Quote:
Originariamente inviato da opn00
Sto tentando di configurare OPNsense ma ancora senza risultati.
Potresti spiegarci come hai fatto a configurare il tuo Mikrotik RB5009?
Grazie!
|
Riporto come abbiamo descritto su altro forum
Configurazione Mikrotik:
### TL;DR: Vi serve un router in grado di configurare in maniera granulare il Source NAT, andando ad indicare le porte da usare per le connessioni uscenti
Step 1. Attivare la modalitā ONT sulla iliadbox .
Step 2. Collegare il router alla porta 2.5G della iliadbox
A questo punto la iliadbox distribuirā l'IP pubblico al router via DHCPv4 SENZA NAT e farā routing link-local. Bisogna quindi configurare il router in modo che faccia NAT rispettando il range di porte dato da iliad.
Nota di colore: ICMP (ping/traceroute) direttamente dal router sembra non funzionare al 100%. Forse č un problema di TTL ma anche cambiandolo via mangle non sembra andare sempre. Da indagare
Su un mikrotik, supponendo di avere range 1-16k la config č la seguente (ether8 č la WAN)
[admin@MikroTik] > /ip/firewall/nat/export
/ip firewall nat
add action=masquerade chain=srcnat comment="tcp masquerade" out-interface-list=WAN protocol=tcp \
to-ports=1050-16383
add action=masquerade chain=srcnat comment="udp masquerade" ipsec-policy=\
out,none out-interface-list=WAN protocol=udp to-ports=1050-16383
add action=masquerade chain=srcnat comment="portless masquerade" ipsec-policy=\
out,none out-interface-list=WAN
[admin@MikroTik] > /ipv6/route/export
/ipv6 route
add disabled=no distance=1 dst-address=::/0 gateway=fe80::[LINK LOCAL DELLA ILIADBOX]%ether8 scope=30 target-scope=10
[admin@MikroTik] > /ip/dhcp-client/export
/ip dhcp-client
add interface=ether8
[admin@MikroTik] > /ipv6/address/export
/ipv6 address
add address=2a01:e11:[WAAA]:[NON LA SUBNET 0 CHE SERVE ALLA ILIADBOX]::1 interface=bridge
Credits: nanomad e Daniel_e88