Есть 2 микротика, у каждого свой интернет, соединены по локальной сети.
Задача с микротика 1 выпустить траффик до одного порта UDP конкретного белого IP через микротик 2. (например, 1.1.1.1:88)
У микротика 1 есть адрес в интернете 95.0.0.1, и адрес в сторону микротика2 - 192.168.2.1
У микротика 2 есть адрес в интернете 95.0.0.2 и адрес в сторону микротика 1 - 192.168.2.2
на первом микротике делаю правило мангла "output" для пакетов до нужного dst по udp c нужным портом, и с действием "mark routing" с именем rtab2
а IP.ROUTES создан дефолтный маршрут через микротик 2 (192.168.2.2) для таблицы rtab2
На микротике 2 дефолтный маршрут в его интернет-соединение, поднят нат.
На микротике 2 смотрю созданые соединения, и вижу, соединение от внешнего адреса микротика 1 до нужного мне адреса в интерене. Т.е. мангл работает, но соединение на микротике 2 создано не от между 192.168.2.1 и 1.1.1.1:88, а между 95.0.0.1 и 1.1.1.1:88.
Соответственно, обратный адрес у пакетов не верный, и ответы летят на микротик 1 напрямую, а не через микротик 2.
ROS 7.2.2. на обоих микротиках.
Что я забыл настроить?
Mangle между 2-мя микротиками со своим интернетом.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Цепочку на prerouting смените: output это только то, что с самого микротика уходит, даже не очень понятно, как второй микрот это соединение вообще видит.Erik_U писал(а): ↑07 май 2022, 10:26 На микротике 2 смотрю созданые соединения, и вижу, соединение от внешнего адреса микротика 1 до нужного мне адреса в интерене. Т.е. мангл работает, но соединение на микротике 2 создано не от между 192.168.2.1 и 1.1.1.1:88, а между 95.0.0.1 и 1.1.1.1:88.
Соответственно, обратный адрес у пакетов не верный, и ответы летят на микротик 1 напрямую.
Ну и проверить, чтобы нат случайно не работал на трафик между двумя микротиками.
Telegram: @thexvo
-
- Сообщения: 1755
- Зарегистрирован: 09 июл 2014, 12:33
Не, нужен именно output. Нужные пакеты генерит сам микротик.xvo писал(а): ↑08 май 2022, 08:58Цепочку на prerouting смените: output это только то, что с самого микротика уходит, даже не очень понятно, как второй микрот это соединение вообще видит.Erik_U писал(а): ↑07 май 2022, 10:26 На микротике 2 смотрю созданые соединения, и вижу, соединение от внешнего адреса микротика 1 до нужного мне адреса в интерене. Т.е. мангл работает, но соединение на микротике 2 создано не от между 192.168.2.1 и 1.1.1.1:88, а между 95.0.0.1 и 1.1.1.1:88.
Соответственно, обратный адрес у пакетов не верный, и ответы летят на микротик 1 напрямую.
Ну и проверить, чтобы нат случайно не работал на трафик между двумя микротиками.
Вопрос легко решается, если на 1 микротике включить нат в сторону 2-го.
А как решить без ната не могу придумать.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Тогда не очень понятно, почему он их с неправильного адреса генерирует.
По идее должен с адреса висящего на исходящем интерфейсе.
Но да, если так и если это что-то, чему нельзя в явном виде указать, с какого адреса, то принудительно srcnat на выходе в нужный адрес.
Telegram: @thexvo
-
- Сообщения: 1755
- Зарегистрирован: 09 июл 2014, 12:33