Проброс ip adress из WAN в LAN при разном доменно имени.

[Alex1047]

Добрый день . Уже второй день бьюсь и никак не могу решить задачу. Ситуация следующая - есть микротик который подключен к провайдеру. На интерфейсе WAN находится сеть X.X.X.254/29 . У шлюз провайдера - X.X.X.249/29 . На интерфейсе LAN находятся сервера ( Веб, SIP и т.д. ). Нужно сделать проброс следующим образом - чтобы при обращении на одно доменное имя ( пускай будет test1.ru) , которое будет транслироваться на IP X.X.X.250, будет осуществляться проброс адреса на один из веб-серваков , и что бы при обращении на другое доменное имя ( пускай будет test2.ru ) которое будет транслироваться на тот же X.X.X.250 , будет осуществляться проброс на другой веб-сервак . То есть ключевым правилом для NAT, при доступе из WAN на LAN , должно быть доменное имя. Это как нибудь возможно сделать на микротике ?

[eoleg]

Если обращение из внутрянки то наверное нужно в днс в микротике внести test1.ru 192.168.0.х/24 test2.ru 192.168.0.у/24

А из внешки только в nat rule через content и dst-nat на нужный адрес но он к сожалению там не работает, может еще через L7 попробовать.

Edited May 10, 2015 by eoleg

[Alex1047]

Если обращение из внутрянки то наверное нужно в днс в микротике внести test1.ru 192.168.0.х/24 test2.ru 192.168.0.у/24

А из внешки только в nat rule через content и dst-nat на нужный адрес но он к сожалению там не работает, может еще через L7 попробовать.

 

А как это сделать при помощи L7 ? Про него мало инфы и в основном про блокирование трафика .

[saimon83]

} Проброска порта

/

ip firewall nat add chain=dstnat action=dst-nat in-interface=WAN1 protocol=tcp dst-port=80 to-address=192.168.0.3 to-ports=80

ip firewall filter add chain forward in-interface=WAN1 protocol=tcp dst-port=80 dst-address=192.168.0.3 action=accept comment="WAN1 to online booking"

ip firewall mangle add chain=forward in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_c passthrough=yes

ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 connection-mark=WAN1_c action=mark-routing new-routing-mark=WAN1_r passthrough=yes

ip route add routing-mark=WAN1_r gateway=10.168.0.1 comment="WAN1 to online booking"

 

примерно так

 

но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип

Edited May 10, 2015 by saimon83

[Alex1047]

} Проброска порта

/

ip firewall nat add chain=dstnat action=dst-nat in-interface=WAN1 protocol=tcp dst-port=80 to-address=192.168.0.3 to-ports=80

ip firewall filter add chain forward in-interface=WAN1 protocol=tcp dst-port=80 dst-address=192.168.0.3 action=accept comment="WAN1 to online booking"

ip firewall mangle add chain=forward in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_c passthrough=yes

ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 connection-mark=WAN1_c action=mark-routing new-routing-mark=WAN1_r passthrough=yes

ip route add routing-mark=WAN1_r gateway=10.168.0.1 comment="WAN1 to online booking"

 

примерно так

 

но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип

И как это сделать ?

Я думал что это будет как то так

 

ip address add address=Х.Х.Х.250/ 32 interface=WAN

[MikroTik] /ip firewall layer7-protocol> print

# NAME REGEXP

0 test1.ru ^.*(get|GET).+(test1.ru).*$

1 test2.ru ^.*(get|GET).+(test2.ru).*$

 

chain=dstnat action=dst-nat to-addresses=192.168.0.3 dst-address=X.X.X.250 layer7-protocol=test1.ru

chain=dstnat action=dst-nat to-addresses=192.168.0.4 dst-address=X.X.X.250 layer7-protocol=test2.ru

chain=srcnat action=masquerade src-address=192.168.0.0/24 out-interface=WAN

[eoleg]

но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип

честно говоря не понял как у вас определяется test1 и tes2

 

/ip firewall layer7-protocol> print

# NAME REGEXP

0 test1.ru ^.*(get|GET).+(test1.ru).*$

1 test2.ru ^.*(get|GET).+(test2.ru).*$

 

chain=dstnat action=dst-nat to-addresses=192.168.0.3 dst-address=X.X.X.250 layer7-protocol=test1.ru

chain=dstnat action=dst-nat to-addresses=192.168.0.4 dst-address=X.X.X.250 layer7-protocol=test2.ru

ну да, если регексп правильный то должно сработать

[Alex1047]

но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип

честно говоря не понял как у вас определяется test1 и tes2

 

/ip firewall layer7-protocol> print

# NAME REGEXP

0 test1.ru ^.*(get|GET).+(test1.ru).*$

1 test2.ru ^.*(get|GET).+(test2.ru).*$

 

chain=dstnat action=dst-nat to-addresses=192.168.0.3 dst-address=X.X.X.250 layer7-protocol=test1.ru

chain=dstnat action=dst-nat to-addresses=192.168.0.4 dst-address=X.X.X.250 layer7-protocol=test2.ru

ну да, если регексп правильный то должно сработать

 

Не сработал. Пробовал и через NAT с добавлением седьмого уровня и через маркировку трафика. Пока никак . Какие еще вариант есть ?

[eoleg]

Не сработал.

значит регексп неправильный, L7 работает если правильно настроить.

По другому я думаю никак, только L7.

Вообще в микротике баг, content в nat не работает!

[Alex1047]

Не сработал.

значит регексп неправильный, L7 работает если правильно настроить.

По другому я думаю никак, только L7.

Вообще в микротике баг, content в nat не работает!

 

Есть какая нибудь нормальная инфа про использование L7 + NAT или magle + NAT ?

[Alex1047]

Не сработал.

значит регексп неправильный, L7 работает если правильно настроить.

По другому я думаю никак, только L7.

Вообще в микротике баг, content в nat не работает!

Есть какая нибудь нормальная инфа про использование L7 + NAT или magle + NAT ?

 

У кого нибудь есть какое нибудь работающее правило L7 ? Я уже , даже не свое, а чужое правило беру и захожу на те сайты которые заблокированы и все равно правило не работает. Может баг в прошивке ?