Как подменить ip-scr на входе?

Обсуждение ПО и его настройки
AVT
Сообщения: 7
Зарегистрирован: 21 июл 2020, 14:13

Как можно подменить ip-scr на входе?

Т.е., сделать типа следующей нереализуемой (т.к. в цепочке dstnat не работает action=src-nat) команды:

/ip firewall nat add action=src-nat chain=dstnat\ # scr-nat не работает в dstnat
dst-address=172.16.30.5\
in-interface=ether1\
src-address=172.16.30.6\ # scr-адрес на входе, который надо подменить
to-addresses=172.16.30.2 # на этот scr-адрес надо подменить

Нужно для того, чтобы ответ пошёл на другой адрес (и, соответственно, на другой выход).


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А чем именно не подходит вариант поменять там где положено - в цепочке srcnat?


Telegram: @thexvo
AVT
Сообщения: 7
Зарегистрирован: 21 июл 2020, 14:13

scr-nat подменяет scr-адрес на выходе - но там уже ответный пакет и там, соответственно, надо подменить dst-адрес, а это также для scr-nat невыполнимо...


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Не понял, вы хотите, чтобы роутер "обманул" сам себя и поменял src для пакета, который предназначается ему? Зачем?


Telegram: @thexvo
AVT
Сообщения: 7
Зарегистрирован: 21 июл 2020, 14:13

Да, Вы правильно поняли - нужно "обмануть" роутер. У меня две пары радиомодемов - одна пара "туда", другая "обратно", со своими IP на которые принимают и с которых отдают.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну короче так в лоб это сделать не получится.
Сам себя он обмануть не может, ни на вход, ни на выход.

На IXBT это же вы эту тему на днях поднимали?

Пока в голове только две идеи:
1) Использовать ещё одно устройство перед, которое будет именно натить.
2) Попробовать ассиметричный роутинг использовать. Но это тогда надо как-то делать без использования L2TP.


Telegram: @thexvo
AVT
Сообщения: 7
Зарегистрирован: 21 июл 2020, 14:13

Спасибо, понял...
В "ещё одном устройстве перед", видимо, будут те же проблемы...

Да, на iXBT поднимал: https://forum.ixbt.com/topic.cgi?id=14:65258:9543#9543


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А вот так сделать не получится:


Изображение

И строить l2tp между 10.0.0.1 и 10.0.0.2?


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А может даже и адреса 10.0.0.1 и 10.0.0.2 и последние маршруты не нужны.
Наверное можно и между 10.1.2.1 и 10.2.1.1 строить.


Изображение


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

По идее можно и дальше упростить:

Изображение

Но только это похоже вообще самая дефолтная конфигурация, и видимо она не работает по какой-то причине?


Telegram: @thexvo
Ответить