что блин за нетмап для одного порта? это же моветом и не комильфо. Нетмпа для случаев - "сеть в сеть". Оно конечно работает, но не кошерно так делать ?

Скайнетов, ты куда пропал?

Я тут, готовлю план вторжения.

ты бы лучше написал что за нафиг....

все подсети видят клиентов из других подсетей как шлюз подсети клиента, а не его IP. это что такое?

либо сразу кури в сторону accept перед правилом nat типа такого add action=accept chain=srcnat comment=allow src-address=192.168.18.0/24

Это для каждого NAT правила так делать выше него?

Это когда ты 10.33.1.11, а когда подключаешься к другим клиентам в других подсетях, они видят что к ним ломится 10.33.1.1.

если ты из локалки-А пингуешь локалку-Б то на хосте-Б светится адрес шлюза-А? или как?

Да

Точнее

в общем ,вечер , отдыхают все, поэтому будем заходить с козырей - с ссылок

https://www.youtube.com/watch?v=CqYnFtliRzM

это точно смотрел? а то что то впечатление что ты немного не того ожидаешь

Проблема в том что если указать dst.!10/8 то проблемы не возникает и все видят тебя как норм IP)

ну дык ясен фраг

трафик же не подпадает под маскарадинг

про нетмап https://spw.ru/forum/threads/netmap.58/

Тут же всё в ядре тика крутится, он же должен знать реальный IP.

ты задачу опиши словамм попроще

у тебя один тик в сети или несколько с своими локалками?

Это корневой тик, тут крутится домашняя сеть, сеть небольшого пионернета, WLAN, радиомосты. Сюда же подключаются удалённые VPN-тики которые по OSPF уже сообщают свои внутренние сети и всё это в итоге является одной большой распределённой сетью, и все знают маршруты к каждой из подсети.

ну вроде понятно. дальше

маскарадишь ты зачем и кого?

Нужно мне с домашней подсети иметь доступ ко всем VPN-подсетям покторые по тунелям подключены.

Маскарядю нужные подсети на корневом, что бы был инет)

впн-клиентам или сетями ЗА НИМИ?

Не нужные не маскарядю.

Сетями за VPN.

VPN просто как транспорт.

но ВПН-клиенты, я так понял, роутами с корневым тиком обмениваются?

Да.

понял

проблема конкретно в чем?

Я сам конфигурирую сети, по этому везде тупо указанно 10/8 для OSPF.

извини что так занудничаю и переспрашиваю, просто рисую ОДНОЗНАЧНУЮ и ЧЕТКУЮ схему ?

Проблема в том что не могу получить доступ из 10.33.1.11 к 10.101.1.11.

Да я знаю что там в конфиге много мусора, надо почистить от отключенных правил уже.

первая сеть это локалка корневого а вторая это за ВПН-клиентом?

Сеть на самом деле простая, у кажого свой аплинк и обмен маршрутами через центральный маршрутизатор.

ну во первых у тебя должен быть только один маскарадинг - по АУТ-ИНТЕРФЕЙСУ=ВАН

Первая это моя домашняя подсеть, мой комп, вторая это сервер далеко живущий и подключённый по VPN.

всё, на остальные интерфейсы не нужен, так как обменивааетесь роутами и маршруты на это подсети есть

Понимаешь, мне нужен маскарадинг только для некоторых подсетей, а не для всех.

так по СРЦ. адресу делай, а не по ДСТ Я так понял ты говоришь что бы маскарадить ИСТОЧНИКИ что бы их выпускало в инет

Некоторые подсети которым не нужен маскарадинг висят на тех же интерфейсах.

Не понял последнее.

У меня щас по src и сделано же.

говорю я атк понял твою фразу: На корневом микротике получилось много клиентов в разных подсетях. Не все сети нужно выпускать в инетернет, только определенные

и не указываю dst.=!10.0.0.0/8, -а это что такое было?

в общем у тебя там слишком много правил. трудно понять сразу как что работает

но это такое. вернемся к нашим баранам

Ну дак без этого я как шлюз выгляжу в галазх других.

понятно

Было бы странно, если бы в инете, твой IP был последнем шлюзом от тебя до сервера.

но зачем ты вообще прописываешь ВПН-тунель как дефолтный шлюз на тех клиентах?

но зачем ты вообще прописываешь ВПН-тунель как дефолтный шлюз на тех клиентах?

Всмысле?

Ну дак без этого я как шлюз выгляжу в галазх других.

я о этом

ты указал использовать впн как дефолтный шлюз, вот и лезут через впн и тебя в интернет

Где именно я такое указал?

Через VPN ничего кроме 10 подсети не ходит.

при создании ВПН-соеденений на других микротиках

И откуда такая информация, если я вообще таких конфигов не выкладывал?

и вообще, "не выпускать в инет" лучше в фильтре файрвола, а не в НАТе не маскарадя определенный трафик ?

И откуда такая информация, если я вообще таких конфигов не выкладывал?

ну раз ты плачешся что выглядишь как шлюз в глазах клиентов ?

Простыня FW правил будет проц просаживать.

не сами же они решили использовать тебя как шлюз. Вот и предположил что стоит галочка эта

ERROR: S client not available

Вы понимаете что я говорю вообще про контекст локальной сети, а не про шлюз доступа в инет?

Вот у меня сервера живут в 10.34.0.0/16, для них я тупо становлюсь 10.34.1.254 когда подключась к ним, а должен быть 10.33.1.11.

ясно, не так понял твою фразу, сори

ну так add action=masquerade chain=srcnat src-address=10.33.2.0/24 это что? ты бы АУТ-интерфейс еще указал и всё

а то оно маскарадит ЛЮБОЙ трафик идущий через роутер из этой сети(и любых других, эту взял как пример)

Там выходной интерфейс DHCP Client просто.

Хм...

Повешал на PPPoE интерфейс, работает.

сори что мозги выносил, просто не сразу было понятно на что жалуешся ?

Золотое правило – в ЛЮБОМ срц-нате ВСЕГДА указываем аут-интерфейс

За редким-редким исключением

Но тут борода, при обрыве pppoe, правило ломается.

Если вешать не на pppoe, а на физический интерфейс где висит pppoe клиент, то это правильно или костыль?

Доступа к удалённой подсети за VPN всё равно нет, но теперь меня за шлюз не считают хотя бы.

Если вешать не на pppoe, а на физический интерфейс где висит pppoe клиент, то это правильно или костыль?

не правильно. а как оно может пропадать? Ведь интерфейс для микротика тот же. и при поднятии правило должно включится

Золотое правило – в ЛЮБОМ срц-нате ВСЕГДА указываем аут-интерфейс

А если он динамический, то как быть?

нету динамических

ты же поднимаешь тунель в конфиге - значит микротик может на него опираться в правилах

если же сервер это ты то делать server binding

В том то и дело что при pppoe там потом вместо него uknown красуется.

И помогает только ручная смена.

хм, странно. сколько уже работал с РРРОЕ и всё нормально было

слушай, а рррое на тике как сервер или как клиент?

Клиент естественно.

странно

Я через него инет получаю.

у меня на тике стоит клиент и нормально правила работают, появляется тунель и правила перестают быть синими

глюк какой-то у тебя

Они красные, а не синие.

ДАк что можно ещё придумать то?

Парни, подскажите один вопрос давно не могу решить

Есть подсеть на bridge0 скажем 192.168.0.0/24