Jump to content
Калькуляторы

Nat без Nat'a

Добрый день! Столкнулся со следующей проблемой: Есть GRE между двумя микротами, без IPSEC'a. Никаких натов, кроме маскарадинга во внешку. Все сегменты локальной сети с противоположных точек доступны. При этом все пакеты в локалку приходят от локального микрота...

 

То есть:

 

Сторона А (192.168.8.0/22, 192.168.10.5 - микротик)

Сторона В (192.168.1.0/24, 192.168.1.1 - миркотик)

 

С хоста 192.168.1.10 делаем telnet на 192.168.10.194, на 192.168.10.194 пакет приходит от 192.168.10.5.

 

Каким образом, кто подскажет? Заранее спасибо.

 

P.S. результат на openvpn, ipsec'e такой же.

Share this post


Link to post
Share on other sites

Router A:

 

Addresses:

 #   ADDRESS            NETWORK         INTERFACE                                                                                              
0   ;;; GLocal
    192.168.10.5/22    192.168.8.0     Lan                                 
1   109.124.XX.XX/21   109.124.XX.0    Megafon                                             
3   ;;; GreToRMZ
    172.16.4.1/30      172.16.4.0      GreToRMZ

Nat:

 3    ;;; InternetMasquerading
     chain=srcnat action=masquerade log=no log-prefix=""

Routes:

 0 X S  0.0.0.0/0                          109.124.xx.xx             1
7 ADC  109.124.XX.0/21    109.124.XX.XX   Megafon                   0
8 ADC  172.16.4.0/30      172.16.4.1      GreToRMZ                  0
9 A S  192.168.1.0/24                     GreToRMZ                  1
10 ADC  192.168.8.0/22     192.168.10.5    LAN                       0 

 

 

Router B:

 

Addresses:

Flags: X - disabled, I - invalid, D - dynamic 
#   ADDRESS            NETWORK         INTERFACE                                                                                              
0   ;;; default configuration
    192.168.1.1/24     192.168.1.0     ether2-master-local                                                                                    
1 D 46.28.XX.XX/30     46.28.XX.0      ether1-gateway                                                                                         
2   ;;; GreToOffice
    172.16.4.2/30      172.16.4.0      GreToOffice       

Nat:

Flags: X - disabled, I - invalid, D - dynamic 
0   ;;; default configuration
    chain=srcnat action=masquerade out-interface=ether1-gateway

Routes:

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 ADS  0.0.0.0/0                          46.28.XX.X                1
1 ADC  46.28.XX.0/30     46.28.XX.X       ether1-gateway            0
2 ADC  172.16.4.0/30      172.16.4.2      GreToOffice               0
3 ADC  192.168.1.0/24     192.168.1.1     ether2-master-l...        0
4 A S  192.168.8.0/22                     GreToOffice               1

Edited by kirezz

Share this post


Link to post
Share on other sites

chain=srcnat action=masquerade log=no log-prefix=""

Это вы называете "маскарадингом во внешку"? ))) NAT настройте нормально, с указанием out-interface.

Share this post


Link to post
Share on other sites

chain=srcnat action=masquerade log=no log-prefix=""

Это вы называете "маскарадингом во внешку"? ))) NAT настройте нормально, с указанием out-interface.

 

Сейчас надаете советов=) out-inteface нельзя использовать для ната в данном случае.

Следует вставить 2 уточнения - src.address = 192.168.0.0/16 и dst.address = ! 192.168.0.0/16

Тогда по запросам через внутренние адреса НАТ работать не будет.

Share this post


Link to post
Share on other sites

out-inteface нельзя использовать для ната в данном случае.

 

Это с чего вдруг?

Следует вставить 2 уточнения - src.address = 192.168.0.0/16 и dst.address = ! 192.168.0.0/16

Тогда по запросам через внутренние адреса НАТ работать не будет.

 

ТС-у в GRE натить не надо, прочитайте стартовый пост, посмотрите маршруты, гуру вы наш.

Share this post


Link to post
Share on other sites

Это с чего вдруг?

 

Слишком много неопределенностей.

 

Следует вставить 2 уточнения - src.address = 192.168.0.0/16 и dst.address = ! 192.168.0.0/16

Тогда по запросам через внутренние адреса НАТ работать не будет.

ТС-у в GRE натить не надо, прочитайте стартовый пост, посмотрите маршруты, гуру вы наш.

 

Еще раз перечитайте то, что я написал. В правиле будет указано, что если пришел пакет из сети 192.168.0.0/16 и идет не в эту же сеть, то делать НАТ. Следовательно он будет делаться на любые запросы в любые другие сети. Если же пакет придет из указанной сети и адрес назначения в этой же сети, то НАТ применяться не будет.

Share this post


Link to post
Share on other sites

если пришел пакет из сети 192.168.0.0/16 и идет не в эту же сеть, то делать НАТ

И поэтому трафик из 1.0/24 в 8.0/22 в прямом направлении пойдет рутингом, а в обратном через маскарадинг. Клёво.

Share this post


Link to post
Share on other sites

И поэтому трафик из 1.0/24 в 8.0/22 в прямом направлении пойдет рутингом, а в обратном через маскарадинг. Клёво.

 

Еще раз перечитайте что написали? Там маска /16 указана, в нее попадают все комбинации указанной серой сети.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.