Добрый день, возможно ли реализовать такой функционал: сервер 192.168.54.11 шлет запрос по портам 2421 на адрес 192.168.55.55/25 и 2422 на 192.168.55.155/25(аутсайд интерфейсы микротика), настроен дст нат на 2 инсайд хоста 192.168.88.56 и 156 /24, при этом каждый из инсайд хостов должен отвечать на запрос по указанным портам.
ну вот и хотелось спросить о возможных вариантах, как это можно обойти, если на Лан (хостах) будут разные порты ?
Только если разные протоколы разные, то вылавливать по L7 ИМХО. Или публиковать снаружи разные порты Или приходить на эти порты с разных (но известных заранее) адресов.
протоколы одни и те же единственное что можно сменить это порты инсайд хостов, т.е. например на 192.168.88.56 2421 2422 и 192.168.88.56 3421 3422 Буду признателен за какие либо варианты... пока что пришел только к переключению правил НАТ скриптом с серверов по условию активности сервиса.
Vpn не вариант ибо мне настраивать только с 1й стороны. Заказчик утверждает что на похожем объекте данная ситуация разрулена средствами микротика, Вы как специалист можете предложить варианты выхода акромя VPN`а ? Спасибо заранее. возможно есть способы как то сегментировать траффик или...
да суть запрос с 192.168.54.11 на ВАН1 - 192.168.55.56:2421 и ВАН2 192.168.55.186:2422, адреса порты (слушающие) в инсайде я могу менять... 1 X ;;; SR-1-NAT chain=dstnat action=dst-nat to-addresses=192.168.88.56 protocol=tcp dst-address=192.168.55.186 dst-port=2422 2 X ;;; SR-1-NAT chain=dstnat action=dst-nat to-addresses=192.168.88.56 protocol=tcp dst-address=192.168.55.56 dst-port=2421 3 ;;; SR-2-NAT chain=dstnat action=dst-nat to-addresses=192.168.88.186 to-ports=2421 protocol=tcp dst-address=192.168.55.56 in-interface=ether2_MAIN dst-port=2421 4 ;;; SR-2-NAT chain=dstnat action=dst-nat to-addresses=192.168.88.186 to-ports=2422 protocol=tcp dst-address=192.168.55.186 in-interface=ether3_SEC dst-port=2422
А у вас раздельный WAN и разные Gateway? Тогда надо NAT Код: /ip firewall nat add chain=srcnat out-interface=WAN1 action=masquerade add chain=srcnat out-interface=WAN2 action=masquerade Пробросы портов оставляете как выше указано. Далее добавляем маркированные маршруты, чтобы пакет уходил с нужного WAN Код: /ip route add gateway=ISP1_Gateway routing-mark=WAN1 add gateway=ISP2_Gateway routing-mark=WAN2 и отмаркировать маршруты чтобы засунуть их в нужный WAN. Код: /ip firewall mangle add chain=prerouting in-interface=WAN1 action=mark-connection new-connection-mark=con-WAN1 add chain=prerouting in-interface=WAN2 action=mark-connection new-connection-mark=con-WAN2 add chain=prerouting in-interface=LAN connection-mark=con-WAN1 action=mark-routing new-routing-mark=WAN1 add chain=prerouting in-interface=LAN connection-mark=con-WAN2 action=mark-routing new-routing-mark=WAN2
add chain=prerouting in-interface=LAN connection-mark=con-WAN1 action=mark-routing new-routing-mark=WAN1 in-interface=LAN - можно ланом указать бридж или надо указывать инты куда хосты включены ?
Код: 0 ;;; SR-1-NAT chain=dstnat action=dst-nat to-addresses=192.168.88.56 protocol=tcp dst-address=192.168.55.186 dst-port=2422 1 ;;; SR-1-NAT chain=dstnat action=dst-nat to-addresses=192.168.88.56 protocol=tcp dst-address=192.168.55.56 dst-port=2421 2 ;;; SR-2-NAT chain=dstnat action=dst-nat to-addresses=192.168.88.186 to-ports=3421 protocol=tcp dst-address=192.168.55.56 dst-port=2421 3 ;;; SR-2-NAT chain=dstnat action=dst-nat to-addresses=192.168.88.186 to-ports=3422 protocol=tcp dst-address=192.168.55.186 dst-port=2422 4 chain=srcnat action=masquerade out-interface=ether2_MAIN 5 chain=srcnat action=masquerade out-interface=ether3_SEC 0 chain=prerouting action=mark-connection new-connection-mark=Con-MAIN passthrough=yes in-interface=ether2_MAIN 1 chain=prerouting action=mark-connection new-connection-mark=Con-SEC passthrough=yes in-interface=ether3_SEC 2 chain=prerouting action=mark-routing new-routing-mark=MAIN passthrough=no in-interface=bridge-local connection-mark=Con-MAIN 3 chain=prerouting action=mark-routing new-routing-mark=SEC passthrough=yes in-interface=bridge-local connection-mark=Con-SEC странно при переходе на 2й сервер 192.168.88.186 правила не отрабатывают, если тушу правила SR-1-NAT то подхватывает сразу, при возврате на первый сервер правила отрабатывают
не понял... Ведь с одного интерфейса ВАН запросы идут на 2 сервера и соответственно со 2го на 2, как отдавать с вана на 2 инсайда
