Jump to content
Калькуляторы

mikrotik,firewall,nat в локалке nat в локальной сети

Всем привет

с mikrotik работаю достаточно давно, но на днях столкнулся с проблемкой которая поставила в небольшой тупик, есть сеть с четырьмя аплинками(1хipoe,3xpppoe), один используется для ресурсов типа веба, остальные три для ТВ+торрент, собственно в сети появился ресурс на который пользователи должны попадать по локальному адресу(т.е например на 10.0.0.100), казалось бы проще простого но на деле оказалось что каждый пользователь обращаясь на адрес 10.0.0.100 попадает под правила NAT и соответственно сервер видит не локальный адрес а внешний, ниже прикладываю текущий NAT-конфиг

ip firewall nat print                
Flags: X - disabled, I - invalid, D - dynamic 
0    chain=srcnat action=masquerade routing-mark=speedtest log=no log-prefix="" 

1    ;;; nat-TV
     chain=srcnat action=masquerade to-addresses=x.x.x.x-x.x.x.x routing-mark=web_tv log=no log-prefix="" 

2    chain=srcnat action=masquerade to-addresses=x.x.x.x-x.x.x.x routing-mark=iptv out-interface=PPPOE3 log=no log-prefix="" 

3    chain=srcnat action=masquerade to-addresses=x.x.x.x-x.x.x.x dst-address=10.0.0.0/24 log=no log-prefix="" 

4    chain=srcnat action=masquerade src-address=!192.168.22.0/24 dst-address=192.168.22.0/24 log=no log-prefix="" 

5    chain=srcnat action=masquerade to-addresses=x.x.x.x-x.x.x.x routing-mark=ISP1 src-address-list=PPPOE1 dst-address-list=!PPPOE1 out-interface=PPPOE1 log=no log-prefix="" 

6    chain=srcnat action=masquerade to-addresses=x.x.x.x-x.x.x.x routing-mark=ISP2 src-address-list=PPPOE2 dst-address-list=!PPPOE2 out-interface=PPPOE2 log=no log-prefix="" 

7    chain=srcnat action=masquerade to-addresses=x.x.x.x-x.x.x.x routing-mark=ISP2 src-address-list=white_trnt out-interface=PPPOE2 log=no log-prefix="" 

8    chain=srcnat action=masquerade to-addresses=x.x.x.x-x.x.x.x routing-mark=ISP3 out-interface=PPPOE3 log=no log-prefix="" 

9    chain=srcnat action=src-nat to-addresses=x.x.x.x-x.x.x.x src-address-list=!white out-interface=1sfp1 log=no log-prefix="" 

 

где x.x.x.x-x.x.x.x это пул белых адресов за которыми прячутся пользователи.

 

Пробовал поместить такое же правило как и №4 но с сетью 10.0.0.0/8 !10.0.0.0/8 в начало но не помогло, пробовал сделать такое ip firewall nat add chain=srcnat action=masquerade out-interface=Public dst-address=!10.0.0.0/8 тоже не помогло:(

 

форумчане, нужна подсказка.

Edited by megahertz

Share this post


Link to post
Share on other sites

Если я правильно понял, вам нужно чтобы при обращении на адрес 10.0.0.100 из локальной сети, трафик не маскарадился?

 

action=accept chain=srcnat dst-address=10.0.0.100 place-before=0

Edited by vbela

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this