Перейти к содержимому
Калькуляторы

Проброс ip adress из WAN в LAN при разном доменно имени.

Добрый день . Уже второй день бьюсь и никак не могу решить задачу. Ситуация следующая - есть микротик который подключен к провайдеру. На интерфейсе WAN находится сеть X.X.X.254/29 . У шлюз провайдера - X.X.X.249/29 . На интерфейсе LAN находятся сервера ( Веб, SIP и т.д. ). Нужно сделать проброс следующим образом - чтобы при обращении на одно доменное имя ( пускай будет test1.ru) , которое будет транслироваться на IP X.X.X.250, будет осуществляться проброс адреса на один из веб-серваков , и что бы при обращении на другое доменное имя ( пускай будет test2.ru ) которое будет транслироваться на тот же X.X.X.250 , будет осуществляться проброс на другой веб-сервак . То есть ключевым правилом для NAT, при доступе из WAN на LAN , должно быть доменное имя. Это как нибудь возможно сделать на микротике ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если обращение из внутрянки то наверное нужно в днс в микротике внести test1.ru 192.168.0.х/24 test2.ru 192.168.0.у/24

А из внешки только в nat rule через content и dst-nat на нужный адрес но он к сожалению там не работает, может еще через L7 попробовать.

Изменено пользователем eoleg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если обращение из внутрянки то наверное нужно в днс в микротике внести test1.ru 192.168.0.х/24 test2.ru 192.168.0.у/24

А из внешки только в nat rule через content и dst-nat на нужный адрес но он к сожалению там не работает, может еще через L7 попробовать.

 

А как это сделать при помощи L7 ? Про него мало инфы и в основном про блокирование трафика .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

} Проброска порта

/

ip firewall nat add chain=dstnat action=dst-nat in-interface=WAN1 protocol=tcp dst-port=80 to-address=192.168.0.3 to-ports=80

ip firewall filter add chain forward in-interface=WAN1 protocol=tcp dst-port=80 dst-address=192.168.0.3 action=accept comment="WAN1 to online booking"

ip firewall mangle add chain=forward in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_c passthrough=yes

ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 connection-mark=WAN1_c action=mark-routing new-routing-mark=WAN1_r passthrough=yes

ip route add routing-mark=WAN1_r gateway=10.168.0.1 comment="WAN1 to online booking"

 

примерно так

 

но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип

Изменено пользователем saimon83

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

} Проброска порта

/

ip firewall nat add chain=dstnat action=dst-nat in-interface=WAN1 protocol=tcp dst-port=80 to-address=192.168.0.3 to-ports=80

ip firewall filter add chain forward in-interface=WAN1 protocol=tcp dst-port=80 dst-address=192.168.0.3 action=accept comment="WAN1 to online booking"

ip firewall mangle add chain=forward in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_c passthrough=yes

ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 connection-mark=WAN1_c action=mark-routing new-routing-mark=WAN1_r passthrough=yes

ip route add routing-mark=WAN1_r gateway=10.168.0.1 comment="WAN1 to online booking"

 

примерно так

 

но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип

И как это сделать ?

Я думал что это будет как то так

 

ip address add address=Х.Х.Х.250/ 32 interface=WAN

[MikroTik] /ip firewall layer7-protocol> print

# NAME REGEXP

0 test1.ru ^.*(get|GET).+(test1.ru).*$

1 test2.ru ^.*(get|GET).+(test2.ru).*$

 

chain=dstnat action=dst-nat to-addresses=192.168.0.3 dst-address=X.X.X.250 layer7-protocol=test1.ru

chain=dstnat action=dst-nat to-addresses=192.168.0.4 dst-address=X.X.X.250 layer7-protocol=test2.ru

chain=srcnat action=masquerade src-address=192.168.0.0/24 out-interface=WAN

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип

честно говоря не понял как у вас определяется test1 и tes2

 

/ip firewall layer7-protocol> print

# NAME REGEXP

0 test1.ru ^.*(get|GET).+(test1.ru).*$

1 test2.ru ^.*(get|GET).+(test2.ru).*$

 

chain=dstnat action=dst-nat to-addresses=192.168.0.3 dst-address=X.X.X.250 layer7-protocol=test1.ru

chain=dstnat action=dst-nat to-addresses=192.168.0.4 dst-address=X.X.X.250 layer7-protocol=test2.ru

ну да, если регексп правильный то должно сработать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип

честно говоря не понял как у вас определяется test1 и tes2

 

/ip firewall layer7-protocol> print

# NAME REGEXP

0 test1.ru ^.*(get|GET).+(test1.ru).*$

1 test2.ru ^.*(get|GET).+(test2.ru).*$

 

chain=dstnat action=dst-nat to-addresses=192.168.0.3 dst-address=X.X.X.250 layer7-protocol=test1.ru

chain=dstnat action=dst-nat to-addresses=192.168.0.4 dst-address=X.X.X.250 layer7-protocol=test2.ru

ну да, если регексп правильный то должно сработать

 

Не сработал. Пробовал и через NAT с добавлением седьмого уровня и через маркировку трафика. Пока никак . Какие еще вариант есть ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не сработал.

значит регексп неправильный, L7 работает если правильно настроить.

По другому я думаю никак, только L7.

Вообще в микротике баг, content в nat не работает!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не сработал.

значит регексп неправильный, L7 работает если правильно настроить.

По другому я думаю никак, только L7.

Вообще в микротике баг, content в nat не работает!

 

Есть какая нибудь нормальная инфа про использование L7 + NAT или magle + NAT ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не сработал.

значит регексп неправильный, L7 работает если правильно настроить.

По другому я думаю никак, только L7.

Вообще в микротике баг, content в nat не работает!

Есть какая нибудь нормальная инфа про использование L7 + NAT или magle + NAT ?

 

У кого нибудь есть какое нибудь работающее правило L7 ? Я уже , даже не свое, а чужое правило беру и захожу на те сайты которые заблокированы и все равно правило не работает. Может баг в прошивке ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.