Jump to content

Перенаправление ip внутри сети

rout53

By rout53
in Mikrotik Wireless

 Share

Recommended Posts

rout53

rout53

Posted
Posted

Коллеги добрый день, сложилась довольно странная ситуация которую не получается решить, прошу вашей помощи. Есть mikrotik внутренняя сетка 10.20.30.0/24, есть внешний статический ip x.x.x.x Во внутренней сети стоит ftp сервер (10.20.30.10) на который удаленные (внешние) пользователи делают выгрузку дампов базы, путь к фтп прописан путем настройки dstnat - netmap, тут все работает удаленные пользователи набирают внешний ip и делают выгрузку, но встала проблема, есть еще и внутренние пользователи которым по идее можно кидать сразу на фтп 10.20.30.10, но программистам 1с надо чтобы они кидали не на внутренний, а на внешний x.x.x.x Вот тут и начинаются траблы если внутренний поьзователь набирает внешний айпишник, то ничего не происходит, не удается установить соединение и все, как не крутил dstnat, srcnat ничего не выходит. Прошу помощи. Заранее спасибо.

Saab95

Saab95

Posted
Posted

Создайте копию правила проброса, в качестве src address укажите подсеть ваших внутренних адресов, в качестве dst address укажите ваш белый адрес на роутере. Так же можно указать in interface = ваш интерфейс, на котором терминируются внутренние адреса и т.п.

rout53

rout53

Posted
  • Author
Posted

Пробовал так... нифига.. уже голову сломал как сделать.. ради эксперимента поставил tp-link 941ND заработало сразу, без каикх либо телодвижений, а микротик заводиться совсем не хочет.

Saab95

Saab95

Posted
Posted

Пробовал так... нифига.. уже голову сломал как сделать.. ради эксперимента поставил tp-link 941ND заработало сразу, без каикх либо телодвижений, а микротик заводиться совсем не хочет.

 

 

Вот пример проброса порта 111 на 80 порт устройства внутренней сети, тут ether1 интерфейс в сторону интернета, bridge1 в сторону локалки. Микротик смотрит, что если пакет пришел со стороны интернета, при этом не важно на какой адрес, хотя можно и его указать, то перенаправляет его на 80 порт. Если пакет пришел со стороны локалки, то он смотрит на какой адрес пакет адресован, если на внешний роутера, далее производит перенаправление. Первое правило это нат для локалки.

 

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24
add action=netmap chain=dstnat dst-address=158.1.1.10 dst-port=111 in-interface=bridge1 protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.2 to-ports=80
add action=netmap chain=dstnat dst-port=111 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=80

 

Поэтому вам нужно сбросить начальную конфигурацию, настроить все с нуля по правильным конфигам, и по указанному примеру сделать пробросы.

rout53

rout53

Posted
  • Author
Posted

 

 

Вот пример проброса порта 111 на 80 порт устройства внутренней сети, тут ether1 интерфейс в сторону интернета, bridge1 в сторону локалки. Микротик смотрит, что если пакет пришел со стороны интернета, при этом не важно на какой адрес, хотя можно и его указать, то перенаправляет его на 80 порт. Если пакет пришел со стороны локалки, то он смотрит на какой адрес пакет адресован, если на внешний роутера, далее производит перенаправление. Первое правило это нат для локалки.

 

/ip firewall nat

add action=masquerade chain=srcnat src-address=192.168.0.0/24

add action=netmap chain=dstnat dst-address=158.1.1.10 dst-port=111 in-interface=bridge1 protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.2 to-ports=80

add action=netmap chain=dstnat dst-port=111 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2 to-ports=80

 

Чувак, миллион хороших слов тебе в карму, добавил маскарадинг на внутреннюю сеть и все полетело. Спасибо большущее за помощь.

user71

user71

Posted
Posted

1. вообще это глупая глупость.

2. несмотря на глупую глупость работать должно если не работает значит есть правило запрещающее глупые глупости что верно.

3. то что пишут тут тоже может оказатся глупой глупостью и то что у тебя что то полегло виноват не "чувак с форума" а ты сам ибо перед тем как что то сделать надо подумать, а потом еще подумать, затем хорошо подумать и только после этого протестировать в песочнице, затем подумать снова, и хорошо подумать и благоприятных на то условиях сделав бекапы и всех придупредив и у всех переспросив уже переносить на рабочую площадку.

4. Есть такая жутко редкая непомерно сложная и никому доконца непонятная штука как DNS. Смысл заключается в том что у внешних пользователей и внутрених могут быть разные dns которые на одно и то же имя будут выдавать разные ип.

5. Если всеже предпочитаешь костылестроительство то нужно прописать:

add action=dstnat chain=dstnat protocol=tcp dst-port=21 dst-address=внешнийip src-address-list=списоквнутренихподсетей to-address=внутренийIPftpсервера.

Это в общем случае.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.