Выход в интернет серверу через определенный IP

[SinnerLike]

Доброго времени суток!
Имеется провайдер с /29 подсетью приходящий в микротик.
Некоторые линуксовые сервера смотрят напрямую в интернет через бридж.
Пользователи ходят в интернет через микротик с прописанным в микротике адресом 1.1.1.1. С настроенным маскарадингом.
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge-inet

Потребовалось пустить один сервер через другой IP 1.1.1.2
Прописал этот IP на тот же бридж где висит первый IP.
Прописал правило
/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.38.88 to-addresses=1.1.1.2

И интернет на сервере пропадает.
Без этого правила сервер ходит в интернет через 1.1.1.1. Что я делаю не так?

[Vlad-2]

1) Ваше (новое) правило оно выше основного правила маскарада?
1.1) должно быть выше, ибо у Вас основное правило Маскарада - очень объёмное,
обширное. Там вообще можно всему чему угодно выходить.

2) делайте трасерт, смотрите что происходит?

3) Проверить на всякий случай сервер (38.88), там с файрволом всё в порядке,
шлюз пингуется, ответы им (сервером) не блокируются ?

[SinnerLike]

1. Да. Иначе интернет не пропадал бы.
2. До включения правила трасерт "чистый", исправный.
После включения правила, после шлюза (микротика) ничего не ПРОХОДИЛО.

Прошла ночь и, все заработало САМО.
Между вчерашним вечером когда ничего не работало и сегодняшним утром когда волшебным образом все заработало ничего в настройках не менялось.

Единственное что приходит мне на ум; в коннекшинах висели старые сессии из-за которых не работало правило, а за ночь они "сдохли".
Я не прав?

[imaoskol]

Доброго времени суток!
Имеется провайдер с /29 подсетью приходящий в микротик.
Некоторые линуксовые сервера смотрят напрямую в интернет через бридж.
Пользователи ходят в интернет через микротик с прописанным в микротике адресом 1.1.1.1. С настроенным маскарадингом.
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge-inet

Потребовалось пустить один сервер через другой IP 1.1.1.2
Прописал этот IP на тот же бридж где висит первый IP.
Прописал правило
/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.38.88 to-addresses=1.1.1.2

И интернет на сервере пропадает.
Без этого правила сервер ходит в интернет через 1.1.1.1. Что я делаю не так?

По моему всё делаете не так.
Необходимо:
Почитать про tcp/ip Особенно про то что такое шлюз. Почитать как добавить статический маршрут.
Затем нужно почитать что такое NAT.
Затем почитать как его функции реализуются в микротик.
А после этого сделать правильную конфигурацию.

Из того что я понял, согласно Вашему посту.
1) Прописали второй ip на бридже
2) Маскарадинг уже есть ( я бы указал in interface ещё)

Вам надо либо сменить шлюз, либо прописать серверу статический маршрут через второй шлюз, если через него нужно ходить в определенные подсети например.

[SinnerLike]

По моему вы делаете не так.
Необходимо:
Попытаться перестать умничать.
Перечитать сообщение и понять что все из Вами перечисленного я знаю и понимаю.
Еще раз перечитать сообщение и понять что ПРОВАЙДЕР и ШЛЮЗ - один. Менять шлюз незачем и не на что. Статический маршрут? Куда и зачем? У микротика шлюз один, у сервера шлюзом микротик.
Мне надо не в определенные подсети ходить - с этим прекрасно справляется настроенный мною OSPF на микротиках и цисках, мне надо сервером ходить в интернет с определенного IP адреса при этом находясь за NAT.
Что и было настроено правильно, но почему-то не работало с вечера, а само заработало утром. Свои догадки почему так могло произойти я написал.
Не поленюсь из-за Вас и ради Вас возьму и проверю сейчас.

И не нужен мне в маскарадинге in интерфейс, потому что через него в инет ходят и другие маршрутизируемые сети.

[SinnerLike]

1. Отключаю правило srcnat и захожу на myip.ru - отображается первый IP в микротике. Работает маскарадинг.
2. Запускаю ping -t чтобы конекшины висели.
3. Включаю правило srcnat и захожу на myip.ru - сайт(ы) не прогружаются, пинги продолжают идти.
4. Останавливаю ping и запускаю повторно - пинги уже не идут и сайт(ы) по прежнему не открываются.
5. Иду в ip firewall connection и вбиваю фильтр с IP сервера. - Коннекшины висят, сайты по прежнему не отображаются.
6. Ctrl-A и отрубаю все конекшины. - на сервере по прежнему не работает интернет.
7. Иду в kvm и отрубаю интерфейс (имитация отключенного кабеля). Включаю обратно по прежнему интернет не работает.
8. Перезагружаю сервер (виртуалку) - по прежнему ничего не работает.
ВСЕ работало ровно до момента отключения srcnat.

Перезагружать микрот (дабы сбросить вообще все конекшины) нельзя, работают удаленщики.

[imaoskol]

Значит я никуя не понял из сути Вашей задачи.
Описывайте конкретнее.

Некоторые линуксовые сервера смотрят напрямую в интернет через бридж.
Пользователи ходят в интернет через микротик с прописанным в микротике адресом 1.1.1.1. С настроенным маскарадингом.

Где прописан Ваш заветный 1.1.1.1 ??? На бридже?
А у Серверов на их сетевых картах?? Статические адреса выданные провайдером?
И что значит по Вашему провайдер с /29 подсетью приходящий в микротик. Каким образом он туда приходит.
Рисуйте сему.
Как дать ответ если невозможно нормально понять входные данные.

[SinnerLike]

Я думаю писать надо не сюда, а в техподдержку с отправкой всего конфига.
/interface bridge
add mtu=1500 name=bridge-nbn protocol-mode=none
/interface bridge port
add bridge=bridge-nbn interface=ether1-netbynet
add bridge=bridge-nbn interface=ether2-zywall
add bridge=bridge-nbn interface=ether3-mail
add bridge=bridge-nbn interface=vlan3-claster
/interface vlan
add interface=ether4-cluster name=vlan3-claster vlan-id=3
/ip address
add address=192.168.39.254/23 interface=bridge-office network=192.168.38.0
add address=1.1.1.1/29 interface=bridge-nbn network=
add address=1.1.1.2/29 interface=bridge-nbn network=
/ip firewall nat
add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 src-address=192.168.38.88 to-addresses=1.1.1.2
add action=masquerade chain=srcnat out-interface=bridge-nbn

Так понятнее?
Подчеркнутое правило NATит с адресом 1.1.1.1
Сервер должен ходить в интернет с адресом 1.1.1.2

Только созданное правило (выделенное) блокирует интернет на сервере. Правило начинает работать если; 1. Подождать ночь. 2. Перезагрузить роутер.
После п 1 и 2 правило начинает работать.
Если правило выключить, сервер ходит в интернет с адресом 1.1.1.1, если правило снова включить, на сервере интернет не работает. Пока снова не выполнить 1 или 2 пункт.

[Vlad-2]

1) уменьшите таймаут сессий

2) я когда делаю переключение компьютера на другой канал, то если я на том
компьютере пинговал ya.ru, то после переключения, пинговать этот же сайт
нет смысла, сессия (по таймауту) ещё не истекла, поэтому надо пробовать
сразу другой адрес, который до этого минут 10-20 вообще не пинговался.
Это простое и эффективное средства проверка.

3) Не совсем мне нравятся отрицания (!) в правилах. Иногда проще описать явно свою
сеть и только своей сети разрешить?


ДЛЯ imaoskol
Вы знаете, сейчас провайдеры так делаю и так дают сети, что просто удивляться
можно от каждого конкретного случая, у меня 2 объекта с сетями /29
маршрутизируются через РРРоЕ подключение, при этом РРРоЕ подключение
имеет внешний реальный статический адрес, а шлюз у него - серый.
(зелёным выделил шлюз полученный от провайдера)

[aleksandr.rusin]

У нас было такое когда провайдером выступа гребаный Акадо , у них на оборудовании не включена такая функция Ip spoofing (они так и не согласились ее включить) и если у Вас нет интереса с данным ip адресом (не подсетью , а именно адресом) то фиг это работает - их оборудование пакеты не пропускает. Вариант один - назначить саб интересы со всеми адресами выделенного вам пула, блага микротик это может, но уо нас тогда стояла cisco ASA и в ней нельзя назначить на один интерфейс несколько адресов и пришлось менять прова....
по симптомам У вас тажа ситуация