Jump to content

Проброс ip adress из WAN в LAN при разном доменно имени.

Добрый день . Уже второй день бьюсь и никак не могу решить задачу. Ситуация следующая - есть микротик который подключен к провайдеру. На интерфейсе WAN находится сеть X.X.X.254/29 . У шлюз провайдера - X.X.X.249/29 . На интерфейсе LAN находятся сервера ( Веб, SIP и т.д. ). Нужно сделать проброс следующим образом - чтобы при обращении на одно доменное имя ( пускай будет test1.ru) , которое будет транслироваться на IP X.X.X.250, будет осуществляться проброс адреса на один из веб-серваков , и что бы при обращении на другое доменное имя ( пускай будет test2.ru ) которое будет транслироваться на тот же X.X.X.250 , будет осуществляться проброс на другой веб-сервак . То есть ключевым правилом для NAT, при доступе из WAN на LAN , должно быть доменное имя. Это как нибудь возможно сделать на микротике ?

Share this post


Link to post
Share on other sites

Если обращение из внутрянки то наверное нужно в днс в микротике внести test1.ru 192.168.0.х/24 test2.ru 192.168.0.у/24

А из внешки только в nat rule через content и dst-nat на нужный адрес но он к сожалению там не работает, может еще через L7 попробовать.

Edited by eoleg

Share this post


Link to post
Share on other sites

Если обращение из внутрянки то наверное нужно в днс в микротике внести test1.ru 192.168.0.х/24 test2.ru 192.168.0.у/24

А из внешки только в nat rule через content и dst-nat на нужный адрес но он к сожалению там не работает, может еще через L7 попробовать.

 

А как это сделать при помощи L7 ? Про него мало инфы и в основном про блокирование трафика .

Share this post


Link to post
Share on other sites

} Проброска порта

/

ip firewall nat add chain=dstnat action=dst-nat in-interface=WAN1 protocol=tcp dst-port=80 to-address=192.168.0.3 to-ports=80

ip firewall filter add chain forward in-interface=WAN1 protocol=tcp dst-port=80 dst-address=192.168.0.3 action=accept comment="WAN1 to online booking"

ip firewall mangle add chain=forward in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_c passthrough=yes

ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 connection-mark=WAN1_c action=mark-routing new-routing-mark=WAN1_r passthrough=yes

ip route add routing-mark=WAN1_r gateway=10.168.0.1 comment="WAN1 to online booking"

 

примерно так

 

но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип

Edited by saimon83

Share this post


Link to post
Share on other sites

} Проброска порта

/

ip firewall nat add chain=dstnat action=dst-nat in-interface=WAN1 protocol=tcp dst-port=80 to-address=192.168.0.3 to-ports=80

ip firewall filter add chain forward in-interface=WAN1 protocol=tcp dst-port=80 dst-address=192.168.0.3 action=accept comment="WAN1 to online booking"

ip firewall mangle add chain=forward in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_c passthrough=yes

ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 connection-mark=WAN1_c action=mark-routing new-routing-mark=WAN1_r passthrough=yes

ip route add routing-mark=WAN1_r gateway=10.168.0.1 comment="WAN1 to online booking"

 

примерно так

 

но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип

И как это сделать ?

Я думал что это будет как то так

 

ip address add address=Х.Х.Х.250/ 32 interface=WAN

[MikroTik] /ip firewall layer7-protocol> print

# NAME REGEXP

0 test1.ru ^.*(get|GET).+(test1.ru).*$

1 test2.ru ^.*(get|GET).+(test2.ru).*$

 

chain=dstnat action=dst-nat to-addresses=192.168.0.3 dst-address=X.X.X.250 layer7-protocol=test1.ru

chain=dstnat action=dst-nat to-addresses=192.168.0.4 dst-address=X.X.X.250 layer7-protocol=test2.ru

chain=srcnat action=masquerade src-address=192.168.0.0/24 out-interface=WAN

Share this post


Link to post
Share on other sites

но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип

честно говоря не понял как у вас определяется test1 и tes2

 

/ip firewall layer7-protocol> print

# NAME REGEXP

0 test1.ru ^.*(get|GET).+(test1.ru).*$

1 test2.ru ^.*(get|GET).+(test2.ru).*$

 

chain=dstnat action=dst-nat to-addresses=192.168.0.3 dst-address=X.X.X.250 layer7-protocol=test1.ru

chain=dstnat action=dst-nat to-addresses=192.168.0.4 dst-address=X.X.X.250 layer7-protocol=test2.ru

ну да, если регексп правильный то должно сработать

Share this post


Link to post
Share on other sites

но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип

честно говоря не понял как у вас определяется test1 и tes2

 

/ip firewall layer7-protocol> print

# NAME REGEXP

0 test1.ru ^.*(get|GET).+(test1.ru).*$

1 test2.ru ^.*(get|GET).+(test2.ru).*$

 

chain=dstnat action=dst-nat to-addresses=192.168.0.3 dst-address=X.X.X.250 layer7-protocol=test1.ru

chain=dstnat action=dst-nat to-addresses=192.168.0.4 dst-address=X.X.X.250 layer7-protocol=test2.ru

ну да, если регексп правильный то должно сработать

 

Не сработал. Пробовал и через NAT с добавлением седьмого уровня и через маркировку трафика. Пока никак . Какие еще вариант есть ?

Share this post


Link to post
Share on other sites

Не сработал.

значит регексп неправильный, L7 работает если правильно настроить.

По другому я думаю никак, только L7.

Вообще в микротике баг, content в nat не работает!

Share this post


Link to post
Share on other sites

Не сработал.

значит регексп неправильный, L7 работает если правильно настроить.

По другому я думаю никак, только L7.

Вообще в микротике баг, content в nat не работает!

 

Есть какая нибудь нормальная инфа про использование L7 + NAT или magle + NAT ?

Share this post


Link to post
Share on other sites

Не сработал.

значит регексп неправильный, L7 работает если правильно настроить.

По другому я думаю никак, только L7.

Вообще в микротике баг, content в nat не работает!

Есть какая нибудь нормальная инфа про использование L7 + NAT или magle + NAT ?

 

У кого нибудь есть какое нибудь работающее правило L7 ? Я уже , даже не свое, а чужое правило беру и захожу на те сайты которые заблокированы и все равно правило не работает. Может баг в прошивке ?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.