проблема с NAT в L3 через L2TP поверх YOTA

Обсуждение оборудования и его настройки
Ответить
k_wbath
Сообщения: 28
Зарегистрирован: 17 авг 2012, 06:01

Проблема возможно уже оговаривалась на форумах, но решения ее я так и не нашел.
Проблема в следующем:
есть два микротика: 1-RB1100AHx2 и 2-RB751G-2HnD.
на 1 подсеть 192.168.0.0/24 ip в бридже(название интерфейса LAN) 192.168.0.1.
на 2 подсеть 192.168.2.0/24 ip в бридже(название интерфейса LAN) 192.168.2.1.
2 подключен к интернету через модем Yota.
на 2 микротике:
/interface print

Код: Выделить всё

Flags: D - dynamic, X - disabled, R - running, S - slave 
 #     NAME                                TYPE         MTU L2MTU
 0  R  LAN                                 bridge      1500  1598
 1  R  SW1-DVR                             ether       1500  1598
 2  RS SW2-SHUSE                           ether       1500  1598
 3     SWITCH3                             ether       1500  1598
 4     SWITCH4                             ether       1500  1598
 5     SWITCH5                             ether       1500  1598
 6   S WLAN-saltycova                      wlan        1500  2290
 7  R  YOTA                                lte         1500
 8  R  baza                                l2tp-out    1460

/ip address print

Код: Выделить всё

Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE               
 0   192.168.2.1/29     192.168.2.0     LAN                     
 1 D 10.0.0.10/24       10.0.0.0        YOTA                     
 2 D 192.168.1.2/32     192.168.1.1     baza

/ip firewall nat print

Код: Выделить всё

Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=srcnat action=masquerade to-addresses=0.0.0.0
     src-address-list=inet out-interface=YOTA

/ip firewall address-list print

Код: Выделить всё

Flags: X - disabled, D - dynamic 
 #   LIST                         ADDRESS                       
 0   inet                         192.168.2.2                   
 1   inet                         192.168.2.4 

/ip dhcp-server print

Код: Выделить всё

Flags: X - disabled, I - invalid 
 #   NAME   INT.. RELAY           ADDRESS-POOL     LEASE-TIME ADD
 0   dhcp1  LAN                   static-only      1d 

/ip dhcp-server lease print

Код: Выделить всё

Flags: X - disabled, R - radius, D - dynamic, B - blocked 
 #   ADDRESS                                MAC-ADDRESS       H
 0   192.168.2.2                            00:15:F2:03:B1:2D h
 1   192.168.2.4                            90:21:55:D8:FC:B5 A
 2   192.168.2.3                            00:19:9C:04:D2:D7

/ip route print

Код: Выделить всё

Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY           
 0 ADS  0.0.0.0/0                          10.0.0.1         
 1 ADC  10.0.0.0/24        10.0.0.10       YOTA             
 2 A S  192.168.0.0/23                     192.168.1.1       
 3 ADC  192.168.1.1/32     192.168.1.2     baza             
 4 ADC  192.168.2.0/29     192.168.2.1     LAN 


На 1 микротике:
/interface print

Код: Выделить всё

Flags: D - dynamic, X - disabled, R - running, S - slave 
 #     NAME                                TYPE         MTU L2MTU  MAX-L2MTU
 0  R  SW1-LAN                             ether       1500  1598       9498
 1  RS SW2-WIFI                            ether       1500  1598       9498
 2   S SW3                                 ether       1500  1598       9498
 3  R  VPN                                 ether       1500  1600       9116
 4  R  WAN                                 ether       1500  1598       9498
 5     ether5                              ether       1500  1598       9498
 6     ether6                              ether       1500  1598       9498
 7     ether7                              ether       1500  1598       9498
 8     ether8                              ether       1500  1598       9498
 9     ether9                              ether       1500  1598       9498
10     ether10                             ether       1500  1598       9498
11     ether11                             ether       1500  1600       9500
12     ether12                             ether       1500  1600       9116
13  RS EoIP-DIC                            eoip        1500 65535
14  X  EoIP-HAB1                           eoip        1500 65535
15  X  EoIP-HAB2                           eoip        1500 65535
16  X  EoIP-HAB3                           eoip        1500 65535
17  XS EoIP-SALTYKOVA                      eoip        1500 65535
18  R  L2TP-SALTYKOVA                      l2tp-in     1460
19  R  LAN                                 bridge      1500  1598
20  R  VTK-PPPoE                           pppoe-out   1480

/ppp profile print

Код: Выделить всё

Flags: * - default 
 0 * name="default" use-mpls=default use-compression=default
     use-vj-compression=default use-encryption=default only-one=default
     change-tcp-mss=yes address-list=""

 1 * name="default-encryption" local-address=192.168.1.1 remote-address=ppp_pool
     bridge=LAN use-mpls=default use-compression=default
     use-vj-compression=default use-encryption=yes only-one=default
     change-tcp-mss=yes address-list="" dns-server=192.168.1.1

/ppp secret print

Код: Выделить всё

Flags: X - disabled 
 #   NAME      SERVICE CALLER-ID      PASSWORD      PROFILE      REMOTE-ADDRESS
 0   sasha     any                    *         default-e...
 1   saltykova any                    *     default-e... 192.168.1.2   
 2   hab-1-... any                    *       default-e...
 3   hab-1-zal any                    *        default-e...
 4   kawbath   any                    *       default-e...

/ip firewall nat print

Код: Выделить всё

Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; radmin 192.168.0.121
     chain=dstnat action=dst-nat to-addresses=192.168.0.121 to-ports=4899 protocol=tcp in-interface=VTK-PPPoE dst-port=4899

 1   ;;; radmin 192.168.0.121
     chain=dstnat action=dst-nat to-addresses=192.168.0.121 to-ports=4899 protocol=tcp in-interface=VPN dst-port=4899

 2   ;;; admin 192.168.0.120
     chain=dstnat action=dst-nat to-addresses=192.168.0.120 to-ports=4899 protocol=tcp in-interface=VTK-PPPoE dst-port=4850

 3   ;;; admin 192.168.0.120
     chain=dstnat action=dst-nat to-addresses=192.168.0.120 to-ports=4899 protocol=tcp in-interface=WAN dst-port=4850

 4   ;;; radmin 192.168.0.121
     chain=dstnat action=dst-nat to-addresses=192.168.0.121 to-ports=4899 protocol=tcp in-interface=WAN dst-port=4899

 5   ;;; nod-update 192.168.0.121
     chain=dstnat action=dst-nat to-addresses=192.168.0.121 to-ports=80 protocol=tcp in-interface=VTK-PPPoE dst-port=80

 6   ;;; saltykova http dvr
     chain=dstnat action=dst-nat to-addresses=192.168.2.3 to-ports=8000 protocol=tcp in-interface=VTK-PPPoE dst-port=8000

 7   ;;; nod-update 198.167.101.38
     chain=dstnat action=dst-nat to-addresses=192.168.0.121 to-ports=80 protocol=tcp in-interface=VPN dst-port=80

 8   ;;; nod-update 192.168.0.121
     chain=dstnat action=dst-nat to-addresses=192.168.0.121 to-ports=80 protocol=tcp in-interface=WAN dst-port=80

 9   ;;; dvr-office
     chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=5920-5921 protocol=tcp in-interface=VTK-PPPoE dst-port=5920,5921

10   ;;; dvr-office
     chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=5920-5921 protocol=tcp in-interface=WAN dst-port=5920,5921

11   ;;; dvr-baza
     chain=dstnat action=dst-nat to-addresses=192.168.0.110 to-ports=5922-5923 protocol=tcp in-interface=VTK-PPPoE dst-port=5922,5923

12   ;;; dvr-saltykova
     chain=dstnat action=dst-nat to-addresses=192.168.2.3 to-ports=5924-5925 protocol=tcp in-interface=VTK-PPPoE dst-port=5924-5925

13   ;;; Wake-On-Lan
     chain=dstnat action=dst-nat to-addresses=192.168.0.254 to-ports=9 protocol=udp in-interface=VTK-PPPoE dst-port=9

14   ;;; radmin-admin
     chain=dstnat action=dst-nat to-addresses=192.168.0.120 to-ports=4899 protocol=tcp in-interface=VTK-PPPoE dst-port=4850

15   chain=dstnat action=redirect to-ports=8080 protocol=tcp src-address=192.168.1.128/25 dst-port=80

16   chain=srcnat action=masquerade src-address=192.168.0.0/23

/ip route print

Код: Выделить всё

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          85.15.96.1                1
 1 ADS  10.0.0.0/8                         10.103.30.1              10
 2 ADC  10.103.30.0/24     10.103.30.204   WAN                       0
 3 ADS  85.15.64.0/18                      10.103.30.1              10
 4 ADC  85.15.96.1/32      85.15.99.239    VTK-PPPoE                 0
 5 ADS  172.16.0.0/12                      10.103.30.1              10
 6 ADS  192.168.0.0/16                     10.103.30.1              10
 7 ADC  192.168.0.0/24     192.168.0.1     LAN                       0
 8 ADC  192.168.1.2/32     192.168.1.1     L2TP-SALTYKOVA            0
 9 ADS  192.168.2.0/29                     192.168.1.2               1
10 A S  198.167.101.0/24                   198.167.101.37            1
11 ADC  198.167.101.36/30  198.167.101.38  VPN                       0

/ip address print

Код: Выделить всё

Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                                                                                                                                                                         
 0   192.168.0.1/24     192.168.0.0     LAN                                                                                                                                                                                                               
 1   198.167.101.38/30  198.167.101.36  VPN                                                                                                                                                                                                               
 2 D 10.103.30.204/24   10.103.30.0     WAN                                                                                                                                                                                                               
 3 D 85.15.99.239/32    85.15.96.1      VTK-PPPoE                                                                                                                                                                                                         
 4 D 192.168.1.1/32     192.168.1.2     L2TP-SALTYKOVA


1 микротик поднимает пппое в интернет через адсл модем.
2 микротик через днс отпределяет айпи 1 (айпи динамика но на 2 скрипт резолвит днс в айпи и если что в l2tp-client(baza) меняет server adress)
2 микротик поднимает l2tp через йоту до 1 микротика: 1 микротик выдает второму адрес 192.168.1.2 сам получает адрес 192.168.1.1.
Между двумя подсетями 192.168.0.0/24 и 192.168.2.0/24 прописаны маршруты и функционирует L3 сеть.

Проблема: Все бы хорошо, но NAT на подсеть 192.168.2.0/24 не работает. То есть правило 6 dstnat срабатывает, action dst-nat to adress 192.168.2.3 to ports 8000 срабатывает но сам 192.168.2.3 пытается ответить через интерфейс YOTA (проверял через torch).

Наверное я что то упускаю, и возможность использовать нат в L3 сети есть. только как его использовать - не понимаю. что еще где нужно прописать?
Пробовал EoIP поверх L2TP - наты работали нормально, но изза ассинхронного канала на 1 EoIP между двумя микротиками был жутко медленный.
Главное стоит комп - шлюз в другом городе, маршрутизация осуществлена по такому же принципу - через L3. Только там все нормально отрабатывает.

Подскажите, как быть?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

а зачем вам НАТ?

если все подсети 192.168.х.х - достаточно просто роутить


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
k_wbath
Сообщения: 28
Зарегистрирован: 17 авг 2012, 06:01

Как мне из интернета попасть на видеорегистратор вещающий на портах 5924 5925 8000? Я знаю только про нат. Есть еще какие то варианты?


Аватара пользователя
DeN_238
Сообщения: 255
Зарегистрирован: 19 фев 2012, 16:42
Откуда: Тольятти

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat comment=КАММЕНТ dst-address=ВНЕШНИЙ_IP dst-port=ВАШ_ПОРТ_СНАРУЖИ protocol=tcp to-addresses=МАШИНА_С_СЕРВИСОМ_ВНУТРИ_СЕТИ


Как-то так


2011UAS-2HnD-IN | v. 6.40.4 | FW 3.41
mAP 2n | v. 6.40.4 | FW 3.41
k_wbath
Сообщения: 28
Зарегистрирован: 17 авг 2012, 06:01

То что вы предлагаете я и так сделал - посмотрите по экспорту настроек firewall. Меня интересует, как сделать чтобы это работало? Просто написать то я могу. только комп из другой маршрутизируемой сети отвечает на свой интернет-интерфейс.


k_wbath
Сообщения: 28
Зарегистрирован: 17 авг 2012, 06:01

Ребят, ну разве так сложно помочь? Вроде фигня проблема, а как ее решить? Не могу доступ получить к L3 компьютерам из интернета, а видеонаблюдение нужно (


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

а у вас при внешнем запросе, к 192.168.2.3 (например), с каким адресом источника пакет приходит? с реальным? т.е. на всем промежутке от VTK-PPPoE до 192.168.2.3 у вас нет src-nat? я как бы не увидел, поправьте меня если это не так.
суть в том, что 192.168.2.3 получив пакет от адреса, должен ответить именно этому адресу. если он из внешней сети, то при ответе, он будет смаршрутизирован через йопту.
тут два выхода, вы либо где то должны впихнуть src-nat, либо сделать два нулевых маршрута и с помощью route-mark отправлять пакеты через те инетрфейсы, через которые они пришли.

upd. попробуйте на 2 мтике:

Код: Выделить всё

ip firewall nat add chain=srcnat in-interface=baza out-interface=LAN action=masquerade


k_wbath
Сообщения: 28
Зарегистрирован: 17 авг 2012, 06:01

при src-nat не дает поставить in-interface. а вот второй вариант с пометкой пакетов и отправлением на свой маршрут сработал. спасибо)


Ответить