Mikrotik, переадресация ip адреса?

Question

[Andrey Makarenko]

Добрый день!
Имеется внешний микротик с внешним ip адресом, локальной сетью 10.12.0.0/24 + сервис (пусть будет web- сервер на 4856 порту).
Есть клиент клиенты, работающие через интернет.
Сделан проброс порта.

Но в логах сервера подключения идут от микротика. Но нужно сделать так чтобы были видны в логах реальные адреса клиентов.

Если же микротик заменить на зуксел, то в логах идут реальные адреса клиентов.

Comments

[Valentin Barbolin]

У тебя работает harpin nat на микротике.

[Andrey Makarenko]

Andrey Barbolin, как сделать иначе, не могу сообразить

[Valentin Barbolin]

Andrey Makarenko, Покажи правила для проброса порта.

/ip firewall export

[Andrey Makarenko]

Andrey Barbolin,
add chain=dstnat dst-address-type=local protocol=tcp dst-port=4856 action=dst-nat to-address=10.12.0.250 to-port=4856

[Дмитрий Шицков]

Andrey Makarenko, это все что есть в правилах? Поведение похоже на то, что есть еще какие-то srcnat правила

[Valentin Barbolin]

Andrey Makarenko, Почеменяй action=dst-nat на action=netmap.
Покажи правило NAT. У тебя какое-то правило натит трафик из мира в локальную сеть. Не видя все правила - не получится подсказать где ошибка.

[Andrey Makarenko]

Andrey Barbolin, и второе правило маскарад - это тестовый микротик

[Valentin Barbolin]

Andrey Makarenko, dst-address-type - это лишнее.

Раз тестовый микрот - покажешь все правила что бы в угадайку не играть?

[Andrey Makarenko]

/ip firewall filter
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=drop chain=input disabled=yes protocol=icmp

vpn - нужен

/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat dst-address-type=local dst-port=4856 \
protocol=tcp to-addresses=10.12.0.250 to-ports=4856

[Valentin Barbolin]

Andrey Makarenko,
add action=masquerade chain=srcnat
Хорошее правило - маскарадить весь исходящий трафик, не важно с какого интерфейса он выходит) Привяжи его к интерфейсу интернет канала.
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1(интерфейс интернет канала)

[Andrey Makarenko]

Andrey Barbolin, да я это от безысходности проверял)))

[Valentin Barbolin]

Andrey Makarenko, Должно быть вот так.

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=4856 protocol=tcp to-addresses=10.12.0.250 to-ports=4856

[Andrey Makarenko]

Andrey Barbolin, это не решает мой вопрос

[Valentin Barbolin]

Andrey Makarenko, Покажи что ты настроить.
/ip firewall export

[Andrey Makarenko]

/ip firewall filter
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=drop chain=input disabled=yes protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=4856 protocol=tcp to-addresses=\
10.12.0.250 to-ports=4856

[Valentin Barbolin]

Andrey Makarenko,
Проблема старая, не правильный IP светится на web сервере?

[Andrey Makarenko]

Andrey Barbolin, да (светиться адрес микротика)

[Valentin Barbolin]

Andrey Makarenko, Значит есть еще какие-то правила которые ты не показываешь)

[Andrey Makarenko]

[Valentin Barbolin]

Andrey Makarenko, mangle?

[Andrey Makarenko]

пусто

[АртемЪ]

Andrey Makarenko,

add action=masquerade chain=srcnat out-interface=ether1

Должно работать.
Интерфейс правильно указан?
ether1 это у вас что?

Answer 1

[Интернет]

Делаем (или правим) NAT для IP которые будут работать в обход, исключаем белые ip "white_ip"


/ip firewall nat add action=masquerade chain=srcnat src-address-list=!white_ip disabled=no out-interface=ether3

Далее список NetMap адресов которым «привязываем» белые
/ip firewall nat add chain=srcnat src-address=10.0.40.67 action=netmap to-addresses=1.1.1.1
/ip firewall nat add chain=dstnat dst-address=1.1.1.1 action=netmap to-addresses=10.0.40.67

И заключительная часть, добавляем в white_ip наши VIP адреса:
/ip firewall address-list add list="white_ip" address=10.0.40.67