MikroUser Опубликовано 7 января, 2017 · Жалоба Всем привет, помогите разобраться. Есть микротик, подключен по оптике, внешний белый ип, маскарад на 2 внутренних сети Веб сервер в локальной сети, 10.214.21.21:45242, на микротике стоит правило перенаправлять трафик 80 порта на веб сервер. Порт форвардинг работает, сайт грузится, но есть одно но. В логах апача пишет что все запросы идут от ип роутера, теость 10.214.21.1, хотя она самом деле идут из интернет адресов. Когда стоял дсл модем длинк, все работало прекрасно, отображались ип реальных посетителей, а вот с микротиком не получается. пробовал правила dst-nat, netmap - результат один и тот же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 8 января, 2017 · Жалоба MikroUser, скорее всего, кривыми руками настроен маскарад, без понимания как он работает. Показывайте правила nat. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gubanov Опубликовано 8 января, 2017 · Жалоба MikroUser, address type=unicast попробуйте указать, желательно отдельным action=accept. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MikroUser Опубликовано 8 января, 2017 · Жалоба MikroUser, скорее всего, кривыми руками настроен маскарад, без понимания как он работает. Показывайте правила nat. Благодарю за подсказку. В маскараде не указал исходящий интерфейс. Теперь все как надо. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 января, 2017 · Жалоба Вообще то исходящий интерфейс в маскарде не указывают, там в scr-address вносят подсеть, для которой его делать, тогда весь трафик из нее в сторону интернета пойдет через NAT. Если нужно управлять именно интерфейсами, следует использовать src-nat. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 9 января, 2017 · Жалоба Вообще то исходящий интерфейс в маскарде не указывают, там в scr-address вносят подсеть, для которой его делать, тогда весь трафик из нее в сторону интернета пойдет через NAT. Так весь трафик в любую сторону от src-address пойдет через NAT, почти настолько же кривой вариант, как и у ТС без out-interface. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 января, 2017 · Жалоба Вообще то исходящий интерфейс в маскарде не указывают, там в scr-address вносят подсеть, для которой его делать, тогда весь трафик из нее в сторону интернета пойдет через NAT. Так весь трафик в любую сторону от src-address пойдет через NAT, почти настолько же кривой вариант, как и у ТС без out-interface. Не пойдет. Если правильно указать исключения. Обычно в src-address указывают подсеть при простой сети, например используется адресация 10.0.0.0/8 для всего. В этом случае в src указывают эту сеть, а в dst указывают ее же с восклицательным знаком, то есть отрицанием. И получается что если запрос пришел из серой подсети и адрес назначения не в серой сети, то делать НАТ на этот запрос. Когда указывается только out-interface, тогда НАТ делается для всего трафика по нему, и иногда это создает некоторого рода глюки или проблемы. Когда своих подсетей много, вместо src и dst address используются аналогичные адрес листы, которые можно указать на второй вкладке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 9 января, 2017 · Жалоба Пример: КСПД 10.0.0.0/8 + клиенты 100.64.0.0/10 + voip 172.16.0.0/12 + guest wifi 192.168.0.0/16 + туча туннелей до бранчей. И что, все это в dst-address-list перечислять, если только КСПД+клиентов нужно NATить? Проще пару правил NAT сделать. Ваш вариант имеет быть, но далеко не всегда удобен и приемлем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rainmib Опубликовано 11 января, 2017 · Жалоба Да наверняка правильно в таком случае делать правило ната с маскарадингом для каждой конкретной сети - и во всех правилах указывать аут интерфейс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 января, 2017 · Жалоба Да наверняка правильно в таком случае делать правило ната с маскарадингом для каждой конкретной сети - и во всех правилах указывать аут интерфейс. Не правильно, таким образом исключения без адрес листов все равно не сделать, но если есть адрес лист с серой сетью, то и правила НАТ можно сделать одно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...