Problema port forwarding in AP client

[doberman70]

Ciao a tutti
spero di postare nella sezione corretta... Sto impazzendo su questa cosa:
rete lan (192.168.0.0/24) sulla quale vi è una rete wifi gestita da terze persone.
In una zona servita da questa wifi dovrei collegare delle macchine di produzione alla rete aziendale ma queste macchine NON hanno scheda wifi, non ne esistono e non vi sono porte usb: hanno solo scheda ethernet. A questo punto penso di configurare un access point MIkrotik RB951Ui in modalità AP client, collegarlo alla rete WIFI esistente e collegare una delle porte ethernet alla macchina di produzione in modo da poterla raggiungere dalla rete LAN. Per semplificare il tutto mi metto con un pc dietro al Mikrotik, mi collego con la ethernet del pc alla ether1 del Mikrotik, configuro la wlan in modo che si colleghi alla rete wlan ed assegno l'indirizzo datomi dall'IT 192.168.0.45, assegno alla ether 1 l'indirizzo 192.168.25.1 ed al pc 192.168.25.100. Configuro le default route con il gateway aziendale e configuro la regola src-nat in modo che tutta la rete 192.168.250/24 venga nattata su 192.168.0.45... Tutto funziona perfettamente e mi colego sia in Internet sia a qualsiasi device sulla rete 192.168.0.0/24. Il problema viene ora per raggiungere il pc 192.168.25.100 dalla 192.168.0.0/24...

/ip firewall nat add chain=dstnat dst-address=192.168.0.45 protocol=tcp dst-port=3389 \
action=dst-nat to-addresses=192.168.25.100 to-ports=3389
La cosa dovrebbe essere banale... ma niente da fare, non c'è verso di raggiungere il pc (la porta 3389 del pc è aperta, il servizio attivo e funziona, escludiamo problemi di config. del rdp, nel pc ovviamente ho la ether1 come gw).
Non vorrei che ci siano problemi ad usare in questa modalità il mikrotik , ovvero in ap client... con la wlan e ether in bridge non c'è stato verso, in routing nemmeno... le ho provate tutte maniente da fare riesco dal pc andare verso la 192.168.0.0 ma non viceversa!!! Dove sbaglio??? Premetto che è il terzo mikrotik che configuro.
Ciao e grazie!!!

[doberman70]

Ecco qui la semplice config:

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk,wpa-eap,wpa2-eap \
eap-methods="" group-ciphers=tkip,aes-ccm unicast-ciphers=tkip,aes-ccm \
wpa-pre-shared-key=pippo wpa2-pre-shared-key=pippo
add authentication-types=wpa-psk,wpa2-psk,wpa-eap,wpa2-eap eap-methods="" \
group-ciphers=tkip,aes-ccm management-protection=allowed mode=dynamic-keys \
name=profile1 supplicant-identity="" unicast-ciphers=tkip,aes-ccm \
wpa-pre-shared-key=pippo wpa2-pre-shared-key=pippo
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country="us 2.4 crossroads" \
disabled=no frequency-mode=superchannel l2mtu=1600 security-profile=\
profile1 ssid="wifi" wireless-protocol=802.11
/interface wireless connect-list
add interface=wlan1 security-profile=default
/ip address
add address=192.168.25.100/24 interface=ether1 network=192.168.25.0
add address=192.168.0.45/24 interface=wlan1 network=192.168.0.0
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.25.0/24
add action=dst-nat chain=dstnat dst-address=192.168.0.45 dst-port=3389 \
in-interface=wlan1 protocol=tcp to-addresses=192.168.25.100 to-ports=3389
/ip route
add distance=1 gateway=192.168.0.254
/system leds
set 5 interface=wlan1
/system routerboard settings
set protected-routerboot=disabled
/tool romon port
add

[xanio]

Ciao scusa, ma non puoi mettere un RB951 in station e fai un bridge tra wlan ed ethernet. In questo modo puoi usare direttamente gli ip 192.168.0.0/24?

La soluzione routing è plausibile, ma devi mettere:
- la wlan in station ed aggangiarla alla rete wifi di terzi.
- effettuare il masquarade in uscita sulla wlan.

Detto questo dovrebbe funzionare tutto.

Se pasti una configurazione magari capiamo meglio la tua situazione.

[xanio]

Codice: Seleziona tutto

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.25.0/24

devi impostare "out-interface" altrimenti su che cosa masqueri l'ip?

[doberman70]

Ciao scusa, ma non puoi mettere un RB951 in station e fai un bridge tra wlan ed ethernet. In questo modo puoi usare direttamente gli ip 192.168.0.0/24?

La soluzione routing è plausibile, ma devi mettere:
- la wlan in station ed aggangiarla alla rete wifi di terzi.
- effettuare il masquarade in uscita sulla wlan.

Detto questo dovrebbe funzionare tutto.

Se pasti una configurazione magari capiamo meglio la tua situazione.

Fatto, ma non c'è verso... perdita di pacchetti, problemi ad agganciare la WiFi, dopo un sacco di ricerche (adesso non vorrei mi tradisse la memoria) ho letto che wlan in station e bridge tra wlan ed ethernet non funziona, non ricordo il motivo...


Corretto il masquarade:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wlan1 src-address=\
192.168.25.0/24
add action=dst-nat chain=dstnat dst-address=192.168.0.45 dst-port=3389 \
in-interface=wlan1 protocol=tcp to-addresses=192.168.25.100 to-ports=3389

Non cambia nulla... non mi risponde nulla!