Strasse Posted July 7, 2014 · Report post Добрый день. Помогите пож-та разобраться в следующей проблеме. Имею: rb951g-2hnd, ROS 6.10 Схема сети: Провайдер->MikroTik->Сервер (http, ftp и т п) При обращении к моему серверу из вне (например при запросах юзеров к моему http серверу), микротик подменяет белые адреса юзеров (или публичных серверов), на свой собственный 192.168.88.1, в итоге мой сервер за микротиком видит, что все запросы с адреса микротика 192.168.88.1. В логах apache отображено, что все запросы к сайтам идут с 192.168.88.1. Из-за этого в частности не работает сбор статистики на сайте по уникальным пользователям. Есть и другие минусы - почтовый сервер, видя что письма идут с одного ip может забанить его, то есть забанить микротик, или контроль доступа cms видя атаку по подбору паролей с адреса микротик (из за подмененного ip), также банит микротик. В общем, помогите пож-та разобраться с этой проблемой, как сделать так, чтобы микротик не подменял белые публичные ip на свой, при пересылке запросов к серверу? Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fhntv_smart Posted July 7, 2014 · Report post Ip/Fire/NAT в студию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 7, 2014 · Report post НАТ нужно делать по src.address внутренней сети, тогда в него ничего попадать не будет при запросах извне. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Strasse Posted July 7, 2014 · Report post Saab95 НАТ нужно делать по src.address внутренней сети, тогда в него ничего попадать не будет при запросах извне. Можно чуть поподробней? нужно прописать какое то scr-nat правило?Вот что мне ответили на официальном форуме, помоему это то же, что говорите Вы. You have to set up NAT correctly on your router. Specify outgoing interface on your router, so that srcnat rule is not translating incoming packets that you are dst-natting so they can reach your server. That way, your server will see correct source IP addresses of the incoming traffic. Пожалуйста скажите поподробней, какое правило и где прописать... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 7, 2014 · Report post Стираете все в нате, создаете новое правило, на первой вкладке в пункте src.address пишите вашу подсеть серых адресов, например 192.168.0.0/24, на вкладке action выбираете маскардинг. Вот и все дела. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rizvan Posted July 7, 2014 · Report post Стираете все в нате, создаете новое правило, на первой вкладке в пункте src.address пишите вашу подсеть серых адресов, например 192.168.0.0/24, на вкладке action выбираете маскардинг. Вот и все дела. А если использовать несколько серых адресов в сети ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 8, 2014 · Report post Тогда нужно создать несколько правил ната, либо использовать адреслисты. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdmitrich Posted July 10, 2014 · Report post Поднимите VPN прямо с микротика до сервера, добавьте маршрут и будет вам счастье !!! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Strasse Posted July 31, 2014 · Report post Saab95 Стираете все в нате, создаете новое правило, на первой вкладке в пункте src.address пишите вашу подсеть серых адресов, например 192.168.0.0/24, на вкладке action выбираете маскардинг. Извиняюсь что долго не отписывался по результату. Ваш совет помог - я прописал в правиле НАТа маскарадинге в Src.Address свою подсеть 192.168.88.0/24, и все - микротик перестал маскарадить внешние публичные адреса из вне в свой. Спасибо огромное!!!Надеюсь данная ветка будет полезна другим. Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fiskunt Posted August 4, 2014 (edited) · Report post Была недавно очень интересна проблема. Микротик CCR1016 (ось 6.15) натил icmp пакеты и только их. Через него пропущено 128 белых адресов разбитых на подсети /30. В NATе все эти адреса стояли в исключениях и вроде все казалось бы должны быть счастливы, но не тут то было. Оказалось что он натит icmp и почему то больше ничего. Как только я убрал белые адреса из исключений и указал Микре натить только серую подсеть проблема исчезла. С чем сие связано не знаю, но прошу всех учитывать возможность повторения такой ситуации. Может ему простора не хватало? =) Edited August 4, 2014 by fiskunt Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...