Проброс портов через 3 роутера

[myster]

Добрый времени суток.

Такая ситуация.

Имеется: Ростелекомовский точка доступа с реальным айпа и 192.168.0.1 локальным адресом.

На фаирволе и нате этой точки всё зарулино на 192.168.0.2

Далее стоит микторик RB951G-2HnD с этим самым 192.168.0.2 на WAN порту и следующей за ним подсетью

192.168.1.0/24

На этот микротик цепляется по PPP удаленный офис с подсетью 192.168.2.0/24 .

С asus RT-N66U, который получает адрес с микротика 192.168.5.2 на VPN и рулит весь трафик на это соединение.

Что-бы видеть первую подсеть прописан маршрут:

 

192.168.2.0 * 255.255.255.0 U 0 0 0 LAN

default 192.168.5.1 0.0.0.0 UG 0 0 0 WAN

 

На микротике соответственно есть маршрут в vpn-ую подсеть:

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S 0.0.0.0/0 192.168.0.1 1

1 ADC 192.168.0.0/24 192.168.0.2 ether1-gateway 0

2 ADC 192.168.1.0/24 192.168.1.1 bridge-local 0

3 A S 192.168.2.0/24 192.168.5.2 1

4 ADC 192.168.5.2/32 192.168.5.1 pptp-tunnel 0

 

Все друг-дружку видят, в инет всё ходит.

 

В подсети 192.168.2.0/24 стоит сервер с апачем на адресе 192.168.2.50 и для того чтобы на него могли попасть

извне в нате микротика присутствует:

8 chain=dstnat action=dst-nat to-addresses=192.168.2.50 to-ports=80

protocol=tcp dst-address=192.168.0.2 dst-port=80

 

Проблема:

Когда лезешь на сайт с внешки, он грузится несколько секунд, прогружает текст и одну-две картинки и дальше не идёт.

Браузер крутит свои колёсики и можно ждать до бесконечности, но результата не будет.

При этом внутри обоих сетей сайт открывается влёт и никаких задержек не наблюдается.

 

Что можете подсказать где что покопать... у меня что-то мысли кончились :(

[myst]

а зачем такое извращение? может стоит оставить один проброс, остальное роутингом решить?

[NikAlexAn]

Как правило src-nat на микротике прописано?

[myster]

Как правило src-nat на микротике прописано?

 

Никак. Как надо?

 

а зачем такое извращение? может стоит оставить один проброс, остальное роутингом решить?

Что вы имеете ввиду под "извращением"? :)

Вероятно можно и по другому, я пока иного способа не вижу.

[danilbal]

Далее стоит микторик RB951G-2HnD с этим самым 192.168.0.2 на WAN порту и следующей за ним подсетью

192.168.1.0/24

NikAlexAn (Сегодня, 15:53) писал:

Как правило src-nat на микротике прописано?

Никак. Как надо?

У вас на микротике трансляция включена на интерфейсе с адресом 192.168.0.2? Если нет - зачем Вы делаете dst-nat без src-nat? Тогда надо просто прописать на ростелекомовском устройстве маршрут до сети 192.168.2.0/24 через шлюз 192.168.0.2

[Ivan_83]

Что можете подсказать где что покопать... у меня что-то мысли кончились :(

mss fix

[NikAlexAn]

 

Никак. Как надо?

Асус то на удалённой точке и тоже имеет белый IP?

Абоненты за асусом через что должны в инет выходить?

И абоненты микротика как в мир должны выходить?

[myster]

 

Никак. Как надо?

Асус то на удалённой точке и тоже имеет белый IP?

Абоненты за асусом через что должны в инет выходить?

И абоненты микротика как в мир должны выходить?

 

Асус с белым ип, его абоненты должны в мир ходить через vpn и так и ходят.

Абоненты микротика ходят в мир через ван микротика и следующий за ним ростелекомовский гавнодевайс :)

Edited September 25, 2014 by myster

[NikAlexAn]

Асус с белым ип, его абоненты должны в мир ходить через vpn и так и ходят.

Абоненты микротика ходят в мир через ван микротика и следующий за ним ростелекомовский гавнодевайс :)

Всё что идёт с внутренних для микротика и асуса адресов и выходит через внешний интерфейс микротика нужно натить(chain - src-nat, action - src-nat или masquerade).

[myster]

Всё решилось, всем большое спасибо! :)