+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Трафик из VLAN не маскируется на WAN-интерфейсе.

Трафик из VLAN не маскируется на WAN-интерфейсе., RouterOS

OwenITGuy

Guest

03.01.2014 12:58:00

Наша организация работает в регионе с ограниченным доступом в Интернет. У нас есть VSAT-система для доступа в Интернет в одном из служебных домов. Мы также обслуживаем небольшую сеть WISP для других организаций в этом районе и подключаем наш офис, другие служебные дома и клиентов WISP к сети через одну беспроводную сеть. Я решил настроить VLAN между нашим офисом и служебным домом (где также находится наш сервер), чтобы обеспечить связь второго уровня между этими местами. После тщательного изучения вики и других сайтов о настройке VLAN на MikroTik я пришел к конфигурации, показанной на схеме.

Конфигурация, кажется, работает: компьютер сотрудника в офисе получает адрес 10.20.0.0/24 от роутера в доме через DHCP с 10.20.0.1 в качестве шлюза по умолчанию. Я могу подключаться к чему угодно на серверах, устройствам в подсети WISP и нашим другим подсетям. Однако трафик, предназначенный для Интернета, не проходит. Я запустил torch на ether1 на роутере в доме и обнаружил, что исходный адрес с компьютера сотрудника не маскируется. Я не могу понять, почему трафик, приходящий из VLAN, не маскируется. Все остальное со всех подсетей маскируется правильно. Я использую это правило: > ip firewall nat print chain=srcnat
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Masquerade WAN traffic
chain=srcnat action=masquerade out-interface=ether1-VSAT Спасибо за помощь!

efaden

Guest

03.01.2014 17:58:00

Выложи экспорты с двух Mikrotik-боксов. Посмотрю конфиги. Должно работать, но есть один вопрос. Судя по текущей настройке, пакеты приходится перенаправлять через двойной NAT. Почему бы просто не пропускать VLAN-пакеты с одного роутера на другой и не делать весь NAT в одном месте?

OwenITGuy

Guest

04.01.2014 13:47:00

Привет, efaden. Спасибо за ответ. Давай я подумаю над твоим запросом по конфигам. У нашего основного роутера довольно большой конфиг, и там есть информация, которую я бы не хотел выкладывать всему миру. Может быть, я смогу экспортировать нужные разделы. Придётся отложить это до понедельника, когда вернусь в офис. Да, двойной NAT — это намеренно, и я объясню почему. У нас есть несколько клиентов из разных организаций, которые используют нашу систему. У каждого клиента есть одна антенна (Ubiquiti) в сети 10.10.0.0/24. Каждая из этих антенн работает в режиме NAT-роутера и распределяет DHCP-адреса для каждого клиента на приватной стороне антенны. Таким образом, наш основной (домашний) роутер видит только 1 IP-адрес (10.10.0.x) для каждой клиентской антенны. Таким образом, нам не нужно назначать адреса для каждого клиентского компьютера, и проще контролировать или ограничивать трафик на основном роутере. Плюс это защищает LAN каждого клиента друг от друга. Второй NAT происходит неизбежно при подключении к WAN. Наш офис настроен таким же образом, как и другие клиенты (одно устройство в режиме NAT-роутера в сети 10.10.0.x). Когда я пытался добавить VLAN для трафика “компании” на днях, я решил оставить гостевую сеть на офисном роутере и придерживаться той же модели (1 NAT-адрес). Однако применение правила NAT только на ether1 маскирует только трафик, идущий именно с ether1. Трафик с vlan100-ether1 не маскируется. Трафик отображается в основном роутере как исходящий с адреса 10.20.0.0/24, назначенного ему. Это видно как в таблице подключений, так и при запуске torch на ether1.

OwenITGuy

Guest

14.01.2014 11:22:00

Извини, у меня была загруженная неделя, которая вывела меня из города на некоторое время. Вот соответствующая информация о конфигурации маршрутизаторов. Я опустил некоторую информацию, не имеющую отношения к этой конкретной проблеме, для ясности.

**Домашний (основной) маршрутизатор**

`/ip address print`

```
# ADDRESS NETWORK INTERFACE
0 ;;; WISP Antennas
10.10.0.1/24 10.10.0.0 bridgeWISP

2 ;;; Company Network
10.20.0.1/24 10.20.0.0 bridgeCompany

4 ;;; VSAT
10.2.8.18/29 10.2.8.16 ether1-VSAT ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.2.8.17 10
1 ADC 10.2.8.16/29 10.2.8.18 ether1-VSAT 0
2 ADC 10.10.0.0/24 10.10.0.1 bridgeWISP 0

5 ADC 10.20.0.0/24 10.20.0.1 bridgeCompany 0
interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
2 R ;;; AP 11 Southeast
ether7-Southeast ether 1500 1600 4080
3 ether8 ether 1500 1600 4080
4 R ;;; AP 10 North
ether6-North ether 1500 1600 4080
5 R ;;; Servers
ether5-Servers ether 1500 1598 4078
9 R ;;; VSAT (WAN)
ether1-VSAT ether 1500 1598 4078
10 R ;;; WISP
bridgeWISP bridge 1500 1598
11 R ;;; Company bridge
bridgeCompany bridge 1500 1594
12 R ;;; Company VLAN
vlan100-bridgeWISP vlan 1500 1594
interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON
1 ether7-Southeast bridgeWISP 0x80 10 none
2 ether6-North bridgeWISP 0x80 10 none
3 ether5-Servers bridgeCompany 0x80 10 none
4 vlan100-bridgeWISP bridgeCompany 0x80 10 none
ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Masquerade WAN traffic
chain=srcnat action=masquerade out-interface=ether1-VSAT
```

**Офисный маршрутизатор**

`/ip address print`

```
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; Guest Network
10.0.0.1/24 10.0.0.0 wlan2
1 ;;; WISP
10.10.0.80/24 10.10.0.0 ether1-Ant
interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 R ether1-Ant ether 1500 1600 4076
5 RS wlan1 wlan 1500 2290
6 S wlan2 wlan 1500 2290
8 R bridgeCompany bridge 1500 1596
9 RS ether1-Ant-VLAN100 vlan 1500 1596
interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON
0 ether5 bridgeCompany 0x80 10 none
1 ether2 bridgeCompany 0x80 10 none
2 I ether3 bridgeCompany 0x80 10 none
3 I ether4 bridgeCompany 0x80 10 none
4 wlan1 bridgeCompany 0x80 10 none
5 ether1-Ant-VLAN100 bridgeCompany 0x80 10 none
ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether1-Ant
```

Весь трафик из сети 10.20.0.0/24, подключенной через VLAN с офисного маршрутизатора, не маскируется, даже если я добавляю правило DST NAT специально для IP-адреса тестовой машины в офисе. Даже если я использую torch на ether1, он все равно показывает трафик с исходного адреса 10.20.0.99. Я пробовал даже это правило для конкретного источника и назначения, но ничего не поймал, когда пытался пинговать 8.8.8.8. Есть ли какие-нибудь другие предложения, почему трафик VLAN может не маскироваться? Мы собираемся попробовать другой маршрутизатор сегодня или завтра, а также последнюю версию RouterOS.

danielm Guest	#5 0 14.02.2014 14:36:00 У меня была та же проблема — невозможно было сделать NAT через VLAN. В итоге я обновился с OS 5.24 до OS 6.9, и сразу же всё заработало (я даже ничего не менял).

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры