korobeynikov Опубликовано 15 апреля, 2015 · Жалоба В общем, для той же телефонии, требуется выполнить следующую логику: весь пришедший трафик c IP-сети 203.0.113.0/24 на интерфейс ether1.4094 10.10.10.10/24 перенаправить на внутренний адрес 100.64.0.2 таким образом, чтобы адрес источника значился 100.64.2.0/24. И наоборот, пакет посланный с IP-адреса 100.64.0.2 на подсеть 100.64.2.0/24 перенаправлялся к подсети 203.0.113.0/24 от имени 10.10.10.10. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrey Опубликовано 15 апреля, 2015 · Жалоба курить мануал в сторону mangle (маркировка пакетов) и dst-nat Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
korobeynikov Опубликовано 15 апреля, 2015 (изменено) · Жалоба курить мануал в сторону mangle (маркировка пакетов) и dst-nat Это понятно. С утра ковыряюсь с dst-nat он вообще не ничего пересылать не хочет. Сделал вроде бы всё что можно. Изменено 15 апреля, 2015 пользователем korobeynikov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artur-t Опубликовано 15 апреля, 2015 · Жалоба Должно работать. /ip firewall nat add action=netmap chain=srcnat src-address=203.0.113.0/24 to-addresses=100.64.2.0/24 add action=netmap chain=dstnat dst-address=100.64.2.0/24 to-addresses=203.0.113.0/2 add action=src-nat chain=srcnat dst-address=203.0.113.0/24 to-addresses=10.10.10.10 add action=dst-nat chain=dstnat dst-address=203.0.113.0/24 to-addresses=100.64.0.2 последние правило натит все с 203.0.113.0/24 на 100.64.0.2 и я не уверен что с ним взлетит, надо тестить. А вообще изучайте http://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
korobeynikov Опубликовано 15 апреля, 2015 (изменено) · Жалоба add action=dst-nat chain=dstnat dst-address=203.0.113.0/24 to-addresses=100.64.0.2 Artur-t, не пойму, то ли на VLAN-интерфейсе не работает dst-nat событие, то ли из-за UDP-трафика. Железка удалённая, инструментария для мониторинга не так много. Изменено 15 апреля, 2015 пользователем korobeynikov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artur-t Опубликовано 15 апреля, 2015 · Жалоба korobeynikov Напишите вывод команд /ip fi connection tracking pr /ip fi nat pr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
korobeynikov Опубликовано 15 апреля, 2015 (изменено) · Жалоба Artur-t [admin@MikroTik] > /ip fi connection tracking pr enabled: auto tcp-syn-sent-timeout: 5s tcp-syn-received-timeout: 5s tcp-established-timeout: 1d tcp-fin-wait-timeout: 10s tcp-close-wait-timeout: 10s tcp-last-ack-timeout: 10s tcp-time-wait-timeout: 10s tcp-close-timeout: 10s udp-timeout: 10s udp-stream-timeout: 3m icmp-timeout: 10s generic-timeout: 10m max-entries: 88128 total-entries: 13 [admin@MikroTik] > /ip fi nat pr Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=accept src-address=172.28.3.0/24 dst-address=172.16.0.0/12 log=no log-prefix="" 1 chain=srcnat action=accept src-address=172.28.3.0/24 dst-address=192.168.0.0/16 log=no log-prefix="" 2 chain=srcnat action=netmap to-addresses=100.64.2.0/24 src-address=178.49.132.0/24 log=no log-prefix="" 3 chain=dstnat action=netmap to-addresses=178.49.132.0/24 dst-address=100.64.2.0/24 log=no log-prefix="" 4 chain=srcnat action=src-nat to-addresses=10.249.113.100 src-address=100.64.0.2 dst-address=178.49.132.0/24 log=no log-prefix="" 5 chain=dstnat action=dst-nat to-addresses=100.64.0.2 src-address=178.49.132.0/24 dst-address=10.249.113.100 log=no log-prefix="" 6 ;;; default configuration chain=srcnat action=masquerade out-interface=ether1-novotelecom log=no log-prefix="" Artur-t, с хоста 100.64.0.2 пингуется 100.64.2.2, когда льётся трафик на 10.249.113.100 - я не вижу его никаким софтом (речь про интерфейс 100.64.0.2). Изменено 15 апреля, 2015 пользователем korobeynikov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
korobeynikov Опубликовано 15 апреля, 2015 · Жалоба АААА!!! Заработало после того, как я поставил галку Log и ввёл текст для лог-префикса. Как это объяснить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...