Не работает NAT 1:1 (netmap правила) проброс публичного ip к серому.

[Anvar]

Привет ребята, помогите пожалуйста разобраться.

У меня пул белых ip. В принципе все работает кроме NAT 1:1, мне надо серому ip приклеить публичный. За маскарадингом cерые в инет ходят как положено.


Немного о конфигурации микротика
На внешнем интерфейсе прописаны белые адреса 66.64.28.2/26 по 66.64.28.62/26 в настройках интерфейса ARP - Enabled
Интерфейс во внутреннюю сеть 10.77.77.1/24
Гейт к провайдеру 66.64.28.1
Получилось привязать 1 из белых ip к своему компу - белый 66.64.28.26 к серому 10.77.77.26
Когда я создаю еще 2 правила srcnat и dnat, для следующего ip инет у него не работает. В правиле dnat ноль пакетов, хотя первые два работают как часы будто я не за NAT.
Например хочу добавить 66.64.28.29 к 10.77.77.29 и тишина. Пробовал просто не добавляя новые правила подставить .29 к рабочим правилам, вместо .26 просто .29 менял и нифига...

из 61 адреса работают частично 57 . 55 итд перебиал все 61 половина не работает. Ума не приложу почему так



Настройки natmap

masquerade (серые ip, которые не в адрес лист -netmap_ip) ходят через обычный маскарадинг.

/ip firewall nat add action=masquerade chain=srcnat src-address-list=!netmap_ip disabled=no out-interface=ether5


Netmap

/ip firewall nat add chain=srcnat src-address=10.77.77.26 action=netmap to-addresses=66.64.28.26

/ip firewall nat add chain=dstnat dst-address=66.64.28.26 action=netmap to-addresses=10.77.77.26


Добавление ip В адрес лист

/ip firewall address-list add list="netmap_ip" address=10.77.77.26

[midius]

/ip firewall nat add chain=srcnat src-address=10.77.77.26 action=netmap to-addresses=66.64.28.26

Попробуй так.
/ip firewall nat add chain=srcnat src-address=10.77.77.26 action=src-nat to-addresses=66.64.28.26

[Chupaka]

Masquerade в самом верху у вас? А если вниз передвинуть?

[Anvar]

Masquerade в самом верху у вас? А если вниз передвинуть?

Здравсвуйте, да маскарад в самом низу

[Chupaka]

Сдаётся мне, что не в правилах NAT у вас проблема, а в приёме пакетов на эти адреса. Через Tools -> Torch посмотрите на внешний интерфейс: приходят ли к вам пакеты, которые вы хотите DST-NAT'ом ловить?

[9-vladimir]

Если не трудно можно пару вопросов по данной теме
1. как повесить на 1 порт всю сеть 10.63.46.2-10.63.46.255?
Пока только этот вопрос интересует. Такой же вопрос возник с натом 1:1

[Chupaka]

Что вы понимаете под "повесить всю сеть"? Для чего это надо?

[9-vladimir]

Описываю ситуацию РТ провел нам интернет, по гос программе, выделил адреса своего сетевого сегмента 10.64.95.0/24. Раньше на 1 интерфейсе у нас был интернет с адресом 10.64.95.2 (он статичен). На нашем устройстве был поднят DHCP сервер 192.168.1.0/24. И все ходили через 1 адрес. Но теперь появилась такая необходимость сделать NAT 1:1
То есть надо на 1 интерфейсе поднять всю выделенную нам адресацию 10.64.95.0/24, а дальше путем NAT 1:1 распределить адреса.
Пример: 192.168.1.101 должен ходить под адресом 10.64.95.10, 192.168.1.102 должен ходить под адресом 10.64.95.11 и так далее. Всем кому необходимо РМ штук может 10-20

[Chupaka]

1) Уточнить, не может ли РТ смаршрутизировать вам подсеть через ваш единственный адрес - это будет гораздо проще настраивать и поддерживать
2) Если нет - можно попробовать поиграться с Local-Proxy-ARP на WAN-интерфейсе
3) Если опять нет - видимо, просто добавить все нужные адреса на WAN-интерфейс по одному

[9-vladimir]

Суть смысл данной программы доступ к интернету в организации: из криптошлюза выходит 1 провод и подключается либо к машрутизатору либо к неуправляемому свитчу. В 1 случае все ходят по 1 адрессу который назначаем на вход в маршрутизатор, но это работало когда у нас все ходили через прокси сервер РТ, далее с появлением дополнительных возможностей мы сделали еще 2 адресса в зависимости от задач. С приходом авторизации через Госуслуги - эта схема работала, но при обращении в техподдержку они увидели нат и намекнули что скоро так работать не будет. Выход сделать НАТ 1-1 по определенным адрессам, которому нужен доступ. Чисто теоретически в нашем распоряжении весь сетевой сегмент 10.64.95.0-10.64.95.254, то есть любой забираем делаем нат все остальные работают как и работали
Например, задача была открыть регистраторы. Как вижу
192.168.1.40 - 10.64.95.40
192.168.1.110- 10.64.95.110
Но возникает вопрос в другом, по инструкции на Микротик netmap 10.64.95.40 и 10.64.95.110 не пингуется.
Вот еще что предложили
/ip fi nat add src-address=10.64.95.40 action=dst-nat to-addresses=192.168.1.40 chain=dstnat
/ip fi nat add action=src-nat chain=srcnat src-address=192.168.1.40 out-interface-list=WAN to-addresses=10.64.95.40
Пингуется. Но нет подключения, но это в принципе я думаю решаемо.


PS что то накипело, разошелся

[Chupaka]

Ага, эмоций много, но мысли туманные

10.64.95.0 - это ведь вы так "белые" адреса замазали? Или всё же у провайдера они тоже НАТируются выше в реальные?.. Тогда избавление от одного из двух натов вам сильно ли улучшит картинку? %)

"по инструкции на Микротик netmap" - вот тут вообще непонятно. Приводите конктерные правила, тогда можно обсуждать, что где не пингуется

В целом, приведённая в конце пара правил должна нормально обрабатывать всё (даже если там action= заменить на netmap, что по сути одно и то же при указании адресов с маской /32, как в вашем случае)

[9-vladimir]

На вики микротик есть статья https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

Взял оттуда
/ip firewall nat add chain=dstnat dst-address=192.168.1.40 action=netmap to-addresses=10.64.95.40
/ip firewall nat add chain=srcnat src-address=10.64.95.40 action=netmap to-addresses=192.168.1.40
Не пингуется 10.64.95.40
/ip fi nat add src-address=10.64.95.40 action=dst-nat to-addresses=192.168.1.40 chain=dstnat
/ip fi nat add action=src-nat chain=srcnat src-address=192.168.1.40 out-interface-list=WAN to-addresses=10.64.95.40
Теперь тоже не пингуется 10.64.95.40

Но например 10.64.95.2 пингуется.

[9-vladimir]

10.64.95.0 - это ведь вы так "белые" адреса замазали? Или всё же у провайдера они тоже НАТируются выше в реальные?.. Тогда избавление от одного из двух натов вам сильно ли улучшит картинку? %)
РТ выдал пул адрессов, которые прописаны у них на устройстве мы можем взять любой и он будет работать, описываю что было раньше
10.64.95.2 - ходили по прокси, с контент фильтрацией
10.64.95.3 - ходили по прокси без фильтрации
10.64.95.4 - без прокси и без фильтрации.
Там стоит коробка которая отвечает за распределения инета. Фирма s terra. Далее они приравняли их всех к 2 правилам, если стоит прокси на компе он ходит по прокси, если нет введите данные от госуслуг для инета.
Рабочий конфиг у меня сконфигурирован на основном устройстве, там другая маленько адрессация, но смысл такой же. Я тестирую на другом устройстве.
NAT мой желательно не отключать он отвечает за многое в моей сети. Поэтому и прибегаем к НАТ 1 к 1, чтобы не развалилось мое

[Chupaka]

Теперь тоже не пингуется 10.64.95.40

Но например 10.64.95.2 пингуется.

А вы пингуете откуда? Из Интернета или из локалки?

А 10.64.95.2 - это что?

[9-vladimir]

10.64.95.2 - это на интерфейсе 1 поднят интернет с выделенного РТ адресов. Пингую из локальной сети. И в Микротике в самом.

[Chupaka]

Почитайте про Hairpin NAT. Проблема именно в том, что вы пингуете из локальной сети:

Пинг уходит с внутреннего адреса A на внешний В. NAT его меняет на внутренний Б - и получатель видит, что ему пришёл пакет от А к Б. Естественно, он отвечает напрямую А, этот пакет не проходит через роутер (максимум - через бридж, не меняясь), правило NAT не отрабатывает в обратную сторону - и машина А видит, что пинг она послала адресу В, а ответ пришёл от Б, поэтому ответ дропается как невалидный, а от В ничего не пришло - значит, таймаут.