sumyst
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Это адрес транзитной сети до роутерБ каким образом пакет с назначением 8.8.8.8 может 2 раза пройти этот интерфейс?
При трассировке адрес хопа это адрес интерфейс на который пришел пакет и через который он был смаршрутизирован.
Тоесть следующим хопом после ЛАН прокси, должен быть IP микротика в транзитной сети ВАН прокси.
Тоесть 172.24.2.1.
Вот на всякий случай таблица маршрутизации с роутера А
>> 0 A S dst-address=0.0.0.0/0 gateway=10.1.1.2
>> gateway-status=10.1.1.2 reachable ether8 distance=1
>> scope=30
>> target-scope=10 routing-mark=route_to_proxy
>>
>> 1 X S dst-address=0.0.0.0/0 gateway=172.24.2.2
>> gateway-status=172.24.2.2 inactive distance=1 scope=30
>> target-scope=10 routing-mark=From_NAT
>>
>> 2 ADS dst-address=0.0.0.0/0 gateway=10.0.3.1
>> gateway-status=10.0.3.1 reachable ether10 distance=0
>> scope=30
>> target-scope=10 vrf-interface=ether10
>>
>> 3 ADC dst-address=10.0.3.0/24 pref-src=10.0.3.107
>> gateway=ether10 (Это линк до Провайдера.)
>> gateway-status=ether10 reachable distance=0 scope=10
>>
>> 4 ADC dst-address=10.1.1.0/24 pref-src=10.1.1.1 gateway=ether8
>> gateway-status=ether8 reachable distance=0 scope=10
>>
>> 5 A S dst-address=10.100.103.0/24 gateway=192.168.168
>> gateway-status=192.168.168.2 reachable ether6 d
>> target-scope=10
>>
>> 6 ADC dst-address=172.24.2.0/24 pref-src=172.24.2.1 g
>> gateway-status=ether9 reachable distance=0 scop
>>
>> 7 ADC dst-address=192.168.168.0/24 pref-src=192.168.1
>> gateway-status=ether6 reachable distance=0 scop
Обратите внимание, никаким образом таблица маршрутизации не ведет пакет 8.8.8.8 обратно к роутеруБ
"видимо, у вас обратный пакет всё же не маркируется для перебрасывания на ван прокси (чтобы через проксю вернуться), поэтому при натировании пакеты имеют адрес прокси, маршрут на который прописан в таблице main (как connected); а при отключенном на прокси натировании пакеты возвращаются напрямую к пользователю, минуя проксю. дальше - по обстоятельствам (правила фильтра, етц)..."
А вот это уже более похоже на правду, НО и в таком случае трассировка должна проходить.
Логика такая:
1) клиент с src 10.100.103.254 отправил пакет на dst 8.8.8.8
2) пакет отправляется на гейт клиента 10.100.103.1 (роутерБ)
3) гейт клиента в соответствии с дефолтным маршрутом отправляет пакет на 192.168.168.1 (роутерА)
4) роутерА в промаркировав пакет форвардит его на IP прокси 172.24.1.2
5) прокси роутит пакет меж интерфейсами и отправляет на свой дефолт 172.24.2.1
6) Пакет на ether9 маркируется, отправляется на НАТ и затем во вне.
7) Обратный пакет пройдя нат с src 8.8.8.8 и dst 10.100.103.254 раутится обратно.
Даже в таком случае все должно работать если обратный пакет ушел минуя прокси.
И опять же совершенно непонятно откуда взялся второй хоп 192.168.168.1 |
Всего записей: 287 | Зарегистр. 24-08-2010 | Отправлено: 15:17 08-11-2011 | Исправлено: sumyst, 15:19 08-11-2011 |
|
сделайте out-interface=WAN action=masquerade - и будет вам счастье...