+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Маршрутизация VRF и переадресация портов между VRF.

Маршрутизация VRF и переадресация портов между VRF., RouterOS

mazamars312

Guest

11.08.2014 00:56:00

Привет, форум Mikrotik! Надеюсь, я выбрал правильную категорию для моего вопроса. Если нет — скажите, и я перенесу его. Сейчас у нас стоит RB1100AH, который выполняет NAT и проброс портов для нескольких VRF клиентов. С внешней стороны к ним проблем нет — люди спокойно подключаются через пробросы портов по внешнему IP. Например, IP 1.1.1.1 порт 25 направлен на сервер в VRF клиента A с адресом 192.168.0.1. Но если клиент B (он тоже на этом же роутере) внутри своего VRF пытается подключиться к 1.1.1.1 порт 25, ответа не приходит. Ниже прикреплю нашу конфигурацию, если кто-то сможет помочь — будем очень благодарны.

/interface vlan
add arp=enabled disabled=no interface=ether1 mtu=1500 name=internet use-service-tag=no vlan-id=500
add arp=enabled disabled=no interface=ether1 mtu=1500 name=Customer-A-Ethernet use-service-tag=no vlan-id=599
add arp=enabled disabled=no interface=ether1 mtu=1500 name=Customer-A-colo use-service-tag=no vlan-id=598
add arp=enabled disabled=no interface=ether1 mtu=1500 name=managerment use-service-tag=no vlan-id=501

/ip address
add address=172.17.100.254/24 disabled=no interface=managerment network=172.17.100.0
add address=192.168.10.254/24 disabled=no interface=Customer-A-colo network=192.168.10.0
add address=1.1.1.66/30 disabled=no interface=internet network=1.1.1.64
add address=1.1.1.68/32 disabled=no interface=bridge-external network=1.1.1.68
add address=1.1.1.18/32 disabled=no interface=bridge-external network=1.1.1.64
add address=172.16.252.1/30 disabled=no interface=Customer-A-Ethernet network=172.16.252.0

/ip firewall mangle
add action=mark-routing chain=prerouting comment=“Customer-A-Mangle” disabled=no dst-address=1.1.1.68 new-routing-mark=Customer-A passthrough=yes
add action=mark-routing chain=prerouting comment=Customer-B-Internal disabled=no dst-address=1.1.1.66 in-interface=internet new-routing-mark=Customer-B-internal passthrough=yes

/ip firewall nat
add action=src-nat chain=srcnat disabled=no out-interface=internet routing-mark=Customer-A to-addresses=1.1.1.68
add action=src-nat chain=srcnat disabled=no out-interface=internet routing-mark=Customer-B-internal to-addresses=1.1.1.66
add action=jump chain=dstnat disabled=no jump-target=Customer-A-dstnat routing-mark=Customer-A
add action=jump chain=dstnat disabled=no jump-target=Customer-B-internal-dstnat routing-mark=Customer-B-internal
add action=dst-nat chain=Customer-A-dstnat disabled=no dst-address=1.1.1.68 dst-port=25 protocol=tcp to-addresses=192.168.10.1
add action=dst-nat chain=Customer-A-dstnat disabled=no dst-address=1.1.1.68 dst-port=3389 protocol=tcp to-addresses=192.168.10.1

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=1.1.1.65@main routing-mark=Customer-A scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=1.1.1.65@main routing-mark=Customer-B-internal scope=30 target-scope=10
add disabled=no distance=1 dst-address=10.0.0.0/8 gateway=ECN routing-mark=Customer-B-internal scope=30 target-scope=10
add disabled=no distance=1 dst-address=172.16.0.0/12 gateway=ECN routing-mark=Customer-B-internal scope=30 target-scope=10
add disabled=no distance=1 dst-address=192.168.0.0/16 gateway=ECN routing-mark=Customer-B-internal scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=1.1.1.65 scope=30 target-scope=10

/ip route vrf
add disabled=no export-route-targets=1.1.1.68:111 import-route-targets=1.1.1.68:111 interfaces=Customer-A-Ethernet,Customer-A-colo route-distinguisher=1.1.1.68:111 routing-mark=Customer-A
add disabled=no export-route-targets=1.1.1.64:111 import-route-targets=1.1.1.64:111 interfaces=managerment,ECN route-distinguisher=1.1.1.64:111 routing-mark=Customer-B-internal

Если у кого-то есть мысли, почему внутренний трафик из VRF клиента B к внешнему IP с портом 25 не доходит — буду признателен за помощь!

mazamars312 Guest	#2 0 03.09.2014 22:51:00 Какие-нибудь мысли, ребята?

MarcusH Guest	#3 0 24.03.2015 02:13:00 Ты уже разобрался с этим?

ZeroByte

Guest

24.03.2015 15:41:00

Вам, скорее всего, также придется замаскировать трафик назад после того, как он пройдет через pinhole, иначе придется делать src-nat каждого публичного IP пользователя отдельно. По сути, если вы делаете dst-nat, но не делаете src-nat, то внутренняя IP-сеть пользователя А начинает «просачиваться» в сеть пользователя В, и таблица маршрутизации пользователя В может не содержать сеть, соответствующую src IP пользователя В. (Никогда не стоит «сливать» таблицу маршрутизации В в А — это нарушает весь смысл VRF.) Поэтому лучшим решением будет src-nat на публичный IP пользователя, но это может потребовать много правил, если у вас много публичных IP. Если же вам не важно, чтобы серверы пользователей видели реальный src IP (например, для логирования), тогда просто замаскируйте такие запросы на внутренний IP маршрутизатора в нужном VRF.

lbenzo Guest	#5 0 19.08.2015 09:38:00 Привет, у нас такая же проблема. Ты решил её?

bradnz Guest	#6 0 27.09.2018 04:02:00 Мне тоже хочется лучше разобраться, так как у нас такая же проблема... Есть какие-нибудь идеи?

bradnz Guest	#7 0 14.10.2018 23:47:00 Как оказалось, это невозможно... на мой взгляд, это баг или упущение со стороны Mikrotik, что они не реализовали эту функцию.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры