Приветствую!
Есть RB750GL, настроен как L2TP DualAccess (локалка провайдера + инет через VPN), все работает хорошо, но есть один нюанс:
для домашней сети IP-роутера 192.168.1.1
дома есть NAS, он получает IP от DHCP роутера 192.168.1.100
для наса проброшен 21 порт для FTP
2 ;;; FTP_NAS_internet
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-
ports=21
protocol=tcp in-interface=l2tp-out1 dst-port=21
из интернета на фтп удается заходить и делать там, все что нужно без проблем, но вот в логах фтп-сервера я иногда смотрю с какого IP были подключения, и вот всегда IP 192.168.1.1 , а когда стоял роутера д-линк или зуксель, я мог видеть IP подключавшихся к фтп реальные.
Что, где поправить можно?
Отображение входящих IP-адресов
-
SvZol
- Сообщения: 51
- Зарегистрирован: 24 ноя 2012, 13:11
- Откуда: VRN
- Контактная информация:
-
Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
У Вас случаем маскарадинг на локальный интерфейс не включен?
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
SvZol
- Сообщения: 51
- Зарегистрирован: 24 ноя 2012, 13:11
- Откуда: VRN
- Контактная информация:
маскарадинг есть
0 chain=srcnat action=masquerade
0 chain=srcnat action=masquerade
-
Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Внимательно читаем мой пост: "маскарадинг на локальный интерфейс".
Хотя стоп... У Вас не указан какой интерфейс маскарадить...
Нужно так: "/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ИМЯ_WAN_ИНТЕРФЕЙСА"
Хотя стоп... У Вас не указан какой интерфейс маскарадить...
Нужно так: "/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ИМЯ_WAN_ИНТЕРФЕЙСА"
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
SvZol
- Сообщения: 51
- Зарегистрирован: 24 ноя 2012, 13:11
- Откуда: VRN
- Контактная информация:
Тут получается такая вещь:
на ether1 висит DHCP-клиент и получает IP от провайдера для его локалки.
на l2tp-out1 висит VPN, через него инет, собственно.
Одновременно надо и в инет ходить и в локалке провайдера ковыряться, вот если в правиле маскарадинга out-interface=ether1 , то на компах инета нет, есть только локалка, если out-interface=l2tp-out1, то наоборот- инет есть, локалки нет.
Однако, если out-interface=l2tp-out1 , то в логах NAS'a светятся реальные IP заходивших на него.
на ether1 висит DHCP-клиент и получает IP от провайдера для его локалки.
на l2tp-out1 висит VPN, через него инет, собственно.
Одновременно надо и в инет ходить и в локалке провайдера ковыряться, вот если в правиле маскарадинга out-interface=ether1 , то на компах инета нет, есть только локалка, если out-interface=l2tp-out1, то наоборот- инет есть, локалки нет.
Однако, если out-interface=l2tp-out1 , то в логах NAS'a светятся реальные IP заходивших на него.
-
Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
эм...
А вы не бойтесь два правила написать.
"/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ИМЯ_WAN_ИНТЕРФЕЙСА"
"/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ИМЯ_WAN_L2TP__ИНТЕРФЕЙСА"
А вы не бойтесь два правила написать.
"/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ИМЯ_WAN_ИНТЕРФЕЙСА"
"/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ИМЯ_WAN_L2TP__ИНТЕРФЕЙСА"
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
SvZol
- Сообщения: 51
- Зарегистрирован: 24 ноя 2012, 13:11
- Откуда: VRN
- Контактная информация:
Да посоветовал один человек написать вот так:
0 chain=srcnat action=masquerade out-interface=!ether2
Заработало, IP вижу всех реальные, инет работает, локалка тоже. По сути то же, что и вы предлагаете, только одной командой. (ether2 -это у меня LAN)
Пробовал еще вот так:
0 chain=srcnat action=masquerade src-address=192.168.1.0/24
Тоже работает, но не уверен, что это есть правильно.
0 chain=srcnat action=masquerade out-interface=!ether2
Заработало, IP вижу всех реальные, инет работает, локалка тоже. По сути то же, что и вы предлагаете, только одной командой. (ether2 -это у меня LAN)
Пробовал еще вот так:
0 chain=srcnat action=masquerade src-address=192.168.1.0/24
Тоже работает, но не уверен, что это есть правильно.
-
Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Ну мне лично удобнее когда 2 конкретных правила. 
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
SvZol
- Сообщения: 51
- Зарегистрирован: 24 ноя 2012, 13:11
- Откуда: VRN
- Контактная информация:
Спасибо!