MikroTik RouterOS (часть 3) - [123] :: В помощь системному администратору

faust72rus
Можно я объясню на более отстраненном примере?
У меня есть микротик в Центральном Офисе.
К этому микротику подключен канал провайдера и этот микротик натит.

Есть филиалы которые подключены по впн к ЦО.

Филиалы включены в доменную сеть и требуется предоставлять пользователям интернет с подсчетом трафика и авторизацией.
Дальше схема которую я сегодня тестировал:

ЛАН2 (филиал) адресация 10.100.103.0/24 --- Микротик2 --- 192.168.168.0/24 --- Микротик1(ЦО) --- ЛАН1
1) для клиентов лан2 гейтвеем является микротик2
2) для микротика 2 гейтвеем является микротик1, соответственно все пакеты летят туда.
3) на для микротика1 гейтвеем являеется гейт провайдера (поскольку интернет)
4) В микротик1 в порт8 воткнут сетевая карта прокси сервера с адресацией 172.24.1.2 (условно ЛАН-Прокси)
5) В микротик 2 в порт9 воткнута сетевая карта прокси сервера с адресацией 172.24.2.2 (условно ВАН-Прокси)
6) Прокси сервер роутит между интерфейсами (не натит)
Правило:
/ip firewall mangle add chain=prerouting src-address-list=local dst-address-list=!local action=mark-routing new-routing-mark=route_to_proxy in-interface=!ether9
/ip route add dst-address=0.0.0.0/0 gateway=172.24.1.2 routing-mark=route_to_proxy
/ip firewall address-list add address=10.0.0.0/8 list=local
/ip firewall address-list add address=172.16.0.0/12 list=local
/ip firewall address-list add address=192.168.0.0/16 list=local
Маркирует пакеты с назначением не равным локалке и отправляет принудительно на ЛАН интерфейс Прокси сервера.

Соответственно если я с клиента ЛАН2 пингую скажем 8.8.8.8 я увижу эти пакеты на 172.24.1.2
Далее:
7) На прокси сервере гейтвеем указан 172.24.2.1 ( IP адрес на порту 9 микротика) тобешь пакет с назначением 8.8.8.8 должен сраутится на ВАН-Прокси интерфейс
8) На прокси сервере нарисованы 3 статических маршрута до сетей 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 через 172.24.1.1 (IP адрес на порту 8 микротика.)
тоесть все обратные пакеты должны пойти через ЛАН-Прокси интерфейс.

Добавил правило:
/ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=From_NAT passthrough=yes src-address-list=!local
/ip route add dst-address=0.0.0.0/0 gateway=172.24.2.2 routing-mark=From_NAT
Тоесть все пакеты с соурсом не равным локальным сетям отправляется на 172.24.2.2

Наблюдаю картину. Трейс роут с клиента из ЛАН2 до 8.8.8.8
1) 10.100.103.1 - гейт для этой сети
2) 192.168.168.1 - адрес MIKROTIK1 в транзитной сети
3) 172.24.1.2 - Редирект на LAN адрес прокси. тут все правильно.
4) 192.168.168.1 - вот тут становится непонятно.
дальше звездочки.

Запускаю сниффер на проксе на внутреннем интерфейсе, Вижу входящие пакеты SRC 10.100.103.254 (адрес клиента) -> 8.8.8.8 (все правильно)
Запускаю сниффер на проксе на внешнем интерфейсе, Вижу исходящие пакеты SRC 10.100.103.254 -> 8.8.8.8
Запускаю torch на порту 9 микротика, вижу входящие пакеты SRC 10.100.103.254 -> 8.8.8.8

Запускаю torch на порту 8 микротика вижу и входящие и исходящие пакеты. тоесть SRC 10.100.103.254 -> 8.8.8.8 и 8.8.8.8 - > 10.100.103.254
Вот это уже вводит в замешательство.
Дело в том, что до 8.8.8.8 пакеты точно не доходили (вместо 8.8.8.8 другой публичный адрес где у меня тоже запущен сниффер).
А судя по торч доходили и был ответ. (но почему то на 8й порт)

Пробую немного по другому:
Вынимаю патчкорд из порта 8 микротика, подключаю к патчкорду ноутбук
ноут --- прокси --- микротик --- инет
Назначаю ноутбуку адрес 172.24.1.3 и в качестве шлюза указываю ЛАН адрес прокси.
Тут же начинает все работать. Тоесть пинг до 8.8.8.8 нормально проходит через прокси, нормально натируется, и нормально возвращается в соответствии с правилом From_NAT

Коллеги, как так вообще? Выручайте!

Извиняюсь за сумбур, если что непонятно - объясню, если надо сделаю схемы в визио. Спасибо!

ЗЫ мое правило NAT:
/ip firewall mangle chain=prerouting action=mark-routing new-routing-mark=To_NAT passthrough=yes src-address-list=local dst-address-list=!local in-interface=ether9
/ip firewall nat add chain=srcnat action=masquerade routing-mark=To_NAT

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
ShriEkeR (05-01-2012 00:59):	Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147