[korobeynikov]

В общем, для той же телефонии, требуется выполнить следующую логику: весь пришедший трафик c IP-сети 203.0.113.0/24 на интерфейс ether1.4094 10.10.10.10/24 перенаправить на внутренний адрес 100.64.0.2 таким образом, чтобы адрес источника значился 100.64.2.0/24. И наоборот, пакет посланный с IP-адреса 100.64.0.2 на подсеть 100.64.2.0/24 перенаправлялся к подсети 203.0.113.0/24 от имени 10.10.10.10.

[Andrey]

курить мануал в сторону mangle (маркировка пакетов) и dst-nat

[korobeynikov]

курить мануал в сторону mangle (маркировка пакетов) и dst-nat

Это понятно. С утра ковыряюсь с dst-nat он вообще не ничего пересылать не хочет. Сделал вроде бы всё что можно.

Изменено 15 апреля, 2015 пользователем korobeynikov

[Artur-t]

Должно работать.

/ip firewall nat

add action=netmap chain=srcnat src-address=203.0.113.0/24 to-addresses=100.64.2.0/24

add action=netmap chain=dstnat dst-address=100.64.2.0/24 to-addresses=203.0.113.0/2

add action=src-nat chain=srcnat dst-address=203.0.113.0/24 to-addresses=10.10.10.10

add action=dst-nat chain=dstnat dst-address=203.0.113.0/24 to-addresses=100.64.0.2

 

последние правило натит все с 203.0.113.0/24 на 100.64.0.2 и я не уверен что с ним взлетит, надо тестить.

 

А вообще изучайте http://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6

[korobeynikov]

add action=dst-nat chain=dstnat dst-address=203.0.113.0/24 to-addresses=100.64.0.2

Artur-t, не пойму, то ли на VLAN-интерфейсе не работает dst-nat событие, то ли из-за UDP-трафика.

Железка удалённая, инструментария для мониторинга не так много.

Изменено 15 апреля, 2015 пользователем korobeynikov

[Artur-t]

korobeynikov

Напишите вывод команд

/ip fi connection tracking pr

/ip fi nat pr

[korobeynikov]

Artur-t

[admin@MikroTik] > /ip fi connection tracking pr
                  enabled: auto
     tcp-syn-sent-timeout: 5s
 tcp-syn-received-timeout: 5s
  tcp-established-timeout: 1d
     tcp-fin-wait-timeout: 10s
   tcp-close-wait-timeout: 10s
     tcp-last-ack-timeout: 10s
    tcp-time-wait-timeout: 10s
        tcp-close-timeout: 10s
              udp-timeout: 10s
       udp-stream-timeout: 3m
             icmp-timeout: 10s
          generic-timeout: 10m
              max-entries: 88128
            total-entries: 13
[admin@MikroTik] >  /ip fi nat pr
Flags: X - disabled, I - invalid, D - dynamic 
0    chain=srcnat action=accept src-address=172.28.3.0/24 
     dst-address=172.16.0.0/12 log=no log-prefix="" 

1    chain=srcnat action=accept src-address=172.28.3.0/24 
     dst-address=192.168.0.0/16 log=no log-prefix="" 

2    chain=srcnat action=netmap to-addresses=100.64.2.0/24 
     src-address=178.49.132.0/24 log=no log-prefix="" 

3    chain=dstnat action=netmap to-addresses=178.49.132.0/24 
     dst-address=100.64.2.0/24 log=no log-prefix="" 

4    chain=srcnat action=src-nat to-addresses=10.249.113.100 
     src-address=100.64.0.2 dst-address=178.49.132.0/24 log=no log-prefix="" 

5    chain=dstnat action=dst-nat to-addresses=100.64.0.2 
     src-address=178.49.132.0/24 dst-address=10.249.113.100 log=no 
     log-prefix="" 

6    ;;; default configuration
     chain=srcnat action=masquerade out-interface=ether1-novotelecom log=no 
     log-prefix="" 

 

Artur-t, с хоста 100.64.0.2 пингуется 100.64.2.2, когда льётся трафик на 10.249.113.100 - я не вижу его никаким софтом (речь про интерфейс 100.64.0.2).

Изменено 15 апреля, 2015 пользователем korobeynikov

[korobeynikov]

АААА!!! Заработало после того, как я поставил галку Log и ввёл текст для лог-префикса. Как это объяснить?