Как настроить: предоставить компьютеру неограниченный доступ в настройках хотспота В этом посте я расскажу, как разрешить компьютеру получить неограниченный доступ к интернету в настройках созданного хотспота. * **Прежде чем начать:** Убедитесь, что в

Я до сих пор не понимаю, как настроить простейший full NAT один к одному, чтобы клиент hotspot с фиксированным IP-адресом мог принимать входящие соединения из интернета. Когда найду того, кто сможет это сделать для меня, он будет вознагражден! Это делается через src-nat и dst-nat. Нужно также добавить публичный IP-адрес на интерфейс Public. Правила dst-nat должны выглядеть примерно так…
1   ;;; Dan
    dst-address=66.60.xxx.xxx/32 action=nat to-dst-address=10.0.0.18

2   ;;; Sales Office
    dst-address=66.60.xxx.xxx/32 action=nat to-dst-address=10.0.0.12

3   ;;; Roger
    dst-address=66.60.xxx.xxx/32 action=nat to-dst-address=10.0.0.34
Правила src-nat должны выглядеть так… ;;; Dan
    src-address=10.0.0.18/32 action=nat to-src-address=66.60.xxx.xxx

1   ;;; Sales Office
    src-address=10.0.0.12/32 action=nat to-src-address=66.60.xxx.xxx

2   ;;; Roger
    src-address=10.0.0.34/32 action=nat to-src-address=66.60.xxx.xxx
Не забудьте назначить дополнительные IP-адреса на WAN-интерфейс вашего роутера MT. И, наверное, это все, если я что-нибудь не забыл…

У меня в ноутбуке сетевая карта с жёстко закодированным IP-адресом 10.5.50.244/24, шлюзом 10.5.50.1 и DNS-серверами моего провайдера.  Интернет работает без запроса логина, и я могу управлять им через VNC с публичного IP-адреса, проброшенного на приватный.  Сеть 10.5.50.0 – это моя точка доступа, моя AP имеет IP 10.5.50.100, подключена к коммутатору, а другой порт идёт к сетевой карте роутера MT по адресу 10.5.50.1. Если я переключу сетевую карту ноутбука на DHCP, то сначала появится страница логина точки доступа, прежде чем появится доступ к интернету. Это то, что ты пытаешься сделать?

`this has to be first ip firewall dst-nat> print Flags: X - disabled, I - invalid, D - dynamic 0`
;;; Nat Rule to tunnel traffic to laptop
dst-address=xxx.yyy.100.48/32
flow=hs-auth
action=nat to-dst-address=10.5.50.244
standard hotspot rule

1
;;; redirect unauthorized hotspot clients to hotspot service
in-interface=hotspot
protocol=tcp
flow=!hs-auth
action=redirect to-dst-port=80

`ip firewall mangle> print Flags: X - disabled, I - invalid, D - dynamic 0`
;;; packets for laptop
dst-address=xxx.yyy.100.48/32
action=accept
mark-flow=hs-auth

1
;;; return data from laptop
src-address=10.5.50.244/32
action=accept
mark-flow=hs-auth

`ip firewall src-nat> print Flags: X - disabled, I - invalid, D - dynamic 1`
src-address=10.5.50.0/24
action=masquerade

Надеюсь, это поможет.

edzix, я использую метод с включенным Hotspot для своих пользователей. Хотелось бы иметь возможность выбирать определенных клиентов, которые смогут обходить страницу входа в Hotspot без использования других методов аутентификации, вроде PPPoE. Просто чтобы уточнить, я должен использовать действие "accept" для этого правила? И мне не стоит беспокоиться о mark-flow или каких-либо других правилах? Спасибо.

Просто добавление правила mangle не работает. Вместо правила mangle, нужно добавить правило destination-nat (src-address = внутренний статический IP, dst-address=0/0, action=accept) и правило forward (src-address = внутренний IP, dst-address = 0/0, action=accept). Убедись, что оба правила находятся вверху списка. Что касается назначения статического IP, то можно также настроить этот клиент на dhcp, затем добавить его MAC в таблицу dhcp leases… и тогда этот клиент всегда будет получать этот статический IP.