korobeynikov Posted April 15, 2015 Posted April 15, 2015 В общем, для той же телефонии, требуется выполнить следующую логику: весь пришедший трафик c IP-сети 203.0.113.0/24 на интерфейс ether1.4094 10.10.10.10/24 перенаправить на внутренний адрес 100.64.0.2 таким образом, чтобы адрес источника значился 100.64.2.0/24. И наоборот, пакет посланный с IP-адреса 100.64.0.2 на подсеть 100.64.2.0/24 перенаправлялся к подсети 203.0.113.0/24 от имени 10.10.10.10. Вставить ник Quote
Andrey Posted April 15, 2015 Posted April 15, 2015 курить мануал в сторону mangle (маркировка пакетов) и dst-nat Вставить ник Quote
korobeynikov Posted April 15, 2015 Author Posted April 15, 2015 (edited) курить мануал в сторону mangle (маркировка пакетов) и dst-nat Это понятно. С утра ковыряюсь с dst-nat он вообще не ничего пересылать не хочет. Сделал вроде бы всё что можно. Edited April 15, 2015 by korobeynikov Вставить ник Quote
Artur-t Posted April 15, 2015 Posted April 15, 2015 Должно работать. /ip firewall nat add action=netmap chain=srcnat src-address=203.0.113.0/24 to-addresses=100.64.2.0/24 add action=netmap chain=dstnat dst-address=100.64.2.0/24 to-addresses=203.0.113.0/2 add action=src-nat chain=srcnat dst-address=203.0.113.0/24 to-addresses=10.10.10.10 add action=dst-nat chain=dstnat dst-address=203.0.113.0/24 to-addresses=100.64.0.2 последние правило натит все с 203.0.113.0/24 на 100.64.0.2 и я не уверен что с ним взлетит, надо тестить. А вообще изучайте http://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6 Вставить ник Quote
korobeynikov Posted April 15, 2015 Author Posted April 15, 2015 (edited) add action=dst-nat chain=dstnat dst-address=203.0.113.0/24 to-addresses=100.64.0.2 Artur-t, не пойму, то ли на VLAN-интерфейсе не работает dst-nat событие, то ли из-за UDP-трафика. Железка удалённая, инструментария для мониторинга не так много. Edited April 15, 2015 by korobeynikov Вставить ник Quote
Artur-t Posted April 15, 2015 Posted April 15, 2015 korobeynikov Напишите вывод команд /ip fi connection tracking pr /ip fi nat pr Вставить ник Quote
korobeynikov Posted April 15, 2015 Author Posted April 15, 2015 (edited) Artur-t [admin@MikroTik] > /ip fi connection tracking pr enabled: auto tcp-syn-sent-timeout: 5s tcp-syn-received-timeout: 5s tcp-established-timeout: 1d tcp-fin-wait-timeout: 10s tcp-close-wait-timeout: 10s tcp-last-ack-timeout: 10s tcp-time-wait-timeout: 10s tcp-close-timeout: 10s udp-timeout: 10s udp-stream-timeout: 3m icmp-timeout: 10s generic-timeout: 10m max-entries: 88128 total-entries: 13 [admin@MikroTik] > /ip fi nat pr Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=accept src-address=172.28.3.0/24 dst-address=172.16.0.0/12 log=no log-prefix="" 1 chain=srcnat action=accept src-address=172.28.3.0/24 dst-address=192.168.0.0/16 log=no log-prefix="" 2 chain=srcnat action=netmap to-addresses=100.64.2.0/24 src-address=178.49.132.0/24 log=no log-prefix="" 3 chain=dstnat action=netmap to-addresses=178.49.132.0/24 dst-address=100.64.2.0/24 log=no log-prefix="" 4 chain=srcnat action=src-nat to-addresses=10.249.113.100 src-address=100.64.0.2 dst-address=178.49.132.0/24 log=no log-prefix="" 5 chain=dstnat action=dst-nat to-addresses=100.64.0.2 src-address=178.49.132.0/24 dst-address=10.249.113.100 log=no log-prefix="" 6 ;;; default configuration chain=srcnat action=masquerade out-interface=ether1-novotelecom log=no log-prefix="" Artur-t, с хоста 100.64.0.2 пингуется 100.64.2.2, когда льётся трафик на 10.249.113.100 - я не вижу его никаким софтом (речь про интерфейс 100.64.0.2). Edited April 15, 2015 by korobeynikov Вставить ник Quote
korobeynikov Posted April 15, 2015 Author Posted April 15, 2015 АААА!!! Заработало после того, как я поставил галку Log и ввёл текст для лог-префикса. Как это объяснить? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.