Перейти к содержимому
Калькуляторы

2 wan. dst nat.

Имеется Mikrotik RB1100AH

 

1) Имеется интернет аплинк "wan1" Включен в ether1

 

большой безлимитный канал. дает пачку IP

 

172.16.4.208 /29

172.16.4.110

172.16.4.111

172.16.4.112

172.16.4.113

172.16.4.114

172.16.4.115

172.16.4.116

 

и еще девять алиасов

 

10.1.194.130/30

10.2.138.90/30

...

10.9.170.87/30

 

не спрашивайте, не знаю зачем. исторически "тут так заведено". вся инфраструктура построена исходя из.

 

 

2) Имеется другой интернет аплинк "wan2" Включен в ether4

 

один IP 172.31.6.34

 

 

3) Имеется LAN Включен в ether2

 

192.168.0.0 /24

 

 

В норме весь исходящий трафик идет через аплинк №1. На пачке IP (dst-nat) висят всякие сервисы, отвечают на запросы. Тут же приходит SIP.

 

Второй аплинк при этом не используется совсем.

 

Человек настраивавший этот микротик, по заветам saab95, купил второй микротик, денег хватило на RB951, настроил LAN 1:1 а wan на второго провайдера

и при падении первого, тупо перетыкал шнурок LAN физически.

 

Я завел WAN2 в ether4. добавил IP. дал ему distance=2. Теперь нужно настроить автоматическое переключение.

 

Я начитался про hairpin. один сервис настроил, теперь он стал доступен из локалки по внешнему IP.

 

------

Задача.

 

Настроить это по взрослому.

 

 

Вопрос 1.

 

в winbox - firewall - nat у каждого правила есть счетчик пакетов.

у правила dst-nat относящемуся к ip адресу wan2 постоянно растет счетчик пакетов (так и должно быть). но сервер то отвечает через wan1.

 

пишут что как то нужно настроить маркирование.

 

настраиваю, но тут же отваливаются l2tp соединения от удаленных офисов, и не поднимаются пока не уберешь маркировку.

 

 

Вопрос 2.

 

а как без маркировки работают входящие соединения на IP алиасы?

там по одному вот такому правилу на порт.

 

add action=dst-nat chain=dstnat dst-address=10.5.114.90 dst-port=999999 protocol=tcp to-addresses=192.168.0.5 to-ports=999999

 

оно же ответ шлет, по логике, с основного IP? или маскарадинг как то хитро отслеживает алиасы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

stas_k, про dst-nat и маркировку посмотрите здесь

 

оно же ответ шлет, по логике, с основного IP? или маскарадинг как то хитро отслеживает алиасы?

По идее, механизм "connection tracker", должен отслеживать на какой IP пришел запрос и отвечать с него (именно с IP, а не интерфейс).

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ок. Спасибо.

Ясно что для начала нужно обновить firmware маршрутизатора.

 

Продолжу задавать вопросы в понедельник.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.