Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Недоступность внешних сервисов из локальной сети

https://forummikrotik.ru/viewtopic.php?t=939

Страница 2 из 2

Re: Недоступность внешних сервисов из локальной сети

Добавлено: 07 фев 2012, 17:55
EDX
Сделал:
chain=srcnat action=masquerade dst-address=0.0.0.0/0
dst-address-list=!local_net out-interface=Megafon


Не помогло...

я уже весь мозг поломал :shock:

вообще по сути натиться должно все нормально, по ходу у микротика своя какая то логикаю

что делать?
fw1.jpg
(230.62 КБ) 41 скачивание

Re: Недоступность внешних сервисов из локальной сети

Добавлено: 07 фев 2012, 22:42
iSupport
логика у него правильная.

Это ж роутер - как ему скажешь - так он и сделает

тут видимо логика в построении цепочки хромает, что-то где-то не так натится или пробрасывается

-------------
хорошо, пойдем логически

рассмотрим ситуацию с внешним коннектом -

происходит коннект с хоста Б на хост А,
тот редиректит запрос в локалку на хост Л без подмены адреса,
то есть пробрасывает пакет от хоста Б на хост Л

В ответ Хост Л выдает пакет в сторону хоста Б, который натит (маскардит) роутер с подменой адреса на А

Пакет уже Ждет Хост Б, принимает и обрабатывает. Все ОК.

Теперь смотрим *внутренний мир*

Комп В посылает запрос на хост А на порт 123 -
роутер его пробрасывает на хост Л без подмены адреса.

в результате получается коннект с хоста В на хост Л, то есть коннект через локалку

Хост Л отправляет пакет на хост В, на его родной локальный адрес.

Вот и косяк. Хост Б то ждет пакет от Роутера, то есть от адреса А, на который он обращался

Re: Недоступность внешних сервисов из локальной сети

Добавлено: 07 фев 2012, 22:53
EDX
я вижу проблему в том что хост А не правильно перенаправляет пакет хосту Л.
хост Л должен ответит хосту Б через хост А
рядом сто мной лежат Draytek Vigor 2910 и Cisco 1921 К9, пробовал на них проложить порт и все нормально работало!

Re: Недоступность внешних сервисов из локальной сети

Добавлено: 09 фев 2012, 00:35
EDX
Добился работы такими правилами:
1 ;;; to NTP
chain=dstnat action=dst-nat to-addresses=192.168.1.3 to-ports=123
protocol=udp dst-address=213.168.***.*** dst-port=123

2 chain=srcnat action=src-nat to-addresses=213.168.***.***
src-address=192.168.1.0/24


В чем разница между маскарадингом и srcnat?

Re: Недоступность внешних сервисов из локальной сети

Добавлено: 09 фев 2012, 11:29
iSupport
как описано в мануале http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

src-nat - это подмена ИП и порта источника на указанный в to adress и to ports параметр, то есть обратный ДСТ-НАТ

а маскарад - это подмена адреса источника на адрес из роутинг таблицы ( то есть в зависимости от маршрутов)
Часовой пояс: UTC+03:00
Страница 2 из 2

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB