Добрый день, картина следующая: Маршрутизатор Mikrotik CCR1009-8G-1S-1S+ в ether1 воткнут кабель от провайдера и на этот порт назначено 5 белых адресов от провайдера вида 10.10.10.1 и так далее. Пользователи из локальной сети выходя в интернет имеют адрес 10.10.10.1, почтовый сервер который находится в локальной сети имеет внутренний адрес 192.168.1.2, но извне доступен по адресу 10.10.10.2 и письма отправляет с этого адреса, это настроено как-то криво через mangle - mark routing, ip-firewall-adress lists и прочее настраивал не я, таким оно досталось, а раз работает не лезь. Если отключить эти маршруты то почта начинает отправляться с адреса 10.10.10.1 то есть главного адреса маршрутизатора. Понадобилось завести в сети второй почтовый сервер с внешний адресом 10.10.10.3 проброс снаружи внутрь работает, тут проблем никаких, но вот при попытке отправить письма с этого сервера они уходят с адреса 10.10.10.1. При попытке скопировать полностью настройки маршрутов как настроено для первого сервера, упираюсь в то что masquerade работает только для одного из серверов, но для двух одновременно не пашет... Что делать в такой ситуации подскажите пожалуйста. Возможно есть более простой способ такой маршрутизации, но я так и не понял как сделать так чтобы письма отправлялись с отдельного адреса, а не с главного адреса маршрутизатора.
Посмотрите https://spw.ru/forum/threads/dva-ili-bolee-ip-adresa-na-odnom-interfejse.162/ Адреса вида 10.10.10.1 - это не белые адреса!
10.10.10.1 это адрес из головы, в реальности там другой само собой. Ну и бридж у меня и так стоит, адреса назначены на ether1 с этим нет проблем.
Можно создать точечное правило только для одного сервака и поставить выше всех masquerade. /ip firewall nat add action=masquerade chain=srcnat out-interface=eth1 src-address=192.168.1.3
Только на eth1 висит 5 белых адресов, да и там вообще Bridge, и таких серверов будет ещё 3... В цисках там все проще делаешь проброс и он работает в обе стороны, а вот в Mikrotik все сложнее...
На самом деле я-бы сделал, как посоветовал оратор выше. Т.е. выкинул сервак наружу. Но в свете задачи в идеале курить до просветления. Либо делать костыли. Может гуру что ещё присоветуют...
И я сам дегенерат, в итоге ночная тишина в офисе, привела к мысли что не надо создавать много adress lists когда уже существует один, и на него уже сделан маскарад, в итоге создаем адресс лист с таким же названием который уже есть и адресом нового сервера и все работает ок, вообщем два маскарада это то что и работало неверно. А проброс туда сюда реализовал через netmap
ИМХО, внутри сети должен быть локальный почтовик, а релей зачем нужен внутри? Кстати, попробуйте извне tracert 10.10.10.3 запустить - он нормально отрабатывает? (10.10.10.3 - внешний адрес почтовика)
трассировка без ошибок отрабатывает, это на самом деле временная затычка, пока не будет сделан нормальный reverse proxy сервер стоящий в DMZ
