+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Маскарад работает некорректно.

Маскарад работает некорректно., RouterOS

name29

Guest

12.12.2013 09:41:00

Привет, у меня проблема с masquerade. Иногда (часто) я вижу неверный reply-dst-address в отслеживании соединений и не понимаю, почему. Может, кто-нибудь сможет мне помочь решить эту проблему?

Моя цель — настроить 1-1 NAT между IP-адресом pppoe-voip (динамический) и 192.168.0.10.

Пример неверного NAT:

1. 2. 3. 4 — destination SIP сессии
2. 9. 10. 11 — pppoe-voip адрес

Connection tracking показывает:

dst-address 1.2.3.4:5060
src-address 192.168.0.5:5060
reply-dst-address 192.168.0.5:5060 <-- проблема
reply-src-address 1.2.3.4:5060

Connection tracking ожидает:

dst-address 1.2.3.4:5060
src-address 192.168.0.5:5060
reply-dst-address 8.9.10.11:5060
reply-src-address 1.2.3.4:5060

Некоторые настройки:

/interface pppoe-client export add ac-name="" add-default-route=no allow=pap dial-on-demand=no disabled=no interface=wlan1 max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe-dati password=OPS profile=default service-name=dati use-peer-dns=yes user=OPS
add ac-name="" add-default-route=no allow=pap dial-on-demand=no disabled=no interface=wlan1 max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe-voip password=OPS2 profile=default service-name=voip use-peer-dns=yes user=OPS2
/ip route export add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-voip routing-mark=voip scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-dati scope=30 target-scope=10
/ip route rule export add action=lookup disabled=no src-address=192.168.0.0/24 table=voip
/ip firewall filter export add action=drop chain=input comment=INVALID connection-state=invalid disabled=no
add action=accept chain=input comment="admin" disabled=no src-address-list=admin
add action=accept chain=input comment="Bt Test" disabled=no dst-port=2000 protocol=tcp
add action=accept chain=input comment=ICMP disabled=no protocol=icmp
add action=accept chain=input comment=DNS disabled=no dst-port=53 in-interface=ether1 protocol=tcp
add action=accept chain=input comment=DNS disabled=no dst-port=53 in-interface=ether1 protocol=udp
add action=accept chain=input comment=BROADCAST disabled=no dst-address=255.255.255.255
add action=accept chain=input comment=ESTABLISHED connection-state=established disabled=no
add action=accept chain=input comment=RELATED connection-state=related disabled=no
add action=drop chain=input disabled=no
/ip firewall nat export add action=masquerade chain=srcnat comment="Nat Dati" disabled=no out-interface=pppoe-dati src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="Nat Voce" disabled=no out-interface=pppoe-voip src-address=192.168.0.0/24
add action=dst-nat chain=dstnat disabled=no in-interface=pppoe-voip to-addresses=192.168.0.5

name29 Guest	#2 0 17.12.2013 10:43:00 Вверх +1

Caci99 Guest	#3 0 17.12.2013 11:25:00 Это нужно считать недействительным подключением и блокировать с помощью правила файрвола в цепочке пересылки, так же, как ты настроил это в цепочке ввода для недействительных подключений.

name29 Guest	#4 0 17.12.2013 11:35:00 Спасибо, Caci, за ответ. Я добавил новое правило и надеюсь, что это сработает =) Но я не уверен, что поток UDP может иметь недействительное состояние =(

Caci99 Guest	#5 0 17.12.2013 11:47:00 Ну, UDP-соединения ведь без состояния, так что… да. Но думаю, Router OS может их обрабатывать и видеть, что они недействительны. В таблице соединений они все равно должны отображаться как не отвеченные. Возможно, стоит установить тайм-аут для UDP-соединений ниже значений по умолчанию.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры