eugene_br Posted May 23, 2014 · Report post Нужна помощь! Кто сталкивался? Есть два роутера Mikrotik, между ними ipip туннель. На каждом из роутеров есть внешний статический ip. За каждым из них своя сеть. Задача такова: ipip туннель между роутерами: 192.168.6.1 -> 192.168.6.2 За первым роутером сетка 192.168.3.96/29 За вторым роутером сетка 192.168.3.32/29 Во второй сетке есть сервер: 192.168.3.35 на котором крутится серверная часть программы которая принимает клиентов только из своей сети (такая вот программа:)) Из первой сети с адреса 192.168.3.99 запускается клиент к 192.168.3.35. Как сделать правильно подмену адреса в mikrotik, чтобы сервер воспринимал запрос от клиента как из своей сети (к примеру подменить адрес на 192.168.3.37)? Уже поломал голову, как это сделать на mikrotik. Если кто сталкивался с такой проблемой прошу помощи... Share this post Link to post Share on other sites
lynx.palana Posted May 24, 2014 (edited) · Report post Както так :) /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.3.35 src-address=192.168.3.99 to-addresses=192.168.3.37 http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT Edited May 24, 2014 by lynx.palana Share this post Link to post Share on other sites
eugene_br Posted May 24, 2014 (edited) · Report post Както так :) /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.3.35 src-address=192.168.3.99 to-addresses=192.168.3.37 http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT Так вроде и сделал, даже на втором роутере вижу входящий адрес. Я так понимаю, обратки нет. И видимо ещё что то с prerouting и postrouting нужно мутить, только не пойму где) В общем просто таким образом ничего не работает. За вторым роутером Сервер должен думать что к нему клиент обращается из его же сети и отправлять ответы клиенту. Кто то делал такое? Edited May 26, 2014 by eugene_br Share this post Link to post Share on other sites
eugenesch Posted May 30, 2014 · Report post а где это правило написали? судя по всему надо на втором. ну и 37 адрес тоже на нем же должен быть. т.е. с 99 - хоп на первый микротик - хоп по туннелю на второй - там NAT (меняет адрес на свой 37)- хоп на сервер назад с сервера - хоп на 37(это второй микротик), он его разнатит в 99 - хоп по туннелю на первый - и дома. -------- ну есть еще варианты 1. если прога на сервере определяет свою сеть по маске, то почему б маску на сервере не расширить?? и статикой маршруты запилить на мелкие сети. 2. если уж совсем заартачится (ttl там проверяет или чтоб все клиенты по броадкасту рядом были или лимит есть на кол-во подкл с одного адреса) то - вынести сервер в отдельный влан, ну и бриджами по EoIP растянуть его на все сети 3. на сервере поднять эмм VPN сервер, ну там OpenVPN, ну а все клиенты будут ходить по адресу не 35, а который назначен у VPN сервера(10.8.0.1 скажем). вобщем с разных сторон можно зайти........ Share this post Link to post Share on other sites
lynx.palana Posted May 31, 2014 (edited) · Report post За вторым роутером Сервер должен думать что к нему клиент обращается из его же сети и отправлять ответы клиенту. Кто то делал такое? Для чего по ващему NAT придумали? :) Такое далал каждый кто инет через нат настраевал. Как по ващему, удаленный сервер знает кто там из внутреней сети с ним общается? Откуда запрос пришел туда он и отдастся. Только на интерфейсе куда ответ прилетает маскарад включите. см. http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT Source NAT If you want to "hide" the private LAN 192.168.0.0/24 "behind" one address 10.5.8.109 given to you by the ISP, you should use the source network address translation (masquerading) feature of the MikroTik router. The masquerading will change the source IP address and port of the packets originated from the network 192.168.0.0/24 to the address 10.5.8.109 of the router when the packet is routed through it. To use masquerading, a source NAT rule with action 'masquerade' should be added to the firewall configuration: /ip firewall nat add chain=srcnat action=masquerade out-interface=Public All outgoing connections from the network 192.168.0.0/24 will have source address 10.5.8.109 of the router and source port above 1024. И укажите что маскарад не для всех работает работает Edited May 31, 2014 by lynx.palana Share this post Link to post Share on other sites
eugene_br Posted June 2, 2014 · Report post За вторым роутером Сервер должен думать что к нему клиент обращается из его же сети и отправлять ответы клиенту. Кто то делал такое? Для чего по ващему NAT придумали? :) Такое далал каждый кто инет через нат настраевал. Как по ващему, удаленный сервер знает кто там из внутреней сети с ним общается? Откуда запрос пришел туда он и отдастся. Только на интерфейсе куда ответ прилетает маскарад включите. см. http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT Source NAT If you want to "hide" the private LAN 192.168.0.0/24 "behind" one address 10.5.8.109 given to you by the ISP, you should use the source network address translation (masquerading) feature of the MikroTik router. The masquerading will change the source IP address and port of the packets originated from the network 192.168.0.0/24 to the address 10.5.8.109 of the router when the packet is routed through it. To use masquerading, a source NAT rule with action 'masquerade' should be added to the firewall configuration: /ip firewall nat add chain=srcnat action=masquerade out-interface=Public All outgoing connections from the network 192.168.0.0/24 will have source address 10.5.8.109 of the router and source port above 1024. И укажите что маскарад не для всех работает работает не в тему... вопрос не об этом... а где это правило написали? судя по всему надо на втором. ну и 37 адрес тоже на нем же должен быть. т.е. с 99 - хоп на первый микротик - хоп по туннелю на второй - там NAT (меняет адрес на свой 37)- хоп на сервер назад с сервера - хоп на 37(это второй микротик), он его разнатит в 99 - хоп по туннелю на первый - и дома. -------- ну есть еще варианты 1. если прога на сервере определяет свою сеть по маске, то почему б маску на сервере не расширить?? и статикой маршруты запилить на мелкие сети. 2. если уж совсем заартачится (ttl там проверяет или чтоб все клиенты по броадкасту рядом были или лимит есть на кол-во подкл с одного адреса) то - вынести сервер в отдельный влан, ну и бриджами по EoIP растянуть его на все сети 3. на сервере поднять эмм VPN сервер, ну там OpenVPN, ну а все клиенты будут ходить по адресу не 35, а который назначен у VPN сервера(10.8.0.1 скажем). вобщем с разных сторон можно зайти........ тут надо попробовать. Идею понял :) Спасибо за совет! Share this post Link to post Share on other sites
