Jump to content
Калькуляторы

Трансляция локальных адресов Mikrotik

Нужна помощь! Кто сталкивался? Есть два роутера Mikrotik, между ними ipip туннель. На каждом из роутеров есть внешний статический ip. За каждым из них своя сеть.

Задача такова:

ipip туннель между роутерами: 192.168.6.1 -> 192.168.6.2

За первым роутером сетка 192.168.3.96/29

За вторым роутером сетка 192.168.3.32/29

Во второй сетке есть сервер: 192.168.3.35 на котором крутится серверная часть программы которая принимает клиентов только из своей сети (такая вот программа:))

Из первой сети с адреса 192.168.3.99 запускается клиент к 192.168.3.35. Как сделать правильно подмену адреса в mikrotik, чтобы сервер воспринимал запрос от клиента как из своей сети (к примеру подменить адрес на 192.168.3.37)? Уже поломал голову, как это сделать на mikrotik. Если кто сталкивался с такой проблемой прошу помощи...

Share this post


Link to post
Share on other sites

Както так :)

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.3.35 src-address=192.168.3.99 to-addresses=192.168.3.37

 

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

 

Так вроде и сделал, даже на втором роутере вижу входящий адрес. Я так понимаю, обратки нет. И видимо ещё что то с prerouting и postrouting нужно мутить, только не пойму где)

В общем просто таким образом ничего не работает. За вторым роутером Сервер должен думать что к нему клиент обращается из его же сети и отправлять ответы клиенту. Кто то делал такое?

Edited by eugene_br

Share this post


Link to post
Share on other sites

а где это правило написали?

судя по всему надо на втором. ну и 37 адрес тоже на нем же должен быть.

т.е.

с 99 - хоп на первый микротик - хоп по туннелю на второй - там NAT (меняет адрес на свой 37)- хоп на сервер

назад с сервера - хоп на 37(это второй микротик), он его разнатит в 99 - хоп по туннелю на первый - и дома.

--------

ну есть еще варианты

1. если прога на сервере определяет свою сеть по маске, то почему б маску на сервере не расширить?? и статикой маршруты запилить на мелкие сети.

2. если уж совсем заартачится (ttl там проверяет или чтоб все клиенты по броадкасту рядом были или лимит есть на кол-во подкл с одного адреса) то - вынести сервер в отдельный влан, ну и бриджами по EoIP растянуть его на все сети

3. на сервере поднять эмм VPN сервер, ну там OpenVPN, ну а все клиенты будут ходить по адресу не 35, а который назначен у VPN сервера(10.8.0.1 скажем).

вобщем с разных сторон можно зайти........

Share this post


Link to post
Share on other sites

За вторым роутером Сервер должен думать что к нему клиент обращается из его же сети и отправлять ответы клиенту. Кто то делал такое?

 

Для чего по ващему NAT придумали? :) Такое далал каждый кто инет через нат настраевал.

Как по ващему, удаленный сервер знает кто там из внутреней сети с ним общается?

Откуда запрос пришел туда он и отдастся. Только на интерфейсе куда ответ прилетает маскарад включите.

 

см. http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

Source NAT

If you want to "hide" the private LAN 192.168.0.0/24 "behind" one address 10.5.8.109 given
to you by the ISP, you should use the source network address translation (masquerading) feature of 
the MikroTik router. The masquerading will change the source IP address and port of the packets 
originated from the network 192.168.0.0/24 to the address 10.5.8.109 of the router when 
the packet is routed through it.

To use masquerading, a source NAT rule with action 'masquerade' should be added to the firewall configuration:

/ip firewall nat add chain=srcnat action=masquerade out-interface=Public

All outgoing connections from the network 192.168.0.0/24 will have source address 10.5.8.109 of the router and source port above 1024. 

 

И укажите что маскарад не для всех работает работает

Edited by lynx.palana

Share this post


Link to post
Share on other sites

За вторым роутером Сервер должен думать что к нему клиент обращается из его же сети и отправлять ответы клиенту. Кто то делал такое?

 

Для чего по ващему NAT придумали? :) Такое далал каждый кто инет через нат настраевал.

Как по ващему, удаленный сервер знает кто там из внутреней сети с ним общается?

Откуда запрос пришел туда он и отдастся. Только на интерфейсе куда ответ прилетает маскарад включите.

 

см. http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

Source NAT

If you want to "hide" the private LAN 192.168.0.0/24 "behind" one address 10.5.8.109 given
to you by the ISP, you should use the source network address translation (masquerading) feature of 
the MikroTik router. The masquerading will change the source IP address and port of the packets 
originated from the network 192.168.0.0/24 to the address 10.5.8.109 of the router when 
the packet is routed through it.

To use masquerading, a source NAT rule with action 'masquerade' should be added to the firewall configuration:

/ip firewall nat add chain=srcnat action=masquerade out-interface=Public

All outgoing connections from the network 192.168.0.0/24 will have source address 10.5.8.109 of the router and source port above 1024. 

 

И укажите что маскарад не для всех работает работает

не в тему... вопрос не об этом...

 

а где это правило написали?

судя по всему надо на втором. ну и 37 адрес тоже на нем же должен быть.

т.е.

с 99 - хоп на первый микротик - хоп по туннелю на второй - там NAT (меняет адрес на свой 37)- хоп на сервер

назад с сервера - хоп на 37(это второй микротик), он его разнатит в 99 - хоп по туннелю на первый - и дома.

--------

ну есть еще варианты

1. если прога на сервере определяет свою сеть по маске, то почему б маску на сервере не расширить?? и статикой маршруты запилить на мелкие сети.

2. если уж совсем заартачится (ttl там проверяет или чтоб все клиенты по броадкасту рядом были или лимит есть на кол-во подкл с одного адреса) то - вынести сервер в отдельный влан, ну и бриджами по EoIP растянуть его на все сети

3. на сервере поднять эмм VPN сервер, ну там OpenVPN, ну а все клиенты будут ходить по адресу не 35, а который назначен у VPN сервера(10.8.0.1 скажем).

вобщем с разных сторон можно зайти........

тут надо попробовать. Идею понял :) Спасибо за совет!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this