woody_mc Posted December 28, 2014 · Report post Всем привет. задача стоит в пробросе порта(ов) SIP из NAT сети в VLAN. NAT по сути можно заменить на другой VLAN, задача останется прежней. структура сети следующая: [sIP Server](Cisco) <—> [iP Sec Tunnel] <—> (MikroTik)[VLANx] <—?—> [NAT] эта цепочка рабочая. т.е. любой клиент, которого вешаю в VLANx регистрируется на SIP сервере, звонит и в обе стороны идет звук. VLANx есть изолированная от NAT сеть. т.е. все клиенты находясь в NAT сети не видят сеть за тунелем, как и клиенты той стороны (на стороне Cisco). здесь тоже все хорошо. задача: дать доступ одному из клиентов, находящемуся под NAT, доступ к затунельному SIP серверу. все что я пытался делать - не заработало. знаний в сфере IT чуть больше, чем у простого юзера, но все когда-то начинали... попробую расписать в цифрах и с текущими правилами firewall. SIP IP - 192.168.112.123 Gate (Cisco) - 192.168.109.234 (VLAN 192.168.108.0/22) =IP Sec Tunnel= Gate (MikroTik) - 192.168.55.1 VLANx - 192.168.55.0/24 NAT (Client) - 192.168.1.5 (NAT 192.168.1.0/24) /ip ipsec policy add dst-address=192.168.108.0/22 level=unique proposal=xxxxxxx sa-dst-address=[White IP Cisco] sa-src-address=[White IP MikroTik] src-address=192.168.55.0/24 tunnel=yes /ip firewall nat add chain=srcnat dst-address=192.168.108.0/22 src-address=192.168.55.0/24 /interface bridge add name=bridge-VLANx /interface vlan add interface=bridge-VLANx l2mtu=1582 name=VLANx vlan-id=55 /interface bridge port add bridge=bridge-VLANx interface=VLANx /ip address add address=192.168.55.1/24 comment=VLANx interface=bridge-VLANx network=192.168.55.0 клиент цепляется с 192.168.55.5 а нужно зацепить с 192.168.1.5 чувствую что ответ где-то рядом, но я его обхожу стороной видимо :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...