Popsodav Posted August 25, 2014 Posted August 25, 2014 (edited) Есть такая задача для Микротика. Имеем некоторый сервер во внутренней сети компании (172.16.0.2). Микротик имеет внутренний адрес 172.16.0.1 и устанавливает PPPoE соединение к провайдеру с получаемым адресом 10.0.0.1. Необходимо: 1. завернуть весь входящий траффик из сети 1.2.3.0/24 с 10.1.1.1 на 172.16.0.2 2. трафик с 172.16.0.2 на подсеть 1.2.3.0/24 завернуть на это PPPoE соединение. Настроено через src-nat, dst-nat и mangle: [admin@MikroTik] > /ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 4 chain=dstnat action=dst-nat to-addresses=172.16.0.2 routing-mark=traffic-in 5 chain=srcnat action=src-nat to-addresses=10.1.1.1 routing-mark=traffic-out [admin@MikroTik] > /ip firewall mangle print Flags: X - disabled, I - invalid, D - dynamic 0 chain=prerouting action=mark-routing new-routing-mark=traffic-out passthrough=yes src-address=172.16.0.2 dst-address=1.2.3.0/24 1 chain=prerouting action=mark-routing new-routing-mark=traffic-in passthrough=yes src-address=1.2.3.0/24 dst-address=10.1.1.1 И вроде бы всё даже работает, но: 1. В статистику правил фаервола попадает очень мало пакетов (хотя в mangle они все отображаются) 2. Почему то трафик с адреса 1.2.3.27 не доходит до 172.16.0.2. на 172.16.0.2 запускаю пинг до 1.2.3.27, таймаут. сделал tcpdump на микротике - ответ на пинг от 27 возвращается, микротик не роутит его дальше. с другими адресами из сети 1.2.3.0/24 такой проблемы нет. 3. Иногда перестаёт ходить траффик с адреса 1.2.3.4 на 172.16.0.2. из сети 1.2.3.4 видно, что мой микротик реджектит этот траффик. Может быть я некорректно настроил NAT\MANGLE для такой задачи? Заранее спасибо за помощь. Edited August 25, 2014 by Popsodav Вставить ник Quote
lynx.palana Posted August 25, 2014 Posted August 25, 2014 что-то Вы намудрили... тут маршруты прописать нужно смотрите кто у кого шлюз если 172.16.0.1 для 172.16.0.2 не шлюз по умолчанию, однозначно говорим ему что за 172.16.0.1 есть подсеть 1.2.3.0/24 Для 1.2.3.0/24 не понятно как подсеть связанна с 10.0.0.1 и что за адрес 10.1.1.1 Вставить ник Quote
Popsodav Posted August 25, 2014 Author Posted August 25, 2014 10.1.1.1 везде должен быть, очепятка. на 172.16.0.2 роутинг идёт через 172.16.0.1, всё ок. смущает то, что проблема именно с одним адресом из сети 1.2.3.0/24... Вставить ник Quote
lynx.palana Posted August 26, 2014 Posted August 26, 2014 так на этом одном адресе, проблему и смотрите :) Вставить ник Quote
Popsodav Posted August 26, 2014 Author Posted August 26, 2014 Проблема в том, что на Микротик пакеты с этого 27 хоста приходят без каких либо проблем. Микротик дальше их не роутит. Есть ли какая-нибудь возможность в Микротике сделать трассировку прохождения пакета внутри него по фаерволу \ правилам роутинга? Вставить ник Quote
lynx.palana Posted August 26, 2014 Posted August 26, 2014 (edited) Правила в миктротике еще есть какие? экспорт правил сделайте... Трассировка внутри фаервола хз, а такое гдето есть вобще? Есть блок-схема как в микрутике хотят пакеты, и смотрим правила Edited August 26, 2014 by lynx.palana Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.