안녕하십니까 복부비만입니다.
테스트 환경 구성을 위해 네트워크 구성중인데요 3-Tier 구성이 어려워 문의드립니다.
구성 계획은 다음과 같습니다.
공유기 측 라우트 테이블은 아래처럼 잡았습니다.
| Target | Subnet Mask | Gateway |
| 10.0.0.0 | 255.255.255.0 | 192.168.0.2 |
| 172.16.0.0 | 255.255.255.0 | 192.168.0.2 |
Untrust 네트워크는 192.168.0.0/25로
DMZ와 Route 연결 가능해야 하며
일반 공유기 환경으로 아무런 특이 사항이 없습니다.
DMZ 네트워크는 172.16.0.0로
DMZ 내의 컴퓨터는 인터넷 / Untrust / Trust 와 Route 연결 가능해야 합니다.
trust 네트워크는 10.0.0.0로
trust 내의 컴퓨터는 인터넷 / Untrust 와는 NAT로 연결 가능해야 하며,
DMZ 와는 Route 연결 가능해야 합니다.
최초 구형 Juniper 모델로 구성하였으나, Trust 및 DMZ에 위치한 컴퓨터가 인터넷 연결만 안되는 이슈가 있었습니다.
이를 해결하지 못하여 Mikrotik(RB2011UAS-2HND-IN)으로 교체하여 구성을 시도 중입니다.
Mikrotik으로 교체 후 전반적인 통신은 잘 되고 있습니다.
다만 DMZ에서 Untrust로 Source NAT되고 있는데 이를 Route 방식으로 변경해야 합니다.
(Trust와 DMZ는 정상적으로 Route되고 있습니다.)
네트워크 지식이 워낙 얕다보니 자료를 봐도 까막눈입니다. 고수님들의 도움을 간절히 부탁드립니다.
==== 현재 구성은 다음과 같습니다. ====
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether3 ] master-port=ether2
set [ find default-name=ether4 ] master-port=ether2
/ip neighbor discovery
set ether1-gateway discover=no
/ip pool
add name=dhcp ranges=10.0.0.101-10.0.0.200
/ip dhcp-server
add address-pool=dhcp disabled=no interface=ether2 name=server1
/port
set 0 name=serial0
/interface bridge port
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=sfp1
add interface=wlan1
/ip address
add address=10.0.0.1/24 comment="default configuration" interface=ether2 network=10.0.0.0
add address=192.168.0.2/25 interface=ether1-gateway network=192.168.0.0
add address=172.16.0.1/24 interface=ether5 network=172.16.0.0
/ip dhcp-server network
add address=10.0.0.0/24 comment="default configuration" dns-server=168.126.63.1 gateway=10.0.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=168.126.63.1
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add chain=forward comment="default configuration" connection-state=established
add chain=input dst-address=192.168.0.2 in-interface=ether1-gateway src-address=192.168.0.0/25
add chain=forward dst-address=0.0.0.0/0 src-address=172.16.0.0/24
add chain=input comment="default configuration" protocol=icmp
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway
/ip ipsec policy
add template=yes
add template=yes
/ip route
add distance=1 gateway=192.168.0.1
/ip upnp
set allow-disable-external-interface=no
/system routerboard settings
set boot-device=nand-only
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=sfp1
add interface=wlan1
add
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=sfp1
add interface=wlan1
add