Отображение входящих IP-адресов

Обсуждение оборудования и его настройки
Ответить
SvZol
Сообщения: 51
Зарегистрирован: 24 ноя 2012, 13:11
Откуда: VRN
Контактная информация:

24 ноя 2012, 14:28

Приветствую!
Есть RB750GL, настроен как L2TP DualAccess (локалка провайдера + инет через VPN), все работает хорошо, но есть один нюанс:
для домашней сети IP-роутера 192.168.1.1
дома есть NAS, он получает IP от DHCP роутера 192.168.1.100
для наса проброшен 21 порт для FTP

2 ;;; FTP_NAS_internet
chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-
ports=21
protocol=tcp in-interface=l2tp-out1 dst-port=21

из интернета на фтп удается заходить и делать там, все что нужно без проблем, но вот в логах фтп-сервера я иногда смотрю с какого IP были подключения, и вот всегда IP 192.168.1.1 , а когда стоял роутера д-линк или зуксель, я мог видеть IP подключавшихся к фтп реальные.
Что, где поправить можно?


Аватара пользователя
Dragon_Knight
Сообщения: 1668
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

24 ноя 2012, 20:55

У Вас случаем маскарадинг на локальный интерфейс не включен?



Помощь в ремонте и настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
SvZol
Сообщения: 51
Зарегистрирован: 24 ноя 2012, 13:11
Откуда: VRN
Контактная информация:

24 ноя 2012, 21:01

маскарадинг есть

0 chain=srcnat action=masquerade


Аватара пользователя
Dragon_Knight
Сообщения: 1668
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

25 ноя 2012, 01:48

Внимательно читаем мой пост: "маскарадинг на локальный интерфейс".

Хотя стоп... У Вас не указан какой интерфейс маскарадить... :lol:
Нужно так: "/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ИМЯ_WAN_ИНТЕРФЕЙСА"



Помощь в ремонте и настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
SvZol
Сообщения: 51
Зарегистрирован: 24 ноя 2012, 13:11
Откуда: VRN
Контактная информация:

25 ноя 2012, 07:38

Тут получается такая вещь:
на ether1 висит DHCP-клиент и получает IP от провайдера для его локалки.
на l2tp-out1 висит VPN, через него инет, собственно.
Одновременно надо и в инет ходить и в локалке провайдера ковыряться, вот если в правиле маскарадинга out-interface=ether1 , то на компах инета нет, есть только локалка, если out-interface=l2tp-out1, то наоборот- инет есть, локалки нет.

Однако, если out-interface=l2tp-out1 , то в логах NAS'a светятся реальные IP заходивших на него.


Аватара пользователя
Dragon_Knight
Сообщения: 1668
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

25 ноя 2012, 14:35

эм...
А вы не бойтесь два правила написать. 8-)

"/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ИМЯ_WAN_ИНТЕРФЕЙСА"
"/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=ИМЯ_WAN_L2TP__ИНТЕРФЕЙСА"



Помощь в ремонте и настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
SvZol
Сообщения: 51
Зарегистрирован: 24 ноя 2012, 13:11
Откуда: VRN
Контактная информация:

25 ноя 2012, 16:50

Да посоветовал один человек написать вот так:

0 chain=srcnat action=masquerade out-interface=!ether2

Заработало, IP вижу всех реальные, инет работает, локалка тоже. По сути то же, что и вы предлагаете, только одной командой. (ether2 -это у меня LAN)
Пробовал еще вот так:

0 chain=srcnat action=masquerade src-address=192.168.1.0/24

Тоже работает, но не уверен, что это есть правильно.


Аватара пользователя
Dragon_Knight
Сообщения: 1668
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

25 ноя 2012, 21:30

Ну мне лично удобнее когда 2 конкретных правила. :)



Помощь в ремонте и настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
SvZol
Сообщения: 51
Зарегистрирован: 24 ноя 2012, 13:11
Откуда: VRN
Контактная информация:

25 ноя 2012, 21:38

Спасибо!


Ответить