Здравствуйте,
прошу совета по настройке CCR1009-7G-1C-1S+ (RouterOS 7.2.3) в качестве основного шлюза. Сразу оговорюсь, многие вопросы могут показаться очевидными, и скорее всего так и есть. Мои знания RouterOS поверхностны и в данное время я в процессе изучения сабжа.
Есть сеть образовательного учреждения с подсетью реальных (белых) IP адресов.
В данный момент в качестве основного шлюза используется Linux Soft Router на Debian. Пришло время, было принято решение заменить его на CCR1009-7G-1C-1S+. В процессе настройки столкнулся со странностью: реальные IP адреса не видны изнутри сети (из подсетей заNAT), но при этом видны из внешнего мира.
Опишу ситуацию детальнее:
На роутере настроены следующие адреса для интерфейсов:
(Сети 200.200.200.* и 100.100.100.* - белые IP )
Combo1
WAN порт смотрящий в сторону провайдера
200.200.200.142/30
Ether1
LAN порт смотрящий на свитч с серверами с реальными IP
100.100.100.1
100.100.100.2
100.100.100.3
Ether2
LAN порт смотрящий на сеть с административными хостами, присутствуют некоторые хосты с реальными адресами и подсеть с внутренними адресами
10.10.10.1
192.168.0.1
Ether3
LAN порт смотрящий на сеть с пользовательскими хостами
10.10.20.1
192.168.1.1
(Извините немного сумбурно, прикреплю схему с визуализацией)
Настроено:
DNS сервер провайдера (DNS - Allow remote requests)
DHCP на Ether2 - статические записи для административных хостов (10.10.10.2 - 254), динамический пул 192.168.0.2 - 254 для неизвестных хостов (чтобы раздавало хоть какие-то адреса)
DHCP на Ether3 - статические записи для пользовательских хостов (10.10.20.2 - 254), динамический пул 192.168.1.2 - 254 для неизвестных хостов (чтобы раздавало хоть хоть какие-то адреса)
SRC NAT:
src address 10.10.10.0/24 > Action: src-nat to Address 100.100.100.2
src address 10.10.20.0/24 > Action: src-nat to Address 100.100.100.3
(разные внешние IP для административной и пользовательской подсети )
Добавлены шлюзы в IP > Routes:
DST Address 0.0.0.0/0 Gateway 200.200.200.141
DST Address 0.0.0.0/0 Gateway 100.100.100.1
NAT работает, 2IP.ru показывает правильный внешний адрес для каждой подсети (100.100.100.2 для 10.10.10.0/24 и 100.100.100.3 для 10.10.20.0/24 соответственно), сервера доступны из внешнего мира (пинг и HTTPS например), проблема заключается в том, что из подсетей 10.10.10.0/24 и 10.10.20.0/24 не доступны наши сервера (для примера 100.100.100.4, 100.100.100.10 и 100.100.100.99) ни пинг, ни порты. DNS имена резолвятся, траффик не ходит.
Я явно что-то упускаю и решение лежит на поверхности. Буду благодарен за любую помощь и советы, заранее спасибо.
P.S. Ещё заметил такую странность, если в SRC NAT указать в Action: src-nat to Address любой адрес подсети 100.100.100.* (например to Address 100.100.100.50), который не присутствует ни на одном интерфейсе роутера, всё равно работает, 2IP.ru показывает внешний адрес 100.100.100.50 для подсети. Так и должно быть? Как это вообще работает, если 100.100.100.50 нет ни на одном интерфейсе роутера?
Проблема с реальными IP и NAT на CCR1009-7G-1C-1S+
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
Так как кусочков кода нет, то спрошу на всякий пожарный. А сделали маскарад?
Код: Выделить всё
add action=masquerade chain=srcnat out-interface=<интерфейс с провайдером>
-
- Сообщения: 2
- Зарегистрирован: 11 май 2022, 21:26
Вместо маскарада используем SRC-NATInner писал(а): ↑12 май 2022, 13:19 Так как кусочков кода нет, то спрошу на всякий пожарный. А сделали маскарад?Код: Выделить всё
add action=masquerade chain=srcnat out-interface=<интерфейс с провайдером>
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
Тогда, попробуйте использовать не src address, а src address list. Нужные подсети, естественно описать в разных адрес листахvatrokultu писал(а): ↑12 май 2022, 13:34Вместо маскарада используем SRC-NATInner писал(а): ↑12 май 2022, 13:19 Так как кусочков кода нет, то спрошу на всякий пожарный. А сделали маскарад?Код: Выделить всё
add action=masquerade chain=srcnat out-interface=<интерфейс с провайдером>
- hardrockbaby
- Сообщения: 70
- Зарегистрирован: 19 сен 2021, 16:11
Hairpin NAT пробовали?vatrokultu писал(а): ↑11 май 2022, 23:29реальные IP адреса не видны изнутри сети (из подсетей заNAT), но при этом видны из внешнего мира