В чем может быть разница в написании ??? У меня сеть 192.168.1.0/24 с выходом в интернет.
add action=masquerade chain=srcnat dst-address=!192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether1
У меня работает так и так, и если два этих правила записать вместе в приведенном порядке то все запросы идут через первое правило. По видимому записи эти равнозначны...
masquerade
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Если ошибаюсь, то пусть меня поправят, но вроде как...
Первое правило говорит - натиться будут все запросы проходящие через маршрутизатор КРОМЕ запросов в сеть ...1.0/24.
Второе правило говорит - все что будет улетать на порт ether1, будет натиться.
При включении обоих правил отрабатывает только первое, потому что оно стоит первое в списке, поменяете местами и отрабатывать будет другое, бо он станет "выше", а то что было первым перестанет работать.
Если я правильно прованговал, то оба варианта работают по отдельности потому что локальных сетей только одна ...1.0/24 и интернет у вас живет на первом порту, а была бы допустим еще ...2.0/24 и при этом было бы только первое правило "add action=masquerade chain=srcnat dst-address=!192.168.1.0/24", то на этой второй сети не было бы интернета, но если бы были включены оба правила, то вы бы тогда наблюдали как работают оба правила, по первому правилу бы работала первая подсеть, по второму вторая.
Первое правило говорит - натиться будут все запросы проходящие через маршрутизатор КРОМЕ запросов в сеть ...1.0/24.
Второе правило говорит - все что будет улетать на порт ether1, будет натиться.
При включении обоих правил отрабатывает только первое, потому что оно стоит первое в списке, поменяете местами и отрабатывать будет другое, бо он станет "выше", а то что было первым перестанет работать.
Если я правильно прованговал, то оба варианта работают по отдельности потому что локальных сетей только одна ...1.0/24 и интернет у вас живет на первом порту, а была бы допустим еще ...2.0/24 и при этом было бы только первое правило "add action=masquerade chain=srcnat dst-address=!192.168.1.0/24", то на этой второй сети не было бы интернета, но если бы были включены оба правила, то вы бы тогда наблюдали как работают оба правила, по первому правилу бы работала первая подсеть, по второму вторая.
Последний раз редактировалось KARaS'b 22 фев 2016, 16:51, всего редактировалось 1 раз.
-
oshruslan
- Сообщения: 0
- Зарегистрирован: 22 фев 2016, 14:24
И я вроде так понимаю, т.е. если у меня будет два провайдера (переключение нагрузки), можно ограничиться только первым вариантом, а не писать два , для двух интерфейсов...
Можно все сетки добавить в Address List и выбрать на закладке Advanced "!"
Можно все сетки добавить в Address List и выбрать на закладке Advanced "!"
-
podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
А что вам даст первый вариант? Там условие "кроме", значек "!" именно об этом и говорит, то есть маскарадит все, что угодно, только не локалку... Я вообще не могу даже предположить, что он будет маскарадить.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
oshruslan
- Сообщения: 0
- Зарегистрирован: 22 фев 2016, 14:24
Ну если так посмотреть, идет обращения из локалки, внешний адрес, что будет делать микротик искать интерфейс а потом маскарадить, или наоборот...
Вопрос возник из-за чего, что в описаниях звучало, как и для NAT или Filter Rule, можно указать или адрес или интерфейс...а что и когда ???
Вопрос возник из-за чего, что в описаниях звучало, как и для NAT или Filter Rule, можно указать или адрес или интерфейс...а что и когда ???
-
oshruslan
- Сообщения: 0
- Зарегистрирован: 22 фев 2016, 14:24
Или оба варианта (Src или(и) Dst и интерфейс), предположим у меня в сети только два компьютера, я хочу что бы с одного шло через один интерфейс, с другого через другой и маскарадинг делаю по одному адресу на один интерфейс а по другому на второй....Или я не прав ?
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
oshruslan писал(а):Или оба варианта (Src или(и) Dst и интерфейс), предположим у меня в сети только два компьютера, я хочу что бы с одного шло через один интерфейс, с другого через другой и маскарадинг делаю по одному адресу на один интерфейс а по другому на второй....Или я не прав ?
Маскарадинг ни есть "целеуказатель", разруливать кто и через какой интерфейс будет получать интернет вы будете маршрутами, а маскарадинг просто будет натить это все.
-
oshruslan
- Сообщения: 0
- Зарегистрирован: 22 фев 2016, 14:24
Возможно в чем то и ошибаюсь, но вроде все работает...Указываю натить только с одного компьютера...у другого нет выхода в инет...
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
oshruslan писал(а):Возможно в чем то и ошибаюсь, но вроде все работает...Указываю натить только с одного компьютера...у другого нет выхода в инет...
Когда подключите второго провайдера, создадите еще одно правило для второго компа и даже создадите второй маршрут (или он создастся автоматически), но не укажите кто через какой канал должен ходить, скорее всего второй комп так и будет без доступа к интернету, потому что правило ната не разруливает кто куда, этим правилом вы можете только ограничить, но не направить.
В целом лучше опишите чего конкретно вы хотите, так будет проще)
-
oshruslan
- Сообщения: 0
- Зарегистрирован: 22 фев 2016, 14:24
Не то что я хотел этим способом что то сделать, ну захотелось немного разобраться. фильтровать конечно же Вы правы лучше в фильтре...Первый заданный мной самый вопрос остался ! У меня два провайдера, два статических адреса, работают по одному, физическим "перетыканием". А необходимо так потому что люди которые подключаются к серверу, оповещаются об этом(теми кто меняет перетыкает) посредством смс и меняют адрес сервера подключения.