+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Перенаправление трафика на IPIP-туннель

Перенаправление трафика на IPIP-туннель, RouterOS

JMeuli

Guest

07.09.2010 01:56:00

Привет, ребята! Ко мне на стол только что положили маленькую коробочку и попросили провести по ней тесты, так что я вообще полный новичок. Я пытаюсь настроить роутер так, чтобы весь исходящий трафик на порты 80 и 443 шел через IPIP-туннель. Туннель вроде бы настроен (192.168.170.1/24) и пингуется на другой конец туннеля через интернет (192.168.170.2). Как мне добавить маршрутизацию по политике или IP-фильтры, чтобы отправлять трафик с сети, например 192.168.1.0/24, на порты 80 и 443 через этот туннельный интерфейс? Понимаю, что может понадобиться больше информации — просто скажите. Спасибо, Джеймс.

JMeuli Guest	#2 0 22.09.2010 02:14:00 Есть возможность получить еще немного помощи по этому поводу?

fewi

Guest

22.09.2010 03:01:00

Маршрутизатор не может отправить пакет с исходным IP A на целевой IP B, а затем получить ответный пакет на тот же целевой IP B, но уже с исходным IP C. Если ответный трафик отправляется на публичный IP маршрутизатора и не возвращается через туннель, маршрутизатор не сможет понять, на какой внутренний IP-адрес локальной сети нужно перенаправить этот трафик, потому что нет NAT-действия, чтобы это отменить.

Наверное, можно попробовать сделать исходящий NAT пакета через туннель на WAN-IP маршрутизатора с помощью src-nat и указания конкретного to-адреса (но при этом будет потерян внутренний исходный IP, как его видит другая сторона — от этого IPIP-туннель вообще теряет смысл). Однако я почти уверен, что трекинг соединений учитывает интерфейсы и всё равно отбросит возвратный трафик, если он придёт с неправильного интерфейса (WAN вместо туннеля).

Честно говоря, я думаю, что то, что ты пытаешься сделать, невозможно. А зачем тебе односторонний туннель?

JMeuli

Guest

22.09.2010 04:04:00

Это, безусловно, можно сделать, возможно, я просто не совсем ясно объяснил, чего хочу добиться. Я уже делал это с Cisco → Cisco и ATI → Cisco и надеялся, что смогу использовать устройства Mikrotik для того же самого. Я настраиваю NAT для туннельных интерфейсов на обеих этих платформах, здесь у меня есть правило NAT: src masq на выходящем туннельном интерфейсе. Думаю, попробую с GRE-туннелем. Есть кто-то, кому я мог бы заплатить за помощь?

fewi

Guest

22.09.2010 04:19:00

Если вы делаете NAT через туннель, как он может быть односторонним? NAT подразумевает, что исходящий адрес на другом конце туннеля — это IP-адрес интерфейса туннеля. В вашем случае это приватный IP, значит ответный трафик должен идти обратно через туннель, иначе приемник будет недоступен. Моя работа — на 90% Cisco. Может быть, если вы выложите конфигурацию Cisco-to-Cisco, я смогу помочь. Я не занимаюсь контрактами, поэтому не могу обещать оперативный ответ.

JMeuli

Guest

22.09.2010 23:17:00

Спасибо, любая помощь очень ценится, когда у вас будет время.

local router interface
Tunnel0
ip address 192.168.114.1 255.255.255.0
ip nat outside
ip virtual-reassembly
tunnel source Dialer1
tunnel destination 202.x.x.245

interface Vlan1
ip address 192.168.1.125 255.255.255.0
ip nat inside
ip policy route-map tunnel

int dialer1
ip nat outside
ip access-group 103 in
ip nat inside source list 102 interface Dialer1 overload

access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 103 permit tcp any eq www any established
access-list 103 permit tcp any eq 443 any established
access-list 110 permit tcp 192.168.1.0 0.0.0.255 any eq www
access-list 110 permit tcp 192.168.1.0 0.0.0.255 any eq 443

route-map tunnel permit 10
match ip address 110
set ip next-hop 192.168.114.2

endpoint router interface Tunnel14
description Office Test
ip address 192.168.114.2 255.255.255.0
tunnel source GigabitEthernet5/2 (202.x.x.245)
tunnel destination 222.x.x.15

В общем, это позволяет нам видеть исходящие веб-запросы (или любые нужные порты) от любого устройства, не забирая при этом их исходящую пропускную способность.

fewi

Guest

23.09.2010 14:30:00

Понятно.
/ip firewall nat
add chain=srcnat out-interface=ipip1 action=src-nat to-address=222.154.xxx.15

Это выполняет такой же тип NAT, как и ваши маршрутизаторы Cisco. Однако я совсем не уверен, что это сработает на RouterOS. Попробуйте — может и получится. Вы уже отправляете трафик через IPIP-туннель, а это правило NAT выполнит такое же преобразование исходящего адреса, как на Cisco, так что этот участок вы полностью дублируете.

Мне кажется, что хотя стек NAT Cisco, видимо, может обработать обратный трафик, стек NAT RouterOS может не суметь «понять», что этот обратный трафик относится к тому же соединению. Я думаю, что отслеживание соединений (connection tracking), отвечающее за привязку пакетов к потокам, а значит — за правильное «откат» исходящего NAT на обратном пути, тоже учитывает входящие и исходящие интерфейсы при принятии решения.

Поскольку входящий интерфейс для обратного трафика не совпадает с исходящим интерфейсом, через который ушёл исходный пакет, этот обратный трафик могут просто отбросить из-за невозможности сопоставить его с каким-либо потоком.

Однако могу ошибаться полностью и безвозвратно, так что попробовать точно стоит. Если не сработает, то я не вижу, как можно реализовать ваше Cisco-решение на RouterOS, просто потому что стеки NAT у них немного отличается по функционалу.

JMeuli Guest	#8 0 23.09.2010 22:00:00 Спасибо, это сработало именно так, как я и ожидал.

fewi Guest	#9 0 23.09.2010 22:06:00 Так что обратный трафик всё же проходит? Просто хочу уточнить, потому что это полезно знать.

JMeuli Guest	#10 0 23.09.2010 22:22:00 Да, всё работает на 100%. Хотите, показать какой-то конкретный результат?

fewi Guest	#11 0 23.09.2010 22:25:00 Нет, всё в порядке! Спасибо за подтверждение. Узнал кое-что про NAT в RouterOS. Честно, я совсем не думал, что это сработает.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры