Masquerade, как правильно?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Corvus
Сообщения: 33
Зарегистрирован: 25 апр 2013, 05:39

День добрый, как правильно будет:
Есть два wan-интерфейса, (как б балансировка и резервирование канала)

Я всегда делаю просто один masquerade без указания интерфейса и все работает. НО почему во ВСЕХ примерах (даже в вики) для каждого интерфейса создают отдельный masquerade ?
Спасибо.


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

http://asp24.com.ua/blog/nat-tehnologiy ... ti-v-odin/


Redirect и Masquerade это специальные формы dstnat и srcnat, соответственно. Redirect подобен стандартному dstnat, так же как и Masquerade подобен srcnat. Masquerade является формой srcnat, но без необходимости уточнения to-address – IP адрес исходящего интерфейса назначается автоматически. Redirect является формой dstnat, без использования to-address – вместо него используется IP адрес входящего интерфейса. Примечание: для Redirect значащим правилом является to-ports, которое является портом службы на маршрутизаторе, способным ответить на этот запрос (как например web proxy).

• masquerade – замена адреса источника IP пакета на автоматически определенный адрес средствами маршрутизации;

т.е как я понимаю .. например есть сервер 7.7.7.7 который может отвечать только для IP 5.5.5.5 . А у нас два интерфейса eth 1 - 5.5.5.5 и eth 1 - 6.6.6.6 ... Если мы шлем пакеты до 7.7.7.7 он нас откинет так получит пакеты от 6.6.6.6 а если включен Masquerade 7.7.7.7 получит IP 5.5.5.5 - ну это так на пальцах ... т.е откакого интервейса ушло к тому и пришло )))

У меня на работе была настроена циска (не я настраивал) покаты уходили по одному интерфейсу а приходи по другому)))

Так например в вопросе
viewtopic.php?f=1&t=3906

пока не подняли NAT на VLAN по которому приходит Телефония.. она не заработала .. т.к. сервер IP-телефонии получал не правильный Ip-адресс


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

так же почитать тут http://www.pvsm.ru/nat/35882


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

http://www.harvest.ru/text/Manual_Mikro ... rotik.html

Для (2) переходим на вкладку NAT и добавляем правило, в котором говорим, что для IP адресов наших клиентов 10.10.0.0/24 (вся сеть) на интерфейс INTERNET нужно делать "masquerade" или NAT, если вы знаете, какой IP адрес вам выдал провайдер и он статический.

/ip firewall nat add chain=srcnat src-address=10.10.0.0/24 action=masquerade (в случае для маскардинга)
/ip firewall nat add chain=srcnat src-address=10.10.0.0/24 action=src-nat to-add resses=193.0.0.193 (в случае с NAT, где 193.0.0.193 адрес, который вам выдаёт провайдер)


Ответить