eugene_br Опубликовано 23 мая, 2014 · Жалоба Нужна помощь! Кто сталкивался? Есть два роутера Mikrotik, между ними ipip туннель. На каждом из роутеров есть внешний статический ip. За каждым из них своя сеть. Задача такова: ipip туннель между роутерами: 192.168.6.1 -> 192.168.6.2 За первым роутером сетка 192.168.3.96/29 За вторым роутером сетка 192.168.3.32/29 Во второй сетке есть сервер: 192.168.3.35 на котором крутится серверная часть программы которая принимает клиентов только из своей сети (такая вот программа:)) Из первой сети с адреса 192.168.3.99 запускается клиент к 192.168.3.35. Как сделать правильно подмену адреса в mikrotik, чтобы сервер воспринимал запрос от клиента как из своей сети (к примеру подменить адрес на 192.168.3.37)? Уже поломал голову, как это сделать на mikrotik. Если кто сталкивался с такой проблемой прошу помощи... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lynx.palana Опубликовано 24 мая, 2014 (изменено) · Жалоба Както так :) /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.3.35 src-address=192.168.3.99 to-addresses=192.168.3.37 http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT Изменено 24 мая, 2014 пользователем lynx.palana Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eugene_br Опубликовано 24 мая, 2014 (изменено) · Жалоба Както так :) /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.3.35 src-address=192.168.3.99 to-addresses=192.168.3.37 http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT Так вроде и сделал, даже на втором роутере вижу входящий адрес. Я так понимаю, обратки нет. И видимо ещё что то с prerouting и postrouting нужно мутить, только не пойму где) В общем просто таким образом ничего не работает. За вторым роутером Сервер должен думать что к нему клиент обращается из его же сети и отправлять ответы клиенту. Кто то делал такое? Изменено 26 мая, 2014 пользователем eugene_br Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eugenesch Опубликовано 30 мая, 2014 · Жалоба а где это правило написали? судя по всему надо на втором. ну и 37 адрес тоже на нем же должен быть. т.е. с 99 - хоп на первый микротик - хоп по туннелю на второй - там NAT (меняет адрес на свой 37)- хоп на сервер назад с сервера - хоп на 37(это второй микротик), он его разнатит в 99 - хоп по туннелю на первый - и дома. -------- ну есть еще варианты 1. если прога на сервере определяет свою сеть по маске, то почему б маску на сервере не расширить?? и статикой маршруты запилить на мелкие сети. 2. если уж совсем заартачится (ttl там проверяет или чтоб все клиенты по броадкасту рядом были или лимит есть на кол-во подкл с одного адреса) то - вынести сервер в отдельный влан, ну и бриджами по EoIP растянуть его на все сети 3. на сервере поднять эмм VPN сервер, ну там OpenVPN, ну а все клиенты будут ходить по адресу не 35, а который назначен у VPN сервера(10.8.0.1 скажем). вобщем с разных сторон можно зайти........ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lynx.palana Опубликовано 31 мая, 2014 (изменено) · Жалоба За вторым роутером Сервер должен думать что к нему клиент обращается из его же сети и отправлять ответы клиенту. Кто то делал такое? Для чего по ващему NAT придумали? :) Такое далал каждый кто инет через нат настраевал. Как по ващему, удаленный сервер знает кто там из внутреней сети с ним общается? Откуда запрос пришел туда он и отдастся. Только на интерфейсе куда ответ прилетает маскарад включите. см. http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT Source NAT If you want to "hide" the private LAN 192.168.0.0/24 "behind" one address 10.5.8.109 given to you by the ISP, you should use the source network address translation (masquerading) feature of the MikroTik router. The masquerading will change the source IP address and port of the packets originated from the network 192.168.0.0/24 to the address 10.5.8.109 of the router when the packet is routed through it. To use masquerading, a source NAT rule with action 'masquerade' should be added to the firewall configuration: /ip firewall nat add chain=srcnat action=masquerade out-interface=Public All outgoing connections from the network 192.168.0.0/24 will have source address 10.5.8.109 of the router and source port above 1024. И укажите что маскарад не для всех работает работает Изменено 31 мая, 2014 пользователем lynx.palana Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
eugene_br Опубликовано 2 июня, 2014 · Жалоба За вторым роутером Сервер должен думать что к нему клиент обращается из его же сети и отправлять ответы клиенту. Кто то делал такое? Для чего по ващему NAT придумали? :) Такое далал каждый кто инет через нат настраевал. Как по ващему, удаленный сервер знает кто там из внутреней сети с ним общается? Откуда запрос пришел туда он и отдастся. Только на интерфейсе куда ответ прилетает маскарад включите. см. http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT Source NAT If you want to "hide" the private LAN 192.168.0.0/24 "behind" one address 10.5.8.109 given to you by the ISP, you should use the source network address translation (masquerading) feature of the MikroTik router. The masquerading will change the source IP address and port of the packets originated from the network 192.168.0.0/24 to the address 10.5.8.109 of the router when the packet is routed through it. To use masquerading, a source NAT rule with action 'masquerade' should be added to the firewall configuration: /ip firewall nat add chain=srcnat action=masquerade out-interface=Public All outgoing connections from the network 192.168.0.0/24 will have source address 10.5.8.109 of the router and source port above 1024. И укажите что маскарад не для всех работает работает не в тему... вопрос не об этом... а где это правило написали? судя по всему надо на втором. ну и 37 адрес тоже на нем же должен быть. т.е. с 99 - хоп на первый микротик - хоп по туннелю на второй - там NAT (меняет адрес на свой 37)- хоп на сервер назад с сервера - хоп на 37(это второй микротик), он его разнатит в 99 - хоп по туннелю на первый - и дома. -------- ну есть еще варианты 1. если прога на сервере определяет свою сеть по маске, то почему б маску на сервере не расширить?? и статикой маршруты запилить на мелкие сети. 2. если уж совсем заартачится (ttl там проверяет или чтоб все клиенты по броадкасту рядом были или лимит есть на кол-во подкл с одного адреса) то - вынести сервер в отдельный влан, ну и бриджами по EoIP растянуть его на все сети 3. на сервере поднять эмм VPN сервер, ну там OpenVPN, ну а все клиенты будут ходить по адресу не 35, а который назначен у VPN сервера(10.8.0.1 скажем). вобщем с разных сторон можно зайти........ тут надо попробовать. Идею понял :) Спасибо за совет! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...