Отображение входящих IP-адресов

Обсуждение оборудования и его настройки
Ответить
SvZol
Сообщения: 51
Зарегистрирован: 24 ноя 2012, 13:11
Откуда: VRN
Контактная информация:

Приветствую!
Есть RB750GL, настроен как L2TP DualAccess (локалка провайдера + инет через VPN), все работает хорошо, но есть один нюанс:
для домашней сети IP-роутера 192.168.1.1
дома есть NAS, он получает IP от DHCP роутера 192.168.1.100
для наса проброшен 21 порт для FTP

2 ;;; FTP_NAS_internet
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-
ports=21
protocol=tcp in-interface=l2tp-out1 dst-port=21

из интернета на фтп удается заходить и делать там, все что нужно без проблем, но вот в логах фтп-сервера я иногда смотрю с какого IP были подключения, и вот всегда IP 192.168.1.1 , а когда стоял роутера д-линк или зуксель, я мог видеть IP подключавшихся к фтп реальные.
Что, где поправить можно?


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

У Вас случаем маскарадинг на локальный интерфейс не включен?


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
SvZol
Сообщения: 51
Зарегистрирован: 24 ноя 2012, 13:11
Откуда: VRN
Контактная информация:

маскарадинг есть

0 chain=srcnat action=masquerade


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Внимательно читаем мой пост: "маскарадинг на локальный интерфейс".

Хотя стоп... У Вас не указан какой интерфейс маскарадить... :lol:
Нужно так: "/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ИМЯ_WAN_ИНТЕРФЕЙСА"


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
SvZol
Сообщения: 51
Зарегистрирован: 24 ноя 2012, 13:11
Откуда: VRN
Контактная информация:

Тут получается такая вещь:
на ether1 висит DHCP-клиент и получает IP от провайдера для его локалки.
на l2tp-out1 висит VPN, через него инет, собственно.
Одновременно надо и в инет ходить и в локалке провайдера ковыряться, вот если в правиле маскарадинга out-interface=ether1 , то на компах инета нет, есть только локалка, если out-interface=l2tp-out1, то наоборот- инет есть, локалки нет.

Однако, если out-interface=l2tp-out1 , то в логах NAS'a светятся реальные IP заходивших на него.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

эм...
А вы не бойтесь два правила написать. 8-)

"/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ИМЯ_WAN_ИНТЕРФЕЙСА"
"/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ИМЯ_WAN_L2TP__ИНТЕРФЕЙСА"


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
SvZol
Сообщения: 51
Зарегистрирован: 24 ноя 2012, 13:11
Откуда: VRN
Контактная информация:

Да посоветовал один человек написать вот так:

0 chain=srcnat action=masquerade out-interface=!ether2

Заработало, IP вижу всех реальные, инет работает, локалка тоже. По сути то же, что и вы предлагаете, только одной командой. (ether2 -это у меня LAN)
Пробовал еще вот так:

0 chain=srcnat action=masquerade src-address=192.168.1.0/24

Тоже работает, но не уверен, что это есть правильно.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Ну мне лично удобнее когда 2 конкретных правила. :)


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
SvZol
Сообщения: 51
Зарегистрирован: 24 ноя 2012, 13:11
Откуда: VRN
Контактная информация:

Спасибо!


Ответить