kirezz Posted November 12, 2015 · Report post Добрый день! Столкнулся со следующей проблемой: Есть GRE между двумя микротами, без IPSEC'a. Никаких натов, кроме маскарадинга во внешку. Все сегменты локальной сети с противоположных точек доступны. При этом все пакеты в локалку приходят от локального микрота... То есть: Сторона А (192.168.8.0/22, 192.168.10.5 - микротик) Сторона В (192.168.1.0/24, 192.168.1.1 - миркотик) С хоста 192.168.1.10 делаем telnet на 192.168.10.194, на 192.168.10.194 пакет приходит от 192.168.10.5. Каким образом, кто подскажет? Заранее спасибо. P.S. результат на openvpn, ipsec'e такой же. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Trueno Posted November 12, 2015 · Report post EoIP ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kirezz Posted November 12, 2015 · Report post EoIP ? В планах, спасибо. Причину при текущей настройке определить невозможно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dsk Posted November 12, 2015 · Report post Конфиги давайте в студию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kirezz Posted November 12, 2015 (edited) · Report post Router A: Addresses: # ADDRESS NETWORK INTERFACE 0 ;;; GLocal 192.168.10.5/22 192.168.8.0 Lan 1 109.124.XX.XX/21 109.124.XX.0 Megafon 3 ;;; GreToRMZ 172.16.4.1/30 172.16.4.0 GreToRMZ Nat: 3 ;;; InternetMasquerading chain=srcnat action=masquerade log=no log-prefix="" Routes: 0 X S 0.0.0.0/0 109.124.xx.xx 1 7 ADC 109.124.XX.0/21 109.124.XX.XX Megafon 0 8 ADC 172.16.4.0/30 172.16.4.1 GreToRMZ 0 9 A S 192.168.1.0/24 GreToRMZ 1 10 ADC 192.168.8.0/22 192.168.10.5 LAN 0 Router B: Addresses: Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 ;;; default configuration 192.168.1.1/24 192.168.1.0 ether2-master-local 1 D 46.28.XX.XX/30 46.28.XX.0 ether1-gateway 2 ;;; GreToOffice 172.16.4.2/30 172.16.4.0 GreToOffice Nat: Flags: X - disabled, I - invalid, D - dynamic 0 ;;; default configuration chain=srcnat action=masquerade out-interface=ether1-gateway Routes: # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 46.28.XX.X 1 1 ADC 46.28.XX.0/30 46.28.XX.X ether1-gateway 0 2 ADC 172.16.4.0/30 172.16.4.2 GreToOffice 0 3 ADC 192.168.1.0/24 192.168.1.1 ether2-master-l... 0 4 A S 192.168.8.0/22 GreToOffice 1 Edited November 12, 2015 by kirezz Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 12, 2015 · Report post chain=srcnat action=masquerade log=no log-prefix="" Это вы называете "маскарадингом во внешку"? ))) NAT настройте нормально, с указанием out-interface. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 13, 2015 · Report post chain=srcnat action=masquerade log=no log-prefix="" Это вы называете "маскарадингом во внешку"? ))) NAT настройте нормально, с указанием out-interface. Сейчас надаете советов=) out-inteface нельзя использовать для ната в данном случае. Следует вставить 2 уточнения - src.address = 192.168.0.0/16 и dst.address = ! 192.168.0.0/16 Тогда по запросам через внутренние адреса НАТ работать не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 13, 2015 · Report post out-inteface нельзя использовать для ната в данном случае. Это с чего вдруг? Следует вставить 2 уточнения - src.address = 192.168.0.0/16 и dst.address = ! 192.168.0.0/16 Тогда по запросам через внутренние адреса НАТ работать не будет. ТС-у в GRE натить не надо, прочитайте стартовый пост, посмотрите маршруты, гуру вы наш. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 13, 2015 · Report post Это с чего вдруг? Слишком много неопределенностей. Следует вставить 2 уточнения - src.address = 192.168.0.0/16 и dst.address = ! 192.168.0.0/16 Тогда по запросам через внутренние адреса НАТ работать не будет. ТС-у в GRE натить не надо, прочитайте стартовый пост, посмотрите маршруты, гуру вы наш. Еще раз перечитайте то, что я написал. В правиле будет указано, что если пришел пакет из сети 192.168.0.0/16 и идет не в эту же сеть, то делать НАТ. Следовательно он будет делаться на любые запросы в любые другие сети. Если же пакет придет из указанной сети и адрес назначения в этой же сети, то НАТ применяться не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 13, 2015 · Report post если пришел пакет из сети 192.168.0.0/16 и идет не в эту же сеть, то делать НАТ И поэтому трафик из 1.0/24 в 8.0/22 в прямом направлении пойдет рутингом, а в обратном через маскарадинг. Клёво. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 13, 2015 · Report post И поэтому трафик из 1.0/24 в 8.0/22 в прямом направлении пойдет рутингом, а в обратном через маскарадинг. Клёво. Еще раз перечитайте что написали? Там маска /16 указана, в нее попадают все комбинации указанной серой сети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...