Mikrotik подмена IP для FTP passive сервера

[Gambit198]

Добрый день. Помогите с задачей, третий день мучаюсь.
Есть mikrotik, на нем два провайдера, WAN1 подключается через PPOE с динамическим внешним IP, WAN2 просто по DHCP получает IP вида 10.128.ХХХ.ХХХ, но при это имеет статический IP 195.ХХХ.ХХХ.ХХХ, который микротиком никак не виден.
Есть внутренняя сеть (192.168.88.0/24), в которой есть FTP сервер, работает в passive режиме.

Надо сделать что бы по обоим провайдерам был доступен этот FTP сервер, внешним клиентам.
Все порты пробросил(21 и 50000-52000), соединения промаркировал. На провайдере WAN1 где PPOE соединение, все заработало сразу, там виден белый IP, но на втором провайдере не работает т.к. на WAN2 интерфейсе получен IP 10.128.ХХХ.ХХХ, то микротик считает его внешним. И после авторизации на ftp сервере по 21 порту, сервер FTP выдает что бы внешний клиент подключался на IP 10.128.ХХХ.ХХХ с портом 50000-52000, а для внешнего клиента этот IP из приватной сети и передача файлов не начинается.
Я могу на ftp сервере принудительно выдавать внешний IP 195.ХХХ.ХХХ.ХХХ, тогда по WAN2 провайдеру все работает. Но перестает работать по WAN1.
Как понимаю надо, что бы микротик при получении пакетов на 10.128.ХХХ.ХХХ отправлял их во внутреннюю сеть, где отправителем пакета ставил 195.ХХХ.ХХХ.ХХХ и для ответных пакетов, в которых получатель 195.ХХХ.ХХХ.ХХХ подменял его на 10.128.ХХХ.ХХХ. Но как это сделать правильно?

[jffulcrum]

Попробуйте на роутере SOKS прокси настроить для FTP вместо прямой публикации сервера. Правда, для S/FTP не поможет.

[Gambit198]

3 hours ago, jffulcrum said:

Попробуйте на роутере SOKS прокси настроить для FTP вместо прямой публикации сервера. Правда, для S/FTP не поможет.

Внешнее ПО достаточно старое и только по FTP может работать, без прокси.

[MikroUser]

У меня сейчас фтп настроен так, все работает. FTP на дебиане, включен пассивный режим. FTP - proftpd

Важно в конфиге указать пасивные порты и 

 MasqueradeAddress 192.168.88.1    (адрес роутера в локальной сети) 

[naves]

Поднять два разных экземпляра ftpd с разным конфигом на разных портах с одинаковым каталогом для данных. На микротике делать соответствующий проброс для каждого провайдера 

[Gambit198]

21 hours ago, MikroUser said:

У меня сейчас фтп настроен так, все работает. FTP на дебиане, включен пассивный режим. FTP - proftpd

Важно в конфиге указать пасивные порты и 

 MasqueradeAddress 192.168.88.1    (адрес роутера в локальной сети) 

Оно работает, если на WAN интерфейсе есть белый IP. Но если как у меня, на нем висит 10.128.ХХХ.ХХХ, то перестает работать. На втором провайдере, где PPOE и виден белый IP в PPOE соединении-все прекрасно работает.

Если смотреть трафик на микротике, то при отправке пакетов на 195.ХХХ.ХХХ.ХХХ:21 из интернета, на микротике видно как будто они поступают на 10.128.ХХХ.ХХХ:21. И получается микротик оперирует 10.128.ХХХ.ХХХ в правилах dst-nat и src-nat.

Получается логика такая, отправляем пакет на 195.ХХХ.ХХХ.ХХХ:21, далее он попадает на 10.128.ХХХ.ХХХ:21, далее по dst-nat микротик его отправляет во внутреннюю сеть на 192.168.88.ХХХ:21 и подменяет IP отправителя с 192.168.88.1(это ip микротика), на 10.128.ХХХ.ХХХ. А как сделать, что бы подменял на 195.ХХХ.ХХХ.ХХХ и потом ловил обратный пакет и в нем опять менял 195.ХХХ.ХХХ.ХХХ на 10.128.ХХХ.ХХХ?

 

4 hours ago, naves said:

Поднять два разных экземпляра ftpd с разным конфигом на разных портах с одинаковым каталогом для данных. На микротике делать соответствующий проброс для каждого провайдера 

FTP сервер на базе QNAP стоит, там два не поднимешь. Задача решить проблему на микротике, чуть выше описал как пакеты проходят и что менять надо, тут скорее всего решается парой правил, но не соображу каких.

[naves]

парой правил не обойтесь.

гуглите про ftp alg mikrotik, я не уверен, что его можно включить на одном интерфейсе и выключить его на другом.

Сам фтп сервер не знает о своем внешнем адресе в явном виде, и адреса в пакетах тут не причем.

 

Можно попробовать на микротике повесить на второй интерфейс ваш настоящий внешний адрес, и сделать правила

входящий редирект на виртуальный настоящий адрес, потом нат внутрь.

исходящий трафик src nat, на ваш адрес 10.128. Данубред

 

Edited August 8, 2021 by naves

[Gambit198]

23 hours ago, naves said:

парой правил не обойтесь.

гуглите про ftp alg mikrotik, я не уверен, что его можно включить на одном интерфейсе и выключить его на другом.

Сам фтп сервер не знает о своем внешнем адресе в явном виде, и адреса в пакетах тут не причем.

 

Можно попробовать на микротике повесить на второй интерфейс ваш настоящий внешний адрес, и сделать правила

входящий редирект на виртуальный настоящий адрес, потом нат внутрь.

исходящий трафик src nat, на ваш адрес 10.128. Данубред

 

 

Уже много чего гуглил. К самому FTP тут вопросов нет, скорее к микротику, как верно настроить.

 

Вот предложенный Вами вариант считаю реальным, как вариант можно даже не второй интерфейс использовать, а VLAN какой нибудь, но тут уже не суть. И не совсем понимаю как это реализовать, т.к. задача очень специфичная и гугл мне не помог.

Есть еще вариант поднять на микротике PPOE сервер, и на этом же микротике создать PPOE соединение к этому серверу, что бы на PPOE выдавался реальный белый IP, тогда NAT на микротике будет корректно всё натить во внутреннюю сеть. Не знаю на сколько рабочий вариант. Хочется задачу решить на микротике, без замены железа и прочих танцев с бубном.

[MikroUser]

Quote

Оно работает, если на WAN интерфейсе есть белый IP.

Не согласен, у меня фтп вообще на виртуалке, с пробросом портов внутри сети которая в локальной сети, и ничего там не нужно подменять, все работает при включеном маскараде в настройках самого фтп, и правильно прописаных пасивных портах.