SKFREE

Troubleshooting - mikrotik verejna ip na routovanej sieti priamo na interface
Chalan - 06.01.2017 - 22:38
Post subject: mikrotik verejna ip na routovanej sieti priamo na interface
ako na to? mam gw na mikrotiku kde mam na wan porte nastaveny rozsah verejnych ip /24 povedzme 10.0.0.0/24. LAN port je nastaveny ako 192.168.216.1/24. Do lan portu je pripojeny switch do ktorych su strcene apcka. CPE klienta ma na WAN strane nastavenu ip 192.168.216.10/24 gw 192.168.216.1. LAN port ma 192.168.88.1./24 a bezi na nom NAT/masquerade.

na GW mam spraveny full nat 10.0.0.10 na 192.168.216.10 ale je s tym problem ak maju klienti nejaky server na ktory sa dostavaju z internetu ale aj z lokalnej siete. Ak sa pripajaju z lokalnej siete lezie traffic najskor na gw a potom spat co je neziaduce.

ako to spravit tak aby bola verejna ip nastavena priamo na CPE klienta na WAN porte a nemusel by sa robit fullnat?

Cital som nieco o proxy arp. Ma to niekto takto rozbehane? Nie je s tym ziaden problem? Poradil by mi niekto ako to zrealizovat?
JOFO - 06.01.2017 - 23:28
Post subject:
Ak chceš, aby ti pri natku neliezol lokálny trafik cez gw, potrebuješ pridať pred tie nat pravidlá masquerade na lokálnu ipcku klienta. Volá sa to Nat hairpin.
Chalan - 11.01.2017 - 10:45
Post subject:
dik, aj o tom som cital, este som nerieisl, skusim...

ako ale riesit klientov ktory si vyslovene ziadaju verejnu ip na svoj interface, proste tak aby si ju nastavili priamo na wan porte svojej brany?
JOFO - 11.01.2017 - 10:51
Post subject:
Asi iba naroutovat.. Alebo poslat ju cez VLANu az na klientske radio..
Chalan - 14.01.2017 - 21:30
Post subject:
skusam ten hairpin nat ale nejako mi to nefunguje... mam to nasledovne

na hlavnej gw mam full nat 10.10.10.3 na 192.168.69.32 (wan lokalneho routera za ktorym je server)

Code: › add action=netmap chain=srcnat comment=verejnaIP-merkur-vnet out-interface=\
    sfp1 src-address=192.168.69.32 to-addresses=10.10.10.3
add action=netmap chain=dstnat dst-address=10.10.10.3 to-addresses=\
    192.168.69.32


na lokalnom routery mam full nat 192.168.69.32 na 192.168.1.250 (co je lokalna ip servera)

Code: › add action=netmap chain=srcnat comment=nat-merkur src-address=192.168.1.250 \
    to-addresses=192.168.69.32
add action=netmap chain=dstnat dst-address=192.168.69.32 to-addresses=\
    192.168.1.250


hairping nat teda potrebujem nastavit priamo na lokalnom routery alebo aj na hlavnej brane?

na lokalnom som nastavil masquarade z 192.168.1.0/24 na 192.168.1.250...

Code: › add action=masquerade chain=srcnat comment="hairpin nat" dst-address=\
    192.168.1.250 out-interface=ether1 src-address=192.168.1.0/24

ale funguje to len ak dopytujem ip 192.168.69.32 ak dopytujem jeho vonkajsiu ip 10.10.10.3 neprechadzaju pakety...
JOFO - 14.01.2017 - 22:43
Post subject:
Hairpin musí byť na gw pred ostatnými nat pravidlami
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits