MikroUser Posted January 7, 2017 · Report post Всем привет, помогите разобраться. Есть микротик, подключен по оптике, внешний белый ип, маскарад на 2 внутренних сети Веб сервер в локальной сети, 10.214.21.21:45242, на микротике стоит правило перенаправлять трафик 80 порта на веб сервер. Порт форвардинг работает, сайт грузится, но есть одно но. В логах апача пишет что все запросы идут от ип роутера, теость 10.214.21.1, хотя она самом деле идут из интернет адресов. Когда стоял дсл модем длинк, все работало прекрасно, отображались ип реальных посетителей, а вот с микротиком не получается. пробовал правила dst-nat, netmap - результат один и тот же. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted January 8, 2017 · Report post MikroUser, скорее всего, кривыми руками настроен маскарад, без понимания как он работает. Показывайте правила nat. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Gubanov Posted January 8, 2017 · Report post MikroUser, address type=unicast попробуйте указать, желательно отдельным action=accept. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MikroUser Posted January 8, 2017 · Report post MikroUser, скорее всего, кривыми руками настроен маскарад, без понимания как он работает. Показывайте правила nat. Благодарю за подсказку. В маскараде не указал исходящий интерфейс. Теперь все как надо. Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 9, 2017 · Report post Вообще то исходящий интерфейс в маскарде не указывают, там в scr-address вносят подсеть, для которой его делать, тогда весь трафик из нее в сторону интернета пойдет через NAT. Если нужно управлять именно интерфейсами, следует использовать src-nat. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted January 9, 2017 · Report post Вообще то исходящий интерфейс в маскарде не указывают, там в scr-address вносят подсеть, для которой его делать, тогда весь трафик из нее в сторону интернета пойдет через NAT. Так весь трафик в любую сторону от src-address пойдет через NAT, почти настолько же кривой вариант, как и у ТС без out-interface. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 9, 2017 · Report post Вообще то исходящий интерфейс в маскарде не указывают, там в scr-address вносят подсеть, для которой его делать, тогда весь трафик из нее в сторону интернета пойдет через NAT. Так весь трафик в любую сторону от src-address пойдет через NAT, почти настолько же кривой вариант, как и у ТС без out-interface. Не пойдет. Если правильно указать исключения. Обычно в src-address указывают подсеть при простой сети, например используется адресация 10.0.0.0/8 для всего. В этом случае в src указывают эту сеть, а в dst указывают ее же с восклицательным знаком, то есть отрицанием. И получается что если запрос пришел из серой подсети и адрес назначения не в серой сети, то делать НАТ на этот запрос. Когда указывается только out-interface, тогда НАТ делается для всего трафика по нему, и иногда это создает некоторого рода глюки или проблемы. Когда своих подсетей много, вместо src и dst address используются аналогичные адрес листы, которые можно указать на второй вкладке. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted January 9, 2017 · Report post Пример: КСПД 10.0.0.0/8 + клиенты 100.64.0.0/10 + voip 172.16.0.0/12 + guest wifi 192.168.0.0/16 + туча туннелей до бранчей. И что, все это в dst-address-list перечислять, если только КСПД+клиентов нужно NATить? Проще пару правил NAT сделать. Ваш вариант имеет быть, но далеко не всегда удобен и приемлем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Rainmib Posted January 11, 2017 · Report post Да наверняка правильно в таком случае делать правило ната с маскарадингом для каждой конкретной сети - и во всех правилах указывать аут интерфейс. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 11, 2017 · Report post Да наверняка правильно в таком случае делать правило ната с маскарадингом для каждой конкретной сети - и во всех правилах указывать аут интерфейс. Не правильно, таким образом исключения без адрес листов все равно не сделать, но если есть адрес лист с серой сетью, то и правила НАТ можно сделать одно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...