Stai usando un browser non aggiornato. Potresti non visualizzare correttamente questo o altri siti web. Dovreste aggiornare o usare un browser alternativo.
Ti mancano delle nozioni base di networking. Leggiti com'è composto un datagram IP, per capire come funziona il NAT, ovvero il cambio di indirizzo (sorgente o destinazione) in un pacchetto IP.
Nel caso specifico, te stai dicendo al mikrotik che ai nuovi pacchetti che arrivano sulle porte che sono nella lista WAN, deve essere variato l'IP destinazione con 192.168.50.124 e quindi tramite routing table (e qui ti servono le nozioni di instradamento pacchetti e tabelle ARP) instradati sull'interfaccia in cui è presente questo IP.
I pacchetti con IP sorgente nella rete 192.168.3.0/24 non vengono in alcun modo toccati da tale regola, a meno che tu non inserisca le interfacce su cui appare tale indirizzo nella interface list WAN, ma non avrebbe senso.
Un consiglio: lettura di Reti di Calcolatori di Andrew Tanenmbaum
Si lo so che mi mancano le basi. Questo è solo un hobbie. Sto facendo delle letture e contemporanemente cercando di imparare il mikrotik che è già ostico di suo, e mettere le cose insieme per ottenere il risultato sperato e tremendamente difficile.
Ritornando a noi, però ho bisogno di feedback. Sopra mi stai dicendo che i pacchetti che arrivano dalla WAN per la rete a cui appartiene pfsense sono già "segnati" (tramite numero porta) per quella rete, il tutto settato diciamo al momento di stabilire la connessione con un server remoto? Altrimenti non riesco proprio a capire come faccia a sapere il mikrotik e ad instradare un pacchetto proveniente dalla WAN per quella specifica subnet settata su una specifica interfaccia.
Mettere in bridge la wlan1 e la ether3 significa collegarle a layer 2, quindi sono a tutti gli effetti interconnesse, per cui ogni apparato appartenente al bridge può vedersi direttamente senza necessità di interposti apparati / regole di routing, quindi il tuo pfsense può vedere direttamente il tuo modem, lo trovi direttamente nelle tabelle ARP del pfsense e idem nelle tabelle ARP del modem trovi il pfsense. A questo punto ti basta configurare il pfsense con un IP della sottorete che il modem usa come LAN (generalmente 192.168.1.0/24), impostare l'ip del modem come gateway del pfsense e hai il tuo pfsense connesso direttamente a internet tramite il modem, la routerboard in quel caso non si vede neppure.
Però è necessario che tu abbia presenti queste nozioni di networking, altrimenti non è facile spiegare
ma non è tanto questo il passaggio che mi sfugge. È la connessione sulla WAN dell'altro bridge già esistente. Tu prima mi hai detto che devo settare la WLAN1 in station-bridge, adesso è solo in station. Dobbiamo in pratica insistere su questo punto/passaggio che è poco chiaro per me. Inizio a fare delle prove.
Grazie
Post unito automaticamente:
Ho di nuovo rimosso eth3 dal bridge; ho creato un nuovo bridge dal nome bridgepf, gli ho assegnato eth3 e la wlan1; mi salta subito la connessione internet sulla rete 192.168.3.0/24
Ritornando a noi, però ho bisogno di feedback. Sopra mi stai dicendo che i pacchetti che arrivano dalla WAN per la rete a cui appartiene pfsense sono già "segnati" (tramite numero porta) per quella rete, il tutto settato diciamo al momento di stabilire la connessione con un server remoto? Altrimenti non riesco proprio a capire come faccia a sapere il mikrotik e ad instradare un pacchetto proveniente dalla WAN per quella specifica subnet settata su una specifica interfaccia.
I pacchetti non sono segnati dal numero della porta, ma il mikrotik sa su che porta sono arrivati. Per questo può far funzionare regole di firewall basate sulle porte.
Prova a vedere se questo ti aiuta
La regola di DNAT di cui stiamo parlando dice alla cpu del mikrotik:
- quando vedi arrivare dei pacchetti new (altrimenti sarebbero relativi a connessioni established o a altri stati) su una interfaccia compreas nella lista con il nome WAN, prendi l'header del datagram IP e cambia l'indirizzo di destinazione, a quel punto il pacchetto segue le regole di instradamento pacchetti per cui viene inviato all'interfaccia sulla quale è stato visto in tabelle ARP l'IP di destinazione. Quella connessione diventa quindi established e pacchetti di ritorno vengono ritrasformati con IP sorgente stavolta quello dell'interfaccia WAN esterna del mikrotik e mandati al gateway su tale interfaccia.
Queste sono nozioni di instradamento pacchetti layer-2 e layer-3
ma non è tanto questo il passaggio che mi sfugge. È la connessione sulla WAN dell'altro bridge già esistente. Tu prima mi hai detto che devo settare la WLAN1 in station-bridge, adesso è solo in station. Dobbiamo in pratica insistere su questo punto/passaggio che è poco chairo per me. Inizio a fare delle prove.
La scheda wifi può essere station (quindi fa solo routing, layer-3) oppure station-bridge quindi instrada i pacchetti a layer-2. Io per esempio ho usato il mio hap ac2 a casa con una wifi in station bridge (aggiunta al bridge della lan) connessa all'hotspot del telefono quando non andava la connettività fttc normale
I pacchetti non sono segnati dal numero della porta, ma il mikrotik sa su che porta sono arrivati. Per questo può far funzionare regole di firewall basate sulle porte.
ma stiamo parlando dei pacchetti in uscita che poi vanno in internet? Cioè, se ad esempio, dal pfsense arriva una pacchetto che deve essere instradato su internet, Mikrotik si segna da che porta è arrivato, fa il masquerading e lo invia, la risposta arriva a Mikrotik che lo instada verso la porta da cui è arrivata la richiesta originaria? Io parlavo di questo.
La regola di DNAT di cui stiamo parlando dice alla cpu del mikrotik:
- quando vedi arrivare dei pacchetti new (altrimenti sarebbero relativi a connessioni established o a altri stati) su una interfaccia compreas nella lista con il nome WAN, prendi l'header del datagram IP e cambia l'indirizzo di destinazione, a quel punto il pacchetto segue le regole di instradamento pacchetti per cui viene inviato all'interfaccia sulla quale è stato visto in tabelle ARP l'IP di destinazione. Quella connessione diventa quindi established e pacchetti di ritorno vengono ritrasformati con IP sorgente stavolta quello dell'interfaccia WAN esterna del mikrotik e mandati al gateway su tale interfaccia.
Queste sono nozioni di instradamento pacchetti layer-2 e layer-3
È questo dicevo io. Quando arrivano i pacchetti sulla WAN destinati al 192.168.50.124, mikrotik sa dove instradarli perché si è segnata la porta da dove sono partite le richieste originarie verso internet. o No?
La scheda wifi può essere station (quindi fa solo routing, layer-3) oppure station-bridge quindi instrada i pacchetti a layer-2. Io per esempio ho usato il mio hap ac2 a casa con una wifi in station bridge (aggiunta al bridge della lan) connessa all'hotspot del telefono quando non andava la connettività fttc normale
Station infatti è come è settata al momento e che fa appunto da porta WAN pure. Quello di cui parlavi era mettere in bridge la Eth3 (pfsense) con la Wlan1 settata però in station bridge. Non tutte e due le impostazioni sulla stessa interfaccia WLAN. Ci troviamo?
Tu quindi usi la connessione al cell, quando serve, in station-bridge. Io in station o in in usb tethering. Devo provare anche questa tua configurazione.
ps: scusa se ti ho risposto solo ora ma ho avuto un problema con mikrotik. Ho dovuto resettarlo perché non mi faceva più entrare. Poi non so come ho risolto dopo ore, anche resettando non riuscivo ad entrare in pratica con winbox. Boh
Post unito automaticamente:
Scusami stavo pensando ancora alla questione dello station bridge mode del mikrotik con l'hot spot del telefono. È possibile?
Qui leggo:
Mode station-bridge
This mode works only with RouterOS APs and provides support for transparent protocol-independent L2 bridging on the station device. RouterOS AP accepts clients in station-bridge mode when enabled using bridge-mode parameter. In this mode, the AP maintains a forwarding table with information on which MAC addresses are reachable over which station device.
This mode is MikroTik proprietary and cannot be used to connect to other brands of devices.
