Вечер добрый!
Не могу разобраться в проблеме src nat и mangle.
Есть видео регистратор (88.2) и 2 провайдера
через первого провайдер все отлично, и доступ на микротик есть и регистратор доступен, через второго провайдера доступ к микротику есть, а доступа к регистратору нет...
правило маркировки точно работает... а вот нат после маркировки не пашет, на других железках в подобных конфигурациях все ок, прошивка 42.9 и 42.10
/ip firewall mangle
add action=mark-connection chain=forward in-interface=dub_to_ys_man \
new-connection-mark=to_man_eoip-f passthrough=yes
add action=mark-connection chain=input dst-address=89.248.2хх.хх \
new-connection-mark=to_man_eoip passthrough=yes
add action=mark-routing chain=output connection-mark=to_man_eoip \
new-routing-mark=to_eoip_man_dub passthrough=no
add action=mark-routing chain=prerouting connection-mark=to_man_eoip-f \
new-routing-mark=to_eoip_man_dub passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=dub_to_ys_man src-address=\
192.168.88.2
src nat и mangle
-
- Сообщения: 5
- Зарегистрирован: 03 дек 2018, 21:34
Re: src nat и mangle
Сам разобрался, как ни странно, трафик стал натится когда поправил
add action=mark-routing chain=prerouting connection-mark=to_man_eoip-f \
in-interface=vlan403 new-routing-mark=to_eoip_man_dub passthrough=yes
добавил in-interface=vlan403
На предыдущих прошивках 6.19 и 6.20 работало и без этого
add action=mark-routing chain=prerouting connection-mark=to_man_eoip-f \
in-interface=vlan403 new-routing-mark=to_eoip_man_dub passthrough=yes
добавил in-interface=vlan403
На предыдущих прошивках 6.19 и 6.20 работало и без этого
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: src nat и mangle
А проблема точно была в НАТе? Потому что in-interface=XXX ограничивает область действия правила пакетами только в одну сторону, иначе даже пакеты во втором направлении тоже будут маркироваться и отправляться, по-видимому, обратно, откуда пришли.
-
- Сообщения: 5
- Зарегистрирован: 03 дек 2018, 21:34
Re: src nat и mangle
Я их видел на следующем маршрутизаторе, в неизменном виде, там где должен был быть ип 89.248.ххх.ххх прилетел трафик 192.168.88.2
Там стоит lte свисток, поверх поднимается с резервного канала vpn, далее внутри eoip c белой подсеткой, по этому на другом конце туннеля можно отловить весь трафик, и вот там был трафик от 192.168.88.2.....
Получается цепочка перепрыгивала правила ната... если бы они просто вернулись, насколько я понимаю, они должны быть с сурсом 89.248.ххх.ххх
Там стоит lte свисток, поверх поднимается с резервного канала vpn, далее внутри eoip c белой подсеткой, по этому на другом конце туннеля можно отловить весь трафик, и вот там был трафик от 192.168.88.2.....
Получается цепочка перепрыгивала правила ната... если бы они просто вернулись, насколько я понимаю, они должны быть с сурсом 89.248.ххх.ххх
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: src nat и mangle
А зачем вы натируете только src-address=192.168.88.2? Почему не весь трафик на данном интерфейсе?
Трафик от 192.168.* мог быть при закрытии соединения, если не дропать invalid-пакеты.
Трафик от 192.168.* мог быть при закрытии соединения, если не дропать invalid-пакеты.
-
- Сообщения: 5
- Зарегистрирован: 03 дек 2018, 21:34
Re: src nat и mangle
Остальной трафик улетает на прямую через LTE свисток, она натится на него, а для видеорегистратора нужен белый ип, что бы камеры смотреть, тогда падает опта и основной канал
Схема такая
есть 2 аплинка, опта и lte
на опте белый ip статитка
на lte белого ip нет
Приходится подномать vpn + eoip (с белой подсетью) через него , плюс еще vpn для мониторинга железа за роутером,
правило дропающее invalid-пакеты есть.
Скорее всего в прошивке 6.19 немного по другому работает, просто там нет возможности проверить что-то поменяв...
проведу на днях эксперимент на другой железке)
Схема такая
есть 2 аплинка, опта и lte
на опте белый ip статитка
на lte белого ip нет
Приходится подномать vpn + eoip (с белой подсетью) через него , плюс еще vpn для мониторинга железа за роутером,
правило дропающее invalid-пакеты есть.
Скорее всего в прошивке 6.19 немного по другому работает, просто там нет возможности проверить что-то поменяв...
проведу на днях эксперимент на другой железке)
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: src nat и mangle
Спрошу с другой стороны: есть трафик, улетающий в dub_to_ys_man, который НЕ надо маскарадить?
-
- Сообщения: 5
- Зарегистрирован: 03 дек 2018, 21:34
Re: src nat и mangle
Такой трафик есть, это snmp, и куча всякой служебной мелочевки, backup с железок, вещи работающие по роутингу
Один VPN перепрыгивает с канала на канал в зависимости от текущего роутинга, другой постоянно висит с LTE
Только к видеорегистратору нужен доступ из любой точки планеты))) А остальное по роутингу бегает)
Один VPN перепрыгивает с канала на канал в зависимости от текущего роутинга, другой постоянно висит с LTE
Только к видеорегистратору нужен доступ из любой точки планеты))) А остальное по роутингу бегает)
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: src nat и mangle
Ну, строго говоря, для доступа к ресурсу на сером адресе src-nat не нужен. Нужен только dst-nat и обратные пакеты через тот же роутер, что делает этот dst-nat...