht mir nichts aus, welche IPs ich im MONITOR LAN verwende, aber ich kann nicht das IPS auf LAN1 und LAN2 ändern.
In wenigen Worten, ich brauche ein NAT von der MONITOR-Schnittstelle zu der LAN1-Schnittstelle für 10.0.1.0/24 zu 192.168.10.0/24 und ein weiteres NAT von der MONITOR-Schnittstelle zu LAN2 für 10.0.2.0/24 zu 192.168.10.0 / 24. Aufgrund der wiederholten IPs auf LAN1 und LAN2 konnte ich den Datenverkehr für beide "Channels" nicht trennen.
Hast du eine Idee, wie ich es erreichen kann?
Gehen wir zu einer einfachen Lösung: Ich verstehe, dass Ihr Router 192.168.10.0/24 ist, also:
/ip firewall nat add chain=srcnat src-address=10.0.2.0/24 dst-address=10.0.1.0/24 action=src-nat to-addresses="router-IP-192.168.10.x/24" /ip firewall nat add chain=srcnat src-address=10.0.1.0/24 dst-address=10.0.2.0/24 action=dst-natp to-addresses="router-IP-192.168.10.x/24"
Stellen Sie sicher, dass auf allen PCs / Servern das Router-IP-Standardgateway eingerichtet ist