Страница 1 из 2
Работа маскарадинга
Добавлено: 15 июл 2021, 14:17
q2ker
Коллеги, добрый день!
Думал я знаю как работает NAT(маскарадинг в микротике), но оказывается не совсем.
Смотрю на микротике и вижу что для 1 входящего порта существуют аж 3 записи.
1 Как такое может быть? Как микротик на 3 разных коннекшона открывает 1 внешний порт?
2 Может сам хост 10.10.1.111 поменять IP отправителя, например на внешний? Как при этом отреагирует NAT?
https://disk.yandex.ru/i/O2Ildh-A9-ARVw
Re: Работа маскарадинга
Добавлено: 15 июл 2021, 20:22
xvo
Не понял, это же src-nat, в чем проблема то - dst-адреса (и соответственно reply src) и порты то разные у всех трех соединений.
Re: Работа маскарадинга
Добавлено: 16 июл 2021, 09:16
q2ker
У меня сломалась телефония, я вначале не врубался почему отвечающий сервер 10.10.37 а не 10.10.1.111, потом глянул эту ерунду, все встало на места.
У меня есть 50 телефонных аппаратов и сервер, все они коннектотся к порту 5060 IP провайдера телефонии.
Скрина нет, но у них Dst.address, reply Src.address совпадают(95.213.198.99:5060), а вот(что логично) reply Dst.address(наш внешний публичный адрес офиса) отличается портами Внешний_IP:1000,Внешний_IP:1001,Внешний_IP:1002,Внешний_IP:1003 и т.п. Т.е. соединение выходя на ружу биндит отдельный обратный порт.
И так делают все 49 аппаратов, но 1 аппарат(внутр. IP 10.10.1.37) и сервер 10.10.1.111 биндят Внешний_IP:5060
И проблема в том что на скрине не показано, но UDP трафик(стало быть это даже не соединение) от прова на порт 5060 10.10.37 телефонного аппарата приземлялся(видимо по первой найденной записи в NAT таблице кто последним(или первым) открыл порт 5060), вместо сервера 10.10.1.111.
Так и собственно вопрос, почему проходя через маскарадинг внешние порты не биндятся из свободных, а используются как есть. Может сам аппарат и сервер влияют на это и к ним маскарадинг не применяется?
Re: Работа маскарадинга
Добавлено: 16 июл 2021, 09:45
xvo
Маскарад не трогает исходящий порт, только адрес.
Re: Работа маскарадинга
Добавлено: 19 июл 2021, 09:16
q2ker
Входящий обратный порт на внешнем IP он меняет:
https://disk.yandex.ru/i/d1tww9B9gA52zQ
Re: Работа маскарадинга
Добавлено: 19 июл 2021, 10:50
xvo
Предполагаю, что либо вы сами задали ему менять и порт тоже, либо это работа SIP-хелпера.
Re: Работа маскарадинга
Добавлено: 19 июл 2021, 12:07
q2ker
Кому я задал менять порт?
Устройство отправляет на внешний IP провайдера и порт провайдера, обратный слушающий порт уже микротик создает.
Вот и вопрос почему не для всех одинаково?
Это телефонные аппараты на адрес провайдера коннектятся к его порту 5060
https://disk.yandex.ru/i/udIQE__yjVlouw
Re: Работа маскарадинга
Добавлено: 19 июл 2021, 12:34
xvo
q2ker писал(а): ↑19 июл 2021, 12:07
Устройство отправляет на внешний IP провайдера и порт провайдера, обратный слушающий порт уже микротик создает.
Маскарадинг тут ни при чем.
Это видимо делает включенный SIP-helper.
Re: Работа маскарадинга
Добавлено: 19 июл 2021, 12:54
q2ker
На какой стороне? Где это в микротике посмотреть?
Re: Работа маскарадинга
Добавлено: 19 июл 2021, 15:03
xvo
q2ker писал(а): ↑19 июл 2021, 12:54
На какой стороне? Где это в микротике посмотреть?
IP -> Firewall -> Service Ports