[Strasse]

Добрый день. Помогите пож-та разобраться в следующей проблеме. Имею: rb951g-2hnd, ROS 6.10

Схема сети:

Провайдер->MikroTik->Сервер (http, ftp и т п)

При обращении к моему серверу из вне (например при запросах юзеров к моему http серверу), микротик подменяет белые адреса юзеров (или публичных серверов), на свой собственный 192.168.88.1, в итоге мой сервер за микротиком видит, что все запросы с адреса микротика 192.168.88.1. В логах apache отображено, что все запросы к сайтам идут с 192.168.88.1.

Из-за этого в частности не работает сбор статистики на сайте по уникальным пользователям. Есть и другие минусы - почтовый сервер, видя что письма идут с одного ip может забанить его, то есть забанить микротик, или контроль доступа cms видя атаку по подбору паролей с адреса микротик (из за подмененного ip), также банит микротик.

В общем, помогите пож-та разобраться с этой проблемой, как сделать так, чтобы микротик не подменял белые публичные ip на свой, при пересылке запросов к серверу? Спасибо.

[fhntv_smart]

Ip/Fire/NAT в студию.

[Saab95]

НАТ нужно делать по src.address внутренней сети, тогда в него ничего попадать не будет при запросах извне.

[Strasse]

Saab95

НАТ нужно делать по src.address внутренней сети, тогда в него ничего попадать не будет при запросах извне.

Можно чуть поподробней? нужно прописать какое то scr-nat правило?

Вот что мне ответили на официальном форуме, помоему это то же, что говорите Вы.

You have to set up NAT correctly on your router. Specify outgoing interface on your router, so that srcnat rule is not translating incoming packets that you are dst-natting so they can reach your server.

 

That way, your server will see correct source IP addresses of the incoming traffic.

 

Пожалуйста скажите поподробней, какое правило и где прописать...

[Saab95]

Стираете все в нате, создаете новое правило, на первой вкладке в пункте src.address пишите вашу подсеть серых адресов, например 192.168.0.0/24, на вкладке action выбираете маскардинг. Вот и все дела.

[rizvan]

Стираете все в нате, создаете новое правило, на первой вкладке в пункте src.address пишите вашу подсеть серых адресов, например 192.168.0.0/24, на вкладке action выбираете маскардинг. Вот и все дела.

 

А если использовать несколько серых адресов в сети ?

[Saab95]

Тогда нужно создать несколько правил ната, либо использовать адреслисты.

[rdmitrich]

Поднимите VPN прямо с микротика до сервера, добавьте маршрут и будет вам счастье !!!

[Strasse]

Saab95

Стираете все в нате, создаете новое правило, на первой вкладке в пункте src.address пишите вашу подсеть серых адресов, например 192.168.0.0/24, на вкладке action выбираете маскардинг.

Извиняюсь что долго не отписывался по результату. Ваш совет помог - я прописал в правиле НАТа маскарадинге в Src.Address свою подсеть 192.168.88.0/24, и все - микротик перестал маскарадить внешние публичные адреса из вне в свой. Спасибо огромное!!!

Надеюсь данная ветка будет полезна другим. Спасибо.

[fiskunt]

Была недавно очень интересна проблема. Микротик CCR1016 (ось 6.15) натил icmp пакеты и только их. Через него пропущено 128 белых адресов разбитых на подсети /30. В NATе все эти адреса стояли в исключениях и вроде все казалось бы должны быть счастливы, но не тут то было. Оказалось что он натит icmp и почему то больше ничего. Как только я убрал белые адреса из исключений и указал Микре натить только серую подсеть проблема исчезла. С чем сие связано не знаю, но прошу всех учитывать возможность повторения такой ситуации.

Может ему простора не хватало? =)

Изменено 4 августа, 2014 пользователем fiskunt