Коллеги, добрый день!
Думал я знаю как работает NAT(маскарадинг в микротике), но оказывается не совсем.
Смотрю на микротике и вижу что для 1 входящего порта существуют аж 3 записи.
1 Как такое может быть? Как микротик на 3 разных коннекшона открывает 1 внешний порт?
2 Может сам хост 10.10.1.111 поменять IP отправителя, например на внешний? Как при этом отреагирует NAT?
https://disk.yandex.ru/i/O2Ildh-A9-ARVw
Работа маскарадинга
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Не понял, это же src-nat, в чем проблема то - dst-адреса (и соответственно reply src) и порты то разные у всех трех соединений.
Telegram: @thexvo
-
q2ker
- Сообщения: 20
- Зарегистрирован: 11 янв 2016, 17:05
У меня сломалась телефония, я вначале не врубался почему отвечающий сервер 10.10.37 а не 10.10.1.111, потом глянул эту ерунду, все встало на места.
У меня есть 50 телефонных аппаратов и сервер, все они коннектотся к порту 5060 IP провайдера телефонии.
Скрина нет, но у них Dst.address, reply Src.address совпадают(95.213.198.99:5060), а вот(что логично) reply Dst.address(наш внешний публичный адрес офиса) отличается портами Внешний_IP:1000,Внешний_IP:1001,Внешний_IP:1002,Внешний_IP:1003 и т.п. Т.е. соединение выходя на ружу биндит отдельный обратный порт.
И так делают все 49 аппаратов, но 1 аппарат(внутр. IP 10.10.1.37) и сервер 10.10.1.111 биндят Внешний_IP:5060
И проблема в том что на скрине не показано, но UDP трафик(стало быть это даже не соединение) от прова на порт 5060 10.10.37 телефонного аппарата приземлялся(видимо по первой найденной записи в NAT таблице кто последним(или первым) открыл порт 5060), вместо сервера 10.10.1.111.
Так и собственно вопрос, почему проходя через маскарадинг внешние порты не биндятся из свободных, а используются как есть. Может сам аппарат и сервер влияют на это и к ним маскарадинг не применяется?
У меня есть 50 телефонных аппаратов и сервер, все они коннектотся к порту 5060 IP провайдера телефонии.
Скрина нет, но у них Dst.address, reply Src.address совпадают(95.213.198.99:5060), а вот(что логично) reply Dst.address(наш внешний публичный адрес офиса) отличается портами Внешний_IP:1000,Внешний_IP:1001,Внешний_IP:1002,Внешний_IP:1003 и т.п. Т.е. соединение выходя на ружу биндит отдельный обратный порт.
И так делают все 49 аппаратов, но 1 аппарат(внутр. IP 10.10.1.37) и сервер 10.10.1.111 биндят Внешний_IP:5060
И проблема в том что на скрине не показано, но UDP трафик(стало быть это даже не соединение) от прова на порт 5060 10.10.37 телефонного аппарата приземлялся(видимо по первой найденной записи в NAT таблице кто последним(или первым) открыл порт 5060), вместо сервера 10.10.1.111.
Так и собственно вопрос, почему проходя через маскарадинг внешние порты не биндятся из свободных, а используются как есть. Может сам аппарат и сервер влияют на это и к ним маскарадинг не применяется?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Маскарад не трогает исходящий порт, только адрес.
Telegram: @thexvo
-
q2ker
- Сообщения: 20
- Зарегистрирован: 11 янв 2016, 17:05
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Предполагаю, что либо вы сами задали ему менять и порт тоже, либо это работа SIP-хелпера.
Telegram: @thexvo
-
q2ker
- Сообщения: 20
- Зарегистрирован: 11 янв 2016, 17:05
Кому я задал менять порт?
Устройство отправляет на внешний IP провайдера и порт провайдера, обратный слушающий порт уже микротик создает.
Вот и вопрос почему не для всех одинаково?
Это телефонные аппараты на адрес провайдера коннектятся к его порту 5060
https://disk.yandex.ru/i/udIQE__yjVlouw
Устройство отправляет на внешний IP провайдера и порт провайдера, обратный слушающий порт уже микротик создает.
Вот и вопрос почему не для всех одинаково?
Это телефонные аппараты на адрес провайдера коннектятся к его порту 5060
https://disk.yandex.ru/i/udIQE__yjVlouw
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
q2ker
- Сообщения: 20
- Зарегистрирован: 11 янв 2016, 17:05
На какой стороне? Где это в микротике посмотреть?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва