Ещё раз про NAT

Базовая функциональность RouterOS
Ответить
Alex2019
Сообщения: 16
Зарегистрирован: 22 авг 2019, 15:17

Ещё раз про NAT

Сообщение Alex2019 »

Добрый день! Есть небольшая загвоздка. Имеется MikroTik RB4011iGS+
На нём настроен VPN 1 с районами (10.1.0.0, 10.1.1.0, 10.1.2.0 и 10.1.3.0). Ещё есть модем ZTE (10.10.1.1), на котором VPN 2 с возможным доступом к программе только под одним IP 10.10.1.2 (адрес программы 99.99.99.99). Подскажите, пожалуйста, как именно настроить NAT, чтобы из MikroTik'a все районы могли достучаться до модема ZTE и шли под IP 10.10.1.2 для работы с программой.
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Ещё раз про NAT

Сообщение Chupaka »

Добрый. Адрес 10.10.1.2 кому принадлежит? Как модем подключен к роутеру?
Alex2019
Сообщения: 16
Зарегистрирован: 22 авг 2019, 15:17

Re: Ещё раз про NAT

Сообщение Alex2019 »

Chupaka писал(а): 22 авг 2019, 16:31 Добрый. Адрес 10.10.1.2 кому принадлежит? Как модем подключен к роутеру?
Через UTP ZTE подключен к MikroTik, прописан в Adresses и добавлен в общий Bridge. IP получается наш локальный, одному из компьютеров принадлежит, где клиент программы установлен. Мы сами его задаём. Но должен быть именно такой, так как на их стороне по VPN 2 он разрешённый
Alex2019
Сообщения: 16
Зарегистрирован: 22 авг 2019, 15:17

Re: Ещё раз про NAT

Сообщение Alex2019 »

Chupaka писал(а): 22 авг 2019, 16:31 Добрый. Адрес 10.10.1.2 кому принадлежит? Как модем подключен к роутеру?
Сейчас вот так настроен маршрут, адрес и NAT
Вложения
1.jpg
1.jpg (52.46 КБ) 1116 просмотров
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Ещё раз про NAT

Сообщение Chupaka »

Ну, в целом, так и должно работать, если трафик в обе стороны проходит через роутер. Загвоздка может быть в том, что модем отправляет ответы напрямую на 10.10.1.2, поэтому роутер не может разнатировать соединение. Вижу два варианта решения проблемы:
1) Перевесить адрес 10.10.1.2 на роутер, а текущему клиенту 10.10.1.2 выдать любой другой.
2) Костыль в виде

Код: Выделить всё

/interface bridge nat
add action=redirect chain=dstnat mac-protocol=ip src-address=99.99.99.99/32
- это должно направлять ответы на IP-интерфейс роутера, после чего обратный NAT должен отработать.
Alex2019
Сообщения: 16
Зарегистрирован: 22 авг 2019, 15:17

Re: Ещё раз про NAT

Сообщение Alex2019 »

Chupaka писал(а): 23 авг 2019, 11:43 Ну, в целом, так и должно работать, если трафик в обе стороны проходит через роутер. Загвоздка может быть в том, что модем отправляет ответы напрямую на 10.10.1.2, поэтому роутер не может разнатировать соединение. Вижу два варианта решения проблемы:
1) Перевесить адрес 10.10.1.2 на роутер, а текущему клиенту 10.10.1.2 выдать любой другой.
2) Костыль в виде

Код: Выделить всё

/interface bridge nat
add action=redirect chain=dstnat mac-protocol=ip src-address=99.99.99.99/32
- это должно направлять ответы на IP-интерфейс роутера, после чего обратный NAT должен отработать.
Достучаться получилось вот с такими настройками. Трасерт проходит весь маршрут. Подмена IP сработала. Только тут сама программа раньше писала, что проверьте подключение, а сейчас уже пишет, что доступ запрещён, типа не правильный логин или пароль. Возможно какая-то идентификация IP идёт ещё дальше. Будем уже на стороне их сервера разбираться.
Вложения
1.jpg
1.jpg (139.5 КБ) 1113 просмотров
Alex2019
Сообщения: 16
Зарегистрирован: 22 авг 2019, 15:17

Re: Ещё раз про NAT

Сообщение Alex2019 »

Но идея у Вас интересная. Попробую по Вашему варианту, может сейчас всё заработает.
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Ещё раз про NAT

Сообщение Chupaka »

Идея про костыль? Ибо первый вариант, я так понимаю, вы сами и реализовали :)
Alex2019
Сообщения: 16
Зарегистрирован: 22 авг 2019, 15:17

Re: Ещё раз про NAT

Сообщение Alex2019 »

Chupaka писал(а): 23 авг 2019, 11:51 Идея про костыль? Ибо первый вариант, я так понимаю, вы сами и реализовали :)
Да, идея про костыль. Реально присвоить роутеру 10.10.1.2 и просто все запросы к 99.х.х.х перенаправлять на роутер. Только немного доделать костыль)) По-быстрому не сработал. Надо продумать немного детали
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Ещё раз про NAT

Сообщение Chupaka »

Alex2019 писал(а): 23 авг 2019, 12:01 Реально присвоить роутеру 10.10.1.2
Это первый пункт, а не костыль %) Костыль как раз для случая, когда трафик от ZTE к 10.10.1.2 бегает на втором уровне через бридж и не попадает на IP-уровень роутера...
Ответить