Не работает NAT 1:1 (netmap правила)

Обсуждение ПО и его настройки
Sacura
Сообщения: 9
Зарегистрирован: 18 мар 2014, 16:40

16 июл 2019, 19:31

Привет ребята, помогите пожалуйста разобраться.

У меня пул белых ip. В принципе все работает кроме NAT 1:1, мне надо серому ip приклеить публичный. За маскарадингом cерые в инет ходят как положено.


Немного о конфигурации микротика
На внешнем интерфейсе прописаны белые адреса 66.64.28.2/26 по 66.64.28.62/26 в настройках интерфейса ARP - Enabled
Интерфейс во внутреннюю сеть 10.77.77.1/24
Гейт к провайдеру 66.64.28.1
Получилось привязать 1 из белых ip к своему компу - белый 66.64.28.26 к серому 10.77.77.26
Когда я создаю еще 2 правила srcnat и dnat, для следующего ip инет у него не работает. В правиле dnat ноль пакетов, хотя первые два работают как часы будто я не за NAT.
Например хочу добавить 66.64.28.29 к 10.77.77.29 и тишина. Пробовал просто не добавляя новые правила подставить .29 к рабочим правилам, вместо .26 просто .29 менял и нифига...

из 61 адреса работают частично 57 . 55 итд перепробовал все 61 половина не работает. Ума не приложу почему так



Настройки natmap

masquerade (серые ip, которые не в адрес лист -netmap_ip) ходят через обычный маскарадинг.

/ip firewall nat add action=masquerade chain=srcnat src-address-list=!netmap_ip disabled=no out-interface=ether5


Netmap

/ip firewall nat add chain=srcnat src-address=10.77.77.26 action=netmap to-addresses=66.64.28.26

/ip firewall nat add chain=dstnat dst-address=66.64.28.26 action=netmap to-addresses=10.77.77.26


Добавление ip В адрес лист

/ip firewall address-list add list="netmap_ip" address=10.77.77.26
Последний раз редактировалось Sacura 17 июл 2019, 15:27, всего редактировалось 4 раза.


gard
Сообщения: 31
Зарегистрирован: 07 май 2013, 10:44

17 июл 2019, 07:44

Адрес 66.64.28.54 принадлежит самому микротику?


Sacura
Сообщения: 9
Зарегистрирован: 18 мар 2014, 16:40

17 июл 2019, 11:17

На внешнем интерфейсе 66.64.28.2, так же и 66.64.28.54 добавлен к внешнему интерфейсу

Дело то в том что 54 работает, комп в инете виден с этим публичным ip. Если добавить таким же способом например 66.64.28.55 к 10.77.77.55 то этот уже не работает и инета нет


Erik_U
Сообщения: 1009
Зарегистрирован: 09 июл 2014, 12:33

17 июл 2019, 11:40

А вы все белые адреса на интерфейс микротика прикрутили?

Покажите ip/adrrsses


Sacura
Сообщения: 9
Зарегистрирован: 18 мар 2014, 16:40

17 июл 2019, 13:55

Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 10.77.77.1/24 10.77.77.0 bridge
1 66.64.28.2/26 66.64.28.0 INET
2 66.64.28.25/26 66.64.28.0 INET
3 66.64.28.26/26 66.64.28.0 INET
4 66.64.28.56/26 66.64.28.0 INET
5 66.64.28.57/26 66.64.28.0 INET
6 66.64.28.61/26 66.64.28.0 INET

Из них работает только 25, 26, 57. Почему то другие ip не желают пробрасываться


Erik_U
Сообщения: 1009
Зарегистрирован: 09 июл 2014, 12:33

17 июл 2019, 15:59

а другие 10.77.77

Код: Выделить всё

/ip firewall address-list add list="netmap_ip" address=10.77.77.26
в адрес-лист внесены?


Sacura
Сообщения: 9
Зарегистрирован: 18 мар 2014, 16:40

17 июл 2019, 16:11

да все те ip с которыми я сопоставляю белые внесены конечно в адрес лист иначе они бы использовали правило маскарадинга и ходили бы в инет под общим адресом 66.64.28.2 который так же на внешнем интерфейсе.

Я первый пост подкорректировал более подробно описав свои настройки.


Erik_U
Сообщения: 1009
Зарегистрирован: 09 июл 2014, 12:33

17 июл 2019, 16:43

Пробовал просто не добавляя новые правила подставить .29 к рабочим правилам, вместо .26 просто .29 менял и нифига...
а сколько минут ждали?

Может в фаерволе защищающие правила есть с исключением на этот один настроенный адрес?


Sacura
Сообщения: 9
Зарегистрирован: 18 мар 2014, 16:40

17 июл 2019, 16:50

Нет точно нет таких правил, фаервол по дефолту, я его в принципе отключал на время тестов. Что бы точно быть уверенным что ничего не блокируется.


Sacura
Сообщения: 9
Зарегистрирован: 18 мар 2014, 16:40

17 июл 2019, 16:55

Erik_U писал(а):
17 июл 2019, 16:43
Пробовал просто не добавляя новые правила подставить .29 к рабочим правилам, вместо .26 просто .29 менял и нифига...
а сколько минут ждали?
Когда я переключаю на точно рабочий IP c 25 на 26 например смена происходит мгновенно, я и роутер уже пробовал ребутать после добавления новых ip.
яндекс показывает белый IP как и положено, может это не у меня а у провайдера?

Маскарадинг кстати с этими ip работает.


Ответить