Страница 2 из 2
Re: Недоступность внешних сервисов из локальной сети
Добавлено: 07 фев 2012, 17:55
EDX
Сделал:
chain=srcnat action=masquerade dst-address=0.0.0.0/0
dst-address-list=!local_net out-interface=Megafon
Не помогло...
я уже весь мозг поломал
вообще по сути натиться должно все нормально, по ходу у микротика своя какая то логикаю
что делать?
Re: Недоступность внешних сервисов из локальной сети
Добавлено: 07 фев 2012, 22:42
iSupport
логика у него правильная.
Это ж роутер - как ему скажешь - так он и сделает
тут видимо логика в построении цепочки хромает, что-то где-то не так натится или пробрасывается
-------------
хорошо, пойдем логически
рассмотрим ситуацию с внешним коннектом -
происходит коннект с хоста Б на хост А,
тот редиректит запрос в локалку на хост Л без подмены адреса,
то есть пробрасывает пакет от хоста Б на хост Л
В ответ Хост Л выдает пакет в сторону хоста Б, который натит (маскардит) роутер с подменой адреса на А
Пакет уже Ждет Хост Б, принимает и обрабатывает. Все ОК.
Теперь смотрим *внутренний мир*
Комп В посылает запрос на хост А на порт 123 -
роутер его пробрасывает на хост Л без подмены адреса.
в результате получается коннект с хоста В на хост Л, то есть коннект через локалку
Хост Л отправляет пакет на хост В, на его родной локальный адрес.
Вот и косяк. Хост Б то ждет пакет от Роутера, то есть от адреса А, на который он обращался
Re: Недоступность внешних сервисов из локальной сети
Добавлено: 07 фев 2012, 22:53
EDX
я вижу проблему в том что хост А не правильно перенаправляет пакет хосту Л.
хост Л должен ответит хосту Б через хост А
рядом сто мной лежат Draytek Vigor 2910 и Cisco 1921 К9, пробовал на них проложить порт и все нормально работало!
Re: Недоступность внешних сервисов из локальной сети
Добавлено: 09 фев 2012, 00:35
EDX
Добился работы такими правилами:
1 ;;; to NTP
chain=dstnat action=dst-nat to-addresses=192.168.1.3 to-ports=123
protocol=udp dst-address=213.168.***.*** dst-port=123
2 chain=srcnat action=src-nat to-addresses=213.168.***.***
src-address=192.168.1.0/24
В чем разница между маскарадингом и srcnat?
Re: Недоступность внешних сервисов из локальной сети
Добавлено: 09 фев 2012, 11:29
iSupport
как описано в мануале
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NATsrc-nat - это подмена ИП и порта источника на указанный в to adress и to ports параметр, то есть обратный ДСТ-НАТ
а маскарад - это подмена адреса источника на адрес из роутинг таблицы ( то есть в зависимости от маршрутов)