Недоступность внешних сервисов из локальной сети

Обсуждение оборудования и его настройки
EDX
Сообщения: 43
Зарегистрирован: 02 фев 2012, 21:52
Откуда: Мурманск

Сделал:
chain=srcnat action=masquerade dst-address=0.0.0.0/0
dst-address-list=!local_net out-interface=Megafon


Не помогло...

я уже весь мозг поломал :shock:

вообще по сути натиться должно все нормально, по ходу у микротика своя какая то логикаю

что делать?
fw1.jpg
(230.62 КБ) 41 скачивание


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

логика у него правильная.

Это ж роутер - как ему скажешь - так он и сделает

тут видимо логика в построении цепочки хромает, что-то где-то не так натится или пробрасывается

-------------
хорошо, пойдем логически

рассмотрим ситуацию с внешним коннектом -

происходит коннект с хоста Б на хост А,
тот редиректит запрос в локалку на хост Л без подмены адреса,
то есть пробрасывает пакет от хоста Б на хост Л

В ответ Хост Л выдает пакет в сторону хоста Б, который натит (маскардит) роутер с подменой адреса на А

Пакет уже Ждет Хост Б, принимает и обрабатывает. Все ОК.

Теперь смотрим *внутренний мир*

Комп В посылает запрос на хост А на порт 123 -
роутер его пробрасывает на хост Л без подмены адреса.

в результате получается коннект с хоста В на хост Л, то есть коннект через локалку

Хост Л отправляет пакет на хост В, на его родной локальный адрес.

Вот и косяк. Хост Б то ждет пакет от Роутера, то есть от адреса А, на который он обращался


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
EDX
Сообщения: 43
Зарегистрирован: 02 фев 2012, 21:52
Откуда: Мурманск

я вижу проблему в том что хост А не правильно перенаправляет пакет хосту Л.
хост Л должен ответит хосту Б через хост А
рядом сто мной лежат Draytek Vigor 2910 и Cisco 1921 К9, пробовал на них проложить порт и все нормально работало!


EDX
Сообщения: 43
Зарегистрирован: 02 фев 2012, 21:52
Откуда: Мурманск

Добился работы такими правилами:
1 ;;; to NTP
chain=dstnat action=dst-nat to-addresses=192.168.1.3 to-ports=123
protocol=udp dst-address=213.168.***.*** dst-port=123

2 chain=srcnat action=src-nat to-addresses=213.168.***.***
src-address=192.168.1.0/24



В чем разница между маскарадингом и srcnat?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

как описано в мануале http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

src-nat - это подмена ИП и порта источника на указанный в to adress и to ports параметр, то есть обратный ДСТ-НАТ

а маскарад - это подмена адреса источника на адрес из роутинг таблицы ( то есть в зависимости от маршрутов)


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить