Jump to content
Калькуляторы

MiktoTik подменяет белые ip адреса на свой собственный

Добрый день. Помогите пож-та разобраться в следующей проблеме. Имею: rb951g-2hnd, ROS 6.10

Схема сети:

Провайдер->MikroTik->Сервер (http, ftp и т п)

При обращении к моему серверу из вне (например при запросах юзеров к моему http серверу), микротик подменяет белые адреса юзеров (или публичных серверов), на свой собственный 192.168.88.1, в итоге мой сервер за микротиком видит, что все запросы с адреса микротика 192.168.88.1. В логах apache отображено, что все запросы к сайтам идут с 192.168.88.1.

Из-за этого в частности не работает сбор статистики на сайте по уникальным пользователям. Есть и другие минусы - почтовый сервер, видя что письма идут с одного ip может забанить его, то есть забанить микротик, или контроль доступа cms видя атаку по подбору паролей с адреса микротик (из за подмененного ip), также банит микротик.

В общем, помогите пож-та разобраться с этой проблемой, как сделать так, чтобы микротик не подменял белые публичные ip на свой, при пересылке запросов к серверу? Спасибо.

Share this post


Link to post
Share on other sites

Saab95

НАТ нужно делать по src.address внутренней сети, тогда в него ничего попадать не будет при запросах извне.

Можно чуть поподробней? нужно прописать какое то scr-nat правило?

Вот что мне ответили на официальном форуме, помоему это то же, что говорите Вы.

You have to set up NAT correctly on your router. Specify outgoing interface on your router, so that srcnat rule is not translating incoming packets that you are dst-natting so they can reach your server.

 

That way, your server will see correct source IP addresses of the incoming traffic.

 

Пожалуйста скажите поподробней, какое правило и где прописать...

Share this post


Link to post
Share on other sites

Стираете все в нате, создаете новое правило, на первой вкладке в пункте src.address пишите вашу подсеть серых адресов, например 192.168.0.0/24, на вкладке action выбираете маскардинг. Вот и все дела.

Share this post


Link to post
Share on other sites

Стираете все в нате, создаете новое правило, на первой вкладке в пункте src.address пишите вашу подсеть серых адресов, например 192.168.0.0/24, на вкладке action выбираете маскардинг. Вот и все дела.

 

А если использовать несколько серых адресов в сети ?

Share this post


Link to post
Share on other sites

Поднимите VPN прямо с микротика до сервера, добавьте маршрут и будет вам счастье !!!

Share this post


Link to post
Share on other sites

Saab95

Стираете все в нате, создаете новое правило, на первой вкладке в пункте src.address пишите вашу подсеть серых адресов, например 192.168.0.0/24, на вкладке action выбираете маскардинг.

Извиняюсь что долго не отписывался по результату. Ваш совет помог - я прописал в правиле НАТа маскарадинге в Src.Address свою подсеть 192.168.88.0/24, и все - микротик перестал маскарадить внешние публичные адреса из вне в свой. Спасибо огромное!!!

Надеюсь данная ветка будет полезна другим. Спасибо.

Share this post


Link to post
Share on other sites

Была недавно очень интересна проблема. Микротик CCR1016 (ось 6.15) натил icmp пакеты и только их. Через него пропущено 128 белых адресов разбитых на подсети /30. В NATе все эти адреса стояли в исключениях и вроде все казалось бы должны быть счастливы, но не тут то было. Оказалось что он натит icmp и почему то больше ничего. Как только я убрал белые адреса из исключений и указал Микре натить только серую подсеть проблема исчезла. С чем сие связано не знаю, но прошу всех учитывать возможность повторения такой ситуации.

Может ему простора не хватало? =)

Edited by fiskunt

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.