Перейти к содержимому
Калькуляторы

Трансляция локальных адресов Mikrotik

Нужна помощь! Кто сталкивался? Есть два роутера Mikrotik, между ними ipip туннель. На каждом из роутеров есть внешний статический ip. За каждым из них своя сеть.

Задача такова:

ipip туннель между роутерами: 192.168.6.1 -> 192.168.6.2

За первым роутером сетка 192.168.3.96/29

За вторым роутером сетка 192.168.3.32/29

Во второй сетке есть сервер: 192.168.3.35 на котором крутится серверная часть программы которая принимает клиентов только из своей сети (такая вот программа:))

Из первой сети с адреса 192.168.3.99 запускается клиент к 192.168.3.35. Как сделать правильно подмену адреса в mikrotik, чтобы сервер воспринимал запрос от клиента как из своей сети (к примеру подменить адрес на 192.168.3.37)? Уже поломал голову, как это сделать на mikrotik. Если кто сталкивался с такой проблемой прошу помощи...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Както так :)

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.3.35 src-address=192.168.3.99 to-addresses=192.168.3.37

 

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

Изменено пользователем lynx.palana

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Както так :)

/ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.3.35 src-address=192.168.3.99 to-addresses=192.168.3.37

 

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

 

Так вроде и сделал, даже на втором роутере вижу входящий адрес. Я так понимаю, обратки нет. И видимо ещё что то с prerouting и postrouting нужно мутить, только не пойму где)

В общем просто таким образом ничего не работает. За вторым роутером Сервер должен думать что к нему клиент обращается из его же сети и отправлять ответы клиенту. Кто то делал такое?

Изменено пользователем eugene_br

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а где это правило написали?

судя по всему надо на втором. ну и 37 адрес тоже на нем же должен быть.

т.е.

с 99 - хоп на первый микротик - хоп по туннелю на второй - там NAT (меняет адрес на свой 37)- хоп на сервер

назад с сервера - хоп на 37(это второй микротик), он его разнатит в 99 - хоп по туннелю на первый - и дома.

--------

ну есть еще варианты

1. если прога на сервере определяет свою сеть по маске, то почему б маску на сервере не расширить?? и статикой маршруты запилить на мелкие сети.

2. если уж совсем заартачится (ttl там проверяет или чтоб все клиенты по броадкасту рядом были или лимит есть на кол-во подкл с одного адреса) то - вынести сервер в отдельный влан, ну и бриджами по EoIP растянуть его на все сети

3. на сервере поднять эмм VPN сервер, ну там OpenVPN, ну а все клиенты будут ходить по адресу не 35, а который назначен у VPN сервера(10.8.0.1 скажем).

вобщем с разных сторон можно зайти........

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За вторым роутером Сервер должен думать что к нему клиент обращается из его же сети и отправлять ответы клиенту. Кто то делал такое?

 

Для чего по ващему NAT придумали? :) Такое далал каждый кто инет через нат настраевал.

Как по ващему, удаленный сервер знает кто там из внутреней сети с ним общается?

Откуда запрос пришел туда он и отдастся. Только на интерфейсе куда ответ прилетает маскарад включите.

 

см. http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

Source NAT

If you want to "hide" the private LAN 192.168.0.0/24 "behind" one address 10.5.8.109 given
to you by the ISP, you should use the source network address translation (masquerading) feature of 
the MikroTik router. The masquerading will change the source IP address and port of the packets 
originated from the network 192.168.0.0/24 to the address 10.5.8.109 of the router when 
the packet is routed through it.

To use masquerading, a source NAT rule with action 'masquerade' should be added to the firewall configuration:

/ip firewall nat add chain=srcnat action=masquerade out-interface=Public

All outgoing connections from the network 192.168.0.0/24 will have source address 10.5.8.109 of the router and source port above 1024. 

 

И укажите что маскарад не для всех работает работает

Изменено пользователем lynx.palana

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За вторым роутером Сервер должен думать что к нему клиент обращается из его же сети и отправлять ответы клиенту. Кто то делал такое?

 

Для чего по ващему NAT придумали? :) Такое далал каждый кто инет через нат настраевал.

Как по ващему, удаленный сервер знает кто там из внутреней сети с ним общается?

Откуда запрос пришел туда он и отдастся. Только на интерфейсе куда ответ прилетает маскарад включите.

 

см. http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

Source NAT

If you want to "hide" the private LAN 192.168.0.0/24 "behind" one address 10.5.8.109 given
to you by the ISP, you should use the source network address translation (masquerading) feature of 
the MikroTik router. The masquerading will change the source IP address and port of the packets 
originated from the network 192.168.0.0/24 to the address 10.5.8.109 of the router when 
the packet is routed through it.

To use masquerading, a source NAT rule with action 'masquerade' should be added to the firewall configuration:

/ip firewall nat add chain=srcnat action=masquerade out-interface=Public

All outgoing connections from the network 192.168.0.0/24 will have source address 10.5.8.109 of the router and source port above 1024. 

 

И укажите что маскарад не для всех работает работает

не в тему... вопрос не об этом...

 

а где это правило написали?

судя по всему надо на втором. ну и 37 адрес тоже на нем же должен быть.

т.е.

с 99 - хоп на первый микротик - хоп по туннелю на второй - там NAT (меняет адрес на свой 37)- хоп на сервер

назад с сервера - хоп на 37(это второй микротик), он его разнатит в 99 - хоп по туннелю на первый - и дома.

--------

ну есть еще варианты

1. если прога на сервере определяет свою сеть по маске, то почему б маску на сервере не расширить?? и статикой маршруты запилить на мелкие сети.

2. если уж совсем заартачится (ttl там проверяет или чтоб все клиенты по броадкасту рядом были или лимит есть на кол-во подкл с одного адреса) то - вынести сервер в отдельный влан, ну и бриджами по EoIP растянуть его на все сети

3. на сервере поднять эмм VPN сервер, ну там OpenVPN, ну а все клиенты будут ходить по адресу не 35, а который назначен у VPN сервера(10.8.0.1 скажем).

вобщем с разных сторон можно зайти........

тут надо попробовать. Идею понял :) Спасибо за совет!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.