Jump to content

Nat без Nat'a

kirezz

By kirezz
in Mikrotik Wireless

 Share

Recommended Posts

kirezz

kirezz

Posted
Posted

Добрый день! Столкнулся со следующей проблемой: Есть GRE между двумя микротами, без IPSEC'a. Никаких натов, кроме маскарадинга во внешку. Все сегменты локальной сети с противоположных точек доступны. При этом все пакеты в локалку приходят от локального микрота...

 

То есть:

 

Сторона А (192.168.8.0/22, 192.168.10.5 - микротик)

Сторона В (192.168.1.0/24, 192.168.1.1 - миркотик)

 

С хоста 192.168.1.10 делаем telnet на 192.168.10.194, на 192.168.10.194 пакет приходит от 192.168.10.5.

 

Каким образом, кто подскажет? Заранее спасибо.

 

P.S. результат на openvpn, ipsec'e такой же.

kirezz

kirezz

Posted
  • Author
Posted (edited)

Router A:

 

Addresses:

 #   ADDRESS            NETWORK         INTERFACE                                                                                              
0   ;;; GLocal
    192.168.10.5/22    192.168.8.0     Lan                                 
1   109.124.XX.XX/21   109.124.XX.0    Megafon                                             
3   ;;; GreToRMZ
    172.16.4.1/30      172.16.4.0      GreToRMZ

Nat:

 3    ;;; InternetMasquerading
     chain=srcnat action=masquerade log=no log-prefix=""

Routes:

 0 X S  0.0.0.0/0                          109.124.xx.xx             1
7 ADC  109.124.XX.0/21    109.124.XX.XX   Megafon                   0
8 ADC  172.16.4.0/30      172.16.4.1      GreToRMZ                  0
9 A S  192.168.1.0/24                     GreToRMZ                  1
10 ADC  192.168.8.0/22     192.168.10.5    LAN                       0

 

 

Router B:

 

Addresses:

Flags: X - disabled, I - invalid, D - dynamic 
#   ADDRESS            NETWORK         INTERFACE                                                                                              
0   ;;; default configuration
    192.168.1.1/24     192.168.1.0     ether2-master-local                                                                                    
1 D 46.28.XX.XX/30     46.28.XX.0      ether1-gateway                                                                                         
2   ;;; GreToOffice
    172.16.4.2/30      172.16.4.0      GreToOffice

Nat:

Flags: X - disabled, I - invalid, D - dynamic 
0   ;;; default configuration
    chain=srcnat action=masquerade out-interface=ether1-gateway

Routes:

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 ADS  0.0.0.0/0                          46.28.XX.X                1
1 ADC  46.28.XX.0/30     46.28.XX.X       ether1-gateway            0
2 ADC  172.16.4.0/30      172.16.4.2      GreToOffice               0
3 ADC  192.168.1.0/24     192.168.1.1     ether2-master-l...        0
4 A S  192.168.8.0/22                     GreToOffice               1

Edited by kirezz
Saab95

Saab95

Posted
Posted

chain=srcnat action=masquerade log=no log-prefix=""

Это вы называете "маскарадингом во внешку"? ))) NAT настройте нормально, с указанием out-interface.

 

Сейчас надаете советов=) out-inteface нельзя использовать для ната в данном случае.

Следует вставить 2 уточнения - src.address = 192.168.0.0/16 и dst.address = ! 192.168.0.0/16

Тогда по запросам через внутренние адреса НАТ работать не будет.

DRiVen

DRiVen

Posted
Posted

out-inteface нельзя использовать для ната в данном случае.

 

Это с чего вдруг?

Следует вставить 2 уточнения - src.address = 192.168.0.0/16 и dst.address = ! 192.168.0.0/16

Тогда по запросам через внутренние адреса НАТ работать не будет.

 

ТС-у в GRE натить не надо, прочитайте стартовый пост, посмотрите маршруты, гуру вы наш.

Saab95

Saab95

Posted
Posted

Это с чего вдруг?

 

Слишком много неопределенностей.

 

Следует вставить 2 уточнения - src.address = 192.168.0.0/16 и dst.address = ! 192.168.0.0/16

Тогда по запросам через внутренние адреса НАТ работать не будет.

ТС-у в GRE натить не надо, прочитайте стартовый пост, посмотрите маршруты, гуру вы наш.

 

Еще раз перечитайте то, что я написал. В правиле будет указано, что если пришел пакет из сети 192.168.0.0/16 и идет не в эту же сеть, то делать НАТ. Следовательно он будет делаться на любые запросы в любые другие сети. Если же пакет придет из указанной сети и адрес назначения в этой же сети, то НАТ применяться не будет.

DRiVen

DRiVen

Posted
Posted

если пришел пакет из сети 192.168.0.0/16 и идет не в эту же сеть, то делать НАТ

И поэтому трафик из 1.0/24 в 8.0/22 в прямом направлении пойдет рутингом, а в обратном через маскарадинг. Клёво.

Saab95

Saab95

Posted
Posted

И поэтому трафик из 1.0/24 в 8.0/22 в прямом направлении пойдет рутингом, а в обратном через маскарадинг. Клёво.

 

Еще раз перечитайте что написали? Там маска /16 указана, в нее попадают все комбинации указанной серой сети.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.