Страница 1 из 1
dst_nat в тунель без ответа
Добавлено: 18 апр 2017, 10:11
tosick
С хоста 192.168.0.8 делаем запрос на 41.42.42.42:80 который должен прилететь на Web сервер 10.10.0.7:80 через L2tp туннель между микротиками. Что сделал: На Mikrotik1 прописал dst_nat:
Код: Выделить всё
/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=10.10.0.248 \
to-ports=80
прописал маршрут:
Код: Выделить всё
/ip route add distance=1 dst-address=10.10.0.248/32 gateway=10.255.4.2
Но не работает - Web сервер не отвечает. Почему?
https://drive.google.com/file/d/0B7ggOA ... sp=sharing
Re: dst_nat в тунель без ответа
Добавлено: 18 апр 2017, 11:12
KARaS'b
Вот в этой теме все описано и причина ваших проблем и решение -
http://forummikrotik.ru/viewtopic.php?f=15&t=6467З.Ы. что-то много стало таких вопросов вылезать, или стало много тех, кто не умеет пользоваться поиском на форуме?
Re: dst_nat в тунель без ответа
Добавлено: 18 апр 2017, 12:33
tosick
В той теме нет ответа, только рекомендации и 2 варианты которые не раскрыты. Видимо поэтому люди и создают темы, что нет ответа=решение. А я тут даже картинку нарисовал что бы понятно было.
Re: dst_nat в тунель без ответа
Добавлено: 18 апр 2017, 12:55
Vlad-2
tosick писал(а):В той теме нет ответа, только рекомендации и 2 варианты которые не раскрыты. Видимо поэтому люди и создают темы, что нет ответа=решение. А я тут даже картинку нарисовал что бы понятно было.
я пока картинку не понял, красивая не спорю, но
а) я бы хотел видеть трассировку, и не только с роутеров, а также (если это возможно) с компов ближайших подключённых к роутерам.
б) описать что будет на трассировке( где и что), да и поглядеть в зависимости куда и что мы трассируем(разные направления)
в) ну и - почти один из важных инструментов админа микротика -- утилитка TORCH - смотреть на роутере (запустив пинг) кто
и с каким адресом куда в какие интерфейсы приходит....
Re: dst_nat в тунель без ответа
Добавлено: 18 апр 2017, 16:15
GarriAD
интерфейс с ip 192.168.*.* надо замаскарадить, но это костыль
Re: dst_nat в тунель без ответа
Добавлено: 20 апр 2017, 14:32
tosick
При этом, WEB сервер должен иметь возможность доступа в интернет через 89.99.99.99/23 . Это нужно для того что когда к нему идет запрос через тунель, серверу нужно обращаться в интернет. В итоге сделал 3-мя способами:
1. Через Policy Routing (наверно самый правильный вариант):
Код: Выделить всё
/ip route rule
add dst-address=33.33.33.1/23 src-address=10.10.0.248/32 table=t1
и добавляем 2-ой маршрут:
Код: Выделить всё
/ip route
add distance=1 gateway=10.255.4.1 routing-mark=t1
2. Через маркировку Mangle (самый распространенный):
Код: Выделить всё
/ip firewall mangle print
chain=prerouting action=mark-routing new-routing-mark=t1 passthrough=no
src-address=10.10.0.248 dst-address-list=clients log=no
маршрут точно такой же:
Код: Выделить всё
/ip route
add distance=1 gateway=10.255.4.1 routing-mark=t1
3. Через Mangle ( action=route ) без лишних маршрутов и маркировки. Всего лишь 1 правило!!!:
Код: Выделить всё
/ip firewall mangle
add action=route chain=prerouting dst-address=33.33.33.1/23 in-interface=bridge1 passthrough=yes protocol=tcp route-dst=10.255.4.1 src-address=10.10.0.248
P.S. Кстати, явный плюс 2 и 3-го варианта в том что если IP адресов клиентов (33.33.33.1/23) много, то их можно добавить в Address List и указать в правиле Dst. Address List, т.е.:
Код: Выделить всё
/ip firewall mangle
add action=route chain=prerouting dst-address-list=clients in-interface=bridge1 passthrough=yes protocol=tcp route-dst=10.255.4.1 src-address=10.10.0.248
Тогда как в 1-ом варианте придется добавлять столько правил сколько клиентов. Т.е. через Mangle более универсально.