Перейти к содержимому
Калькуляторы

Nat без Nat'a

Добрый день! Столкнулся со следующей проблемой: Есть GRE между двумя микротами, без IPSEC'a. Никаких натов, кроме маскарадинга во внешку. Все сегменты локальной сети с противоположных точек доступны. При этом все пакеты в локалку приходят от локального микрота...

 

То есть:

 

Сторона А (192.168.8.0/22, 192.168.10.5 - микротик)

Сторона В (192.168.1.0/24, 192.168.1.1 - миркотик)

 

С хоста 192.168.1.10 делаем telnet на 192.168.10.194, на 192.168.10.194 пакет приходит от 192.168.10.5.

 

Каким образом, кто подскажет? Заранее спасибо.

 

P.S. результат на openvpn, ipsec'e такой же.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

EoIP ?

 

В планах, спасибо. Причину при текущей настройке определить невозможно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Router A:

 

Addresses:

 #   ADDRESS            NETWORK         INTERFACE                                                                                              
0   ;;; GLocal
    192.168.10.5/22    192.168.8.0     Lan                                 
1   109.124.XX.XX/21   109.124.XX.0    Megafon                                             
3   ;;; GreToRMZ
    172.16.4.1/30      172.16.4.0      GreToRMZ

Nat:

 3    ;;; InternetMasquerading
     chain=srcnat action=masquerade log=no log-prefix=""

Routes:

 0 X S  0.0.0.0/0                          109.124.xx.xx             1
7 ADC  109.124.XX.0/21    109.124.XX.XX   Megafon                   0
8 ADC  172.16.4.0/30      172.16.4.1      GreToRMZ                  0
9 A S  192.168.1.0/24                     GreToRMZ                  1
10 ADC  192.168.8.0/22     192.168.10.5    LAN                       0 

 

 

Router B:

 

Addresses:

Flags: X - disabled, I - invalid, D - dynamic 
#   ADDRESS            NETWORK         INTERFACE                                                                                              
0   ;;; default configuration
    192.168.1.1/24     192.168.1.0     ether2-master-local                                                                                    
1 D 46.28.XX.XX/30     46.28.XX.0      ether1-gateway                                                                                         
2   ;;; GreToOffice
    172.16.4.2/30      172.16.4.0      GreToOffice       

Nat:

Flags: X - disabled, I - invalid, D - dynamic 
0   ;;; default configuration
    chain=srcnat action=masquerade out-interface=ether1-gateway

Routes:

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 ADS  0.0.0.0/0                          46.28.XX.X                1
1 ADC  46.28.XX.0/30     46.28.XX.X       ether1-gateway            0
2 ADC  172.16.4.0/30      172.16.4.2      GreToOffice               0
3 ADC  192.168.1.0/24     192.168.1.1     ether2-master-l...        0
4 A S  192.168.8.0/22                     GreToOffice               1

Изменено пользователем kirezz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

chain=srcnat action=masquerade log=no log-prefix=""

Это вы называете "маскарадингом во внешку"? ))) NAT настройте нормально, с указанием out-interface.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

chain=srcnat action=masquerade log=no log-prefix=""

Это вы называете "маскарадингом во внешку"? ))) NAT настройте нормально, с указанием out-interface.

 

Сейчас надаете советов=) out-inteface нельзя использовать для ната в данном случае.

Следует вставить 2 уточнения - src.address = 192.168.0.0/16 и dst.address = ! 192.168.0.0/16

Тогда по запросам через внутренние адреса НАТ работать не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

out-inteface нельзя использовать для ната в данном случае.

 

Это с чего вдруг?

Следует вставить 2 уточнения - src.address = 192.168.0.0/16 и dst.address = ! 192.168.0.0/16

Тогда по запросам через внутренние адреса НАТ работать не будет.

 

ТС-у в GRE натить не надо, прочитайте стартовый пост, посмотрите маршруты, гуру вы наш.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это с чего вдруг?

 

Слишком много неопределенностей.

 

Следует вставить 2 уточнения - src.address = 192.168.0.0/16 и dst.address = ! 192.168.0.0/16

Тогда по запросам через внутренние адреса НАТ работать не будет.

ТС-у в GRE натить не надо, прочитайте стартовый пост, посмотрите маршруты, гуру вы наш.

 

Еще раз перечитайте то, что я написал. В правиле будет указано, что если пришел пакет из сети 192.168.0.0/16 и идет не в эту же сеть, то делать НАТ. Следовательно он будет делаться на любые запросы в любые другие сети. Если же пакет придет из указанной сети и адрес назначения в этой же сети, то НАТ применяться не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если пришел пакет из сети 192.168.0.0/16 и идет не в эту же сеть, то делать НАТ

И поэтому трафик из 1.0/24 в 8.0/22 в прямом направлении пойдет рутингом, а в обратном через маскарадинг. Клёво.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И поэтому трафик из 1.0/24 в 8.0/22 в прямом направлении пойдет рутингом, а в обратном через маскарадинг. Клёво.

 

Еще раз перечитайте что написали? Там маска /16 указана, в нее попадают все комбинации указанной серой сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.