Alex1047 Опубликовано 10 мая, 2015 · Жалоба Добрый день . Уже второй день бьюсь и никак не могу решить задачу. Ситуация следующая - есть микротик который подключен к провайдеру. На интерфейсе WAN находится сеть X.X.X.254/29 . У шлюз провайдера - X.X.X.249/29 . На интерфейсе LAN находятся сервера ( Веб, SIP и т.д. ). Нужно сделать проброс следующим образом - чтобы при обращении на одно доменное имя ( пускай будет test1.ru) , которое будет транслироваться на IP X.X.X.250, будет осуществляться проброс адреса на один из веб-серваков , и что бы при обращении на другое доменное имя ( пускай будет test2.ru ) которое будет транслироваться на тот же X.X.X.250 , будет осуществляться проброс на другой веб-сервак . То есть ключевым правилом для NAT, при доступе из WAN на LAN , должно быть доменное имя. Это как нибудь возможно сделать на микротике ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eoleg Опубликовано 10 мая, 2015 (изменено) · Жалоба Если обращение из внутрянки то наверное нужно в днс в микротике внести test1.ru 192.168.0.х/24 test2.ru 192.168.0.у/24 А из внешки только в nat rule через content и dst-nat на нужный адрес но он к сожалению там не работает, может еще через L7 попробовать. Изменено 10 мая, 2015 пользователем eoleg Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex1047 Опубликовано 10 мая, 2015 · Жалоба Если обращение из внутрянки то наверное нужно в днс в микротике внести test1.ru 192.168.0.х/24 test2.ru 192.168.0.у/24 А из внешки только в nat rule через content и dst-nat на нужный адрес но он к сожалению там не работает, может еще через L7 попробовать. А как это сделать при помощи L7 ? Про него мало инфы и в основном про блокирование трафика . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saimon83 Опубликовано 10 мая, 2015 (изменено) · Жалоба } Проброска порта / ip firewall nat add chain=dstnat action=dst-nat in-interface=WAN1 protocol=tcp dst-port=80 to-address=192.168.0.3 to-ports=80 ip firewall filter add chain forward in-interface=WAN1 protocol=tcp dst-port=80 dst-address=192.168.0.3 action=accept comment="WAN1 to online booking" ip firewall mangle add chain=forward in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_c passthrough=yes ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 connection-mark=WAN1_c action=mark-routing new-routing-mark=WAN1_r passthrough=yes ip route add routing-mark=WAN1_r gateway=10.168.0.1 comment="WAN1 to online booking" примерно так но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип Изменено 10 мая, 2015 пользователем saimon83 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex1047 Опубликовано 10 мая, 2015 · Жалоба } Проброска порта / ip firewall nat add chain=dstnat action=dst-nat in-interface=WAN1 protocol=tcp dst-port=80 to-address=192.168.0.3 to-ports=80 ip firewall filter add chain forward in-interface=WAN1 protocol=tcp dst-port=80 dst-address=192.168.0.3 action=accept comment="WAN1 to online booking" ip firewall mangle add chain=forward in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_c passthrough=yes ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 connection-mark=WAN1_c action=mark-routing new-routing-mark=WAN1_r passthrough=yes ip route add routing-mark=WAN1_r gateway=10.168.0.1 comment="WAN1 to online booking" примерно так но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип И как это сделать ? Я думал что это будет как то так ip address add address=Х.Х.Х.250/ 32 interface=WAN [MikroTik] /ip firewall layer7-protocol> print # NAME REGEXP 0 test1.ru ^.*(get|GET).+(test1.ru).*$ 1 test2.ru ^.*(get|GET).+(test2.ru).*$ chain=dstnat action=dst-nat to-addresses=192.168.0.3 dst-address=X.X.X.250 layer7-protocol=test1.ru chain=dstnat action=dst-nat to-addresses=192.168.0.4 dst-address=X.X.X.250 layer7-protocol=test2.ru chain=srcnat action=masquerade src-address=192.168.0.0/24 out-interface=WAN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eoleg Опубликовано 11 мая, 2015 · Жалоба но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип честно говоря не понял как у вас определяется test1 и tes2 /ip firewall layer7-protocol> print # NAME REGEXP 0 test1.ru ^.*(get|GET).+(test1.ru).*$ 1 test2.ru ^.*(get|GET).+(test2.ru).*$ chain=dstnat action=dst-nat to-addresses=192.168.0.3 dst-address=X.X.X.250 layer7-protocol=test1.ru chain=dstnat action=dst-nat to-addresses=192.168.0.4 dst-address=X.X.X.250 layer7-protocol=test2.ru ну да, если регексп правильный то должно сработать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex1047 Опубликовано 11 мая, 2015 · Жалоба но нужно от твоего test1.ru и test2.ru промаркироваить пакеты по разному, но на один ип честно говоря не понял как у вас определяется test1 и tes2 /ip firewall layer7-protocol> print # NAME REGEXP 0 test1.ru ^.*(get|GET).+(test1.ru).*$ 1 test2.ru ^.*(get|GET).+(test2.ru).*$ chain=dstnat action=dst-nat to-addresses=192.168.0.3 dst-address=X.X.X.250 layer7-protocol=test1.ru chain=dstnat action=dst-nat to-addresses=192.168.0.4 dst-address=X.X.X.250 layer7-protocol=test2.ru ну да, если регексп правильный то должно сработать Не сработал. Пробовал и через NAT с добавлением седьмого уровня и через маркировку трафика. Пока никак . Какие еще вариант есть ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eoleg Опубликовано 11 мая, 2015 · Жалоба Не сработал. значит регексп неправильный, L7 работает если правильно настроить. По другому я думаю никак, только L7. Вообще в микротике баг, content в nat не работает! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex1047 Опубликовано 12 мая, 2015 · Жалоба Не сработал. значит регексп неправильный, L7 работает если правильно настроить. По другому я думаю никак, только L7. Вообще в микротике баг, content в nat не работает! Есть какая нибудь нормальная инфа про использование L7 + NAT или magle + NAT ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex1047 Опубликовано 13 мая, 2015 · Жалоба Не сработал. значит регексп неправильный, L7 работает если правильно настроить. По другому я думаю никак, только L7. Вообще в микротике баг, content в nat не работает! Есть какая нибудь нормальная инфа про использование L7 + NAT или magle + NAT ? У кого нибудь есть какое нибудь работающее правило L7 ? Я уже , даже не свое, а чужое правило беру и захожу на те сайты которые заблокированы и все равно правило не работает. Может баг в прошивке ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...