+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Вопросы о маскировке и правилах NAT Hey, Just wanted to ask a couple of quick things about masquerading and NAT rules, since I'm still wrapping my head around it all. * Scenario 1: Internal Server Access Let's say I have a web server running inte

Вопросы о маскировке и правилах NAT Hey, Just wanted to ask a couple of quick things about masquerading and NAT rules, since I'm still wrapping my head around it all. * **Scenario 1: Internal Server Access** Let's say I have a web server running inte, RouterOS

Wyoming

Guest

03.12.2004 15:54:00

Пытаюсь настроить Mikrotik с кучей правил NAT и masquerading. Есть несколько вопросов по возможностям этого устройства. Во-первых, какие ограничения на количество подключений для NAT и masquerading у Mikrotik? Во-вторых, у нас есть блоки приватных IP-адресов, которые нужно маскировать под несколько публичных IP-адресов. Как это сделать? Например, блок IP-адресов 192.168.1.0/24 нужно маскировать под X.X.1.0/28, а затем 192.168.2.0/24 нужно маскировать под X.X.2.0/28 и так далее. Если на интерфейсе указано несколько IP-адресов, есть ли способ выбрать, какие из них будет использовать правило masquerade? Ещё мы хотели бы узнать, какие таймауты подключения для NAT и masquerading? Спасибо.

YazzY Guest	#2 0 03.12.2004 16:30:00 Я думаю, тебе нужен Source NAT. Ты можешь настроить Source NAT для одного IP-адреса или диапазона адресов на определенном интерфейсе, чтобы они выходили под конкретный IP.

Wyoming Guest	#3 0 09.12.2004 00:23:00 У нас вроде как SRC-NAT правила заработали, но пользователи не могут зайти на AIM и Secure Web-сайты. Кто-нибудь может подсказать, почему так происходит? Спасибо.

mag

Guest

09.12.2004 07:29:00

Какая версия прошивки используется? У меня были похожие проблемы с некоторыми страницами, которые оказались вызваны конкретным провайдером (traffic shaping). Masquerading – это маскировка, подразумевающая сопоставление множества приватных IP-адресов к одному публичному IP-адресу. http://www.mikrotik.com/Documentation/HowTo.html#How_dstnat ; dst-nat:
src-address=10.0.0.0/24 dst-address=192.168.250.0/24 action=nat

; src-nat:
src-address=192.168.250.0/24 dst-address=10.1.1.0/24 action=nat должно обеспечить отображение IP-адресов один к одному, в зависимости от входящих dst- и src-адресов.
С уважением, Маттиас

_ASM Guest	#5 0 09.12.2004 09:03:00 Попробуй: `/ip firewall src-nat add src-address=192.168.1.0/24 action=nat to-dst-address=xxx.yyy.1.1-xxx.yyy.1.15`

mag Guest	#6 0 09.12.2004 10:45:00 /ip firewall src-nat add src-address=192.168.1.0/24 action=nat to-dst-address=xxx.yyy.1.1-xxx.yyy.1.15 где xxx.yyy — публичная часть, полагаю. Автоматически создаст ли это обратное отображение (dst-nat)? (Эту штуку плохо документируют) С уважением, Маттиас.

_ASM Guest	#7 0 09.12.2004 12:46:00 Да. Совершенно верно.

Wyoming

Guest

09.12.2004 15:36:00

Сейчас работаем с кодом версии 2.8.17, но у меня есть тестовая среда с 2.8.19, и там наблюдается такое же поведение. Правила у нас настроены следующим образом: используем Mangle для маркировки трафика с помощью flow marks.

0 src-address=x.x.128.0/21 in-interface=Border action=passthrough mark-flow=mark1
1 src-address=x.x.136.0/23 in-interface=Border action=passthrough mark-flow=mark1

Затем используем scr-nat для NAT трафика.
out-interface=To 7206 flow=mark1 action=nat to-src-address=y.y.105.214-y.y.105.254

У нас много подобных правил для разных клиентов. Shaping на этой линии отсутствует, кроме ограничений, создаваемых скоростью каналов (2 DSL линии).

Спасибо.

mag Guest	#9 0 09.12.2004 18:33:00 Ну почему все так сложно? (правила – полный кошмар) (и я бы посоветовал обновиться до версии 2.8.21). С уважением, Маттиас.

Wyoming

Guest

#10

09.12.2004 18:47:00

Есть ли другой способ сгруппировать эти два блока (x.x.128.0/21 и x.x.136.0/23) так, чтобы они оба были NATed в один и тот же блок (y.y.105.214 - y.y.105.254) без использования правила mangle? И может ли моя текущая настройка вызвать проблемы с входом в приложения вроде AOL Instant Messenger или защищенных веб-сайтов? И если да, то как это можно исправить? Спасибо.

mag

Guest

#11

26.12.2004 09:47:00

Прости, я это пропустил. Мне кажется, это хороший способ обработки блоков IP-адресов. В ближайшие недели я проведу несколько тестов NAT, так как у нас есть несколько некогерентных публичных class-c IP-блоков, которые мы хотели бы сопоставить с внутренними IP-диапазонами. Кстати, а как насчет использования payload с NAT на Mikrotik Router OS? Будут ли, например, DNS-запросы обрабатываться аналогично Cisco NAT? То есть, будет ли переводиться DNS-данные в запросах, но не в зональных передачах? Это довольно важно для использования публичных DNS-серверов за NAT и одна из причин, почему мы все еще используем некоторые Cisco-роутеры. С уважением, Маттиас.

normis

Guest

#12

27.12.2004 12:19:00

Группы адресов можно будет контролировать в 2.9, где появится список адресов, в котором, например, можно будет создать чёрный список какого-нибудь типа и потом просто скриптом добавлять туда новые IP-адреса. Или создать любой другой список адресов. Ждите 2.9 (кажется, она уже в бете).

mag Guest	#13 0 28.12.2004 08:19:00 2.9 кажется, действительно становится улучшением! (если бы только я мог установить бета-версию;-) Что-нибудь по поводу вопроса с NAT’d payload? С уважением, Маттиас.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры