Проброс трафика

Тема в разделе "Маршрутизация", создана пользователем Admin SPW, 2 июл 2015.

  1. Admin SPW

    Admin SPW Участник

    Добрый день,

    Дано: микротик. wan-2.2.2.2 , lan-192.168.88.1

    Проблемы:
    1)Не получается настроить проброс всего трафика который приходит на wan интерфейс без подмены src-address на адрес микротика(192.168.88.1). Например, узел 1.1.1.1 отправляет на wan микротика (2.2.2.2) запрос, где все пакеты перенаправляются на адрес 192.168.88.2(узел в сети), нужно что бы на адрес 192.168.88.2 приходил пакет с ip отправителя не 192.168.88.1(адрес микротика), а реальный ip (1.1.1.1)
    2)при обращении на wan ip микротика(2.2.2.2:*) с указанием порта, который проброшен в локальную сеть из локальной сети(192.168.88.0/24) запрос не отрабатывается, но при обращиении через интернет все работает корректно

    Вопрос: как настроить правильные правила для корректной работы данных схем?
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    не совсем понял схему. У вас у маршрутизатора один внешний адрес ?
     
  3. man_street

    man_street Новый участник

    Да, по одному внешнему и внутреннему адресу на маршрутизаторе, для локальной сети 192.168.88.0/24 является основным шлюзом в интернет
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    И как вы себе при этом представляете работу NAT, если вы все порты транслируете на один хост ?
    Цель какая ?
     
  5. man_street

    man_street Новый участник

    на роутерах типа д-линк\тп-линк\... это называется DMZ
    например, 951 микротик является точкой доступа которая раздает интернет по wi-fi, за ним RouterOS6.* x86 (является резервным каналом для 951), к которому подключено еще множество аналогичных маршрутизаторов
    Цель: сократить количество правил фильтрации, оставив на 951 функции роутера и базовую защиту, централизовать обращения из интернета на одном производительном маршрутизаторе, резервирование каналов интернета.
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Разберитесь с Hairpin NAT
    Вам надо сделать что-то вида
    Код:
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=1.1.1.1 to-addresses=2.2.2.2
    add action=masquerade chain=srcnat dst-address=1.1.1.1 src-address=2.2.2.0/24
    
    Где
    1.1.1.1 Внешний адрес
    2.2.2.2 адрес внутреннего хоста в DMZ
    2.2.2.0/24 адрес внутренней сети.