[MikroUser]

Всем привет, помогите разобраться.

Есть микротик, подключен по оптике, внешний белый ип, маскарад на 2 внутренних сети

 

Веб сервер в локальной сети, 10.214.21.21:45242, на микротике стоит правило перенаправлять трафик 80 порта на веб сервер. Порт форвардинг работает, сайт грузится, но есть одно но.

 

В логах апача пишет что все запросы идут от ип роутера, теость 10.214.21.1, хотя она самом деле идут из интернет адресов. Когда стоял дсл модем длинк, все работало прекрасно, отображались ип реальных посетителей, а вот с микротиком не получается.

пробовал правила dst-nat, netmap - результат один и тот же.

[nkusnetsov]

MikroUser, скорее всего, кривыми руками настроен маскарад, без понимания как он работает.

Показывайте правила nat.

[Gubanov]

MikroUser, address type=unicast попробуйте указать, желательно отдельным action=accept.

[MikroUser]

MikroUser, скорее всего, кривыми руками настроен маскарад, без понимания как он работает.

Показывайте правила nat.

Благодарю за подсказку. В маскараде не указал исходящий интерфейс. Теперь все как надо.

 

Спасибо.

[Saab95]

Вообще то исходящий интерфейс в маскарде не указывают, там в scr-address вносят подсеть, для которой его делать, тогда весь трафик из нее в сторону интернета пойдет через NAT. Если нужно управлять именно интерфейсами, следует использовать src-nat.

[DRiVen]

Вообще то исходящий интерфейс в маскарде не указывают, там в scr-address вносят подсеть, для которой его делать, тогда весь трафик из нее в сторону интернета пойдет через NAT.

Так весь трафик в любую сторону от src-address пойдет через NAT, почти настолько же кривой вариант, как и у ТС без out-interface.

[Saab95]

Вообще то исходящий интерфейс в маскарде не указывают, там в scr-address вносят подсеть, для которой его делать, тогда весь трафик из нее в сторону интернета пойдет через NAT.

Так весь трафик в любую сторону от src-address пойдет через NAT, почти настолько же кривой вариант, как и у ТС без out-interface.

 

Не пойдет. Если правильно указать исключения. Обычно в src-address указывают подсеть при простой сети, например используется адресация 10.0.0.0/8 для всего. В этом случае в src указывают эту сеть, а в dst указывают ее же с восклицательным знаком, то есть отрицанием. И получается что если запрос пришел из серой подсети и адрес назначения не в серой сети, то делать НАТ на этот запрос. Когда указывается только out-interface, тогда НАТ делается для всего трафика по нему, и иногда это создает некоторого рода глюки или проблемы.

 

Когда своих подсетей много, вместо src и dst address используются аналогичные адрес листы, которые можно указать на второй вкладке.

[DRiVen]

Пример: КСПД 10.0.0.0/8 + клиенты 100.64.0.0/10 + voip 172.16.0.0/12 + guest wifi 192.168.0.0/16 + туча туннелей до бранчей. И что, все это в dst-address-list перечислять, если только КСПД+клиентов нужно NATить? Проще пару правил NAT сделать. Ваш вариант имеет быть, но далеко не всегда удобен и приемлем.

[Rainmib]

Да наверняка правильно в таком случае делать правило ната с маскарадингом для каждой конкретной сети - и во всех правилах указывать аут интерфейс.

[Saab95]

Да наверняка правильно в таком случае делать правило ната с маскарадингом для каждой конкретной сети - и во всех правилах указывать аут интерфейс.

 

Не правильно, таким образом исключения без адрес листов все равно не сделать, но если есть адрес лист с серой сетью, то и правила НАТ можно сделать одно.