Как подменить ip-адрес источника в mikrotik?

Question

[Николай]

Всем добра!
Имеется следующая схема:
1. Внешний ресурс с IP-адресом 9.9.9.9 с которым сервер будет обмениваться пакетами - обозначим "ISP"
2. Микротик с внутренним адресом IP 10.0.0.1 (версия прошивки 5.26) - обозначим "M"
3. Сервер внутри сети микротика с адресом 10.0.0.2 - обозначим "S"
4. Трафик с ISP идет на внутренний адрес 20.0.0.2 через шлюз 20.0.0.1 - обозначим "Ш"
5. Физически М подключен к Ш, на М прописан адрес 20.0.0.2 из подсети Ш
Задача:
необходимо чтобы пакеты с ISP приходили на порт М с адресом 20.0.0.2 и транслировались на S с адресом 10.0.0.2.
ISP(9.9.9.9) --> Ш(20.0.0.1) --> M(20.0.0.2) <--> M(10.0.0.1) --> S(10.0.0.2).
Что сделано:
1. Маршруты на S и М прописаны
2. S видит ISP и туда пакеты ходят
3. от ISP пакеты приходят до М, но дальше затык! - на S ничего не идет
4. в таблице NAT не прокатило следующее:
/ip firewall nat add chain=dstnat dst-address=20.0.0.2 action=dst-nat to-addresses=10.0.0.2
/ip firewall nat add chain=srcnat src-address=10.0.0.2 action=src-nat to-addresses=20.0.0.2
5. netmap также не помог (по аналогии)
6. Пробовал маркировку включать следующим образом
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=isp src-address=9.9.9.9 dst-address=20.0.0.2
и по этому условию включать dst-nat. Результат - пакеты на интерфейсе микротика вижу, на S ничего не приходит!
Поможите, люди добрые - куды копать?

Answer 1

[iluvar]

Добрый день!

Сначала стоит подробнее рассказать о Ш. Каким образом и какой трафик с него попадает на М? На Ш кто-то настраивал dst-nat? Если да, то каким образом и с какими правилами.

Без объяснения этого непонятно, что происходит с трафиком в цепочке Ш(20.0.0.1) --> M(20.0.0.2)

Ну и далее желательно увидеть таблицы маршрутизации М и S

В этом правиле не видно, какой тип трафика хотите транслировать. Не весь же.
/ip firewall nat add chain=dstnat dst-address=20.0.0.2 action=dst-nat to-addresses=10.0.0.2
И к тому же не указаны настройки файрвола (весь ли трафик разрешен или же есть блокирующие правила)

Насколько я понимаю, S только слушает входящие соединения, поэтому это правило ставить не надо. Если М служит шлюзом для S, то правило необходимо изменить, что бы весь трафик, кроме локального, подвергался src-nat (в action указать маскарад, а так же указать в качестве Out-int - порт к Ш).
/ip firewall nat add chain=srcnat src-address=10.0.0.2 action=src-nat to-addresses=20.0.0.2

Зато важно, кто у S прописан шлюзом, его таблица маршрутизации

Желательно приведите дамп на М:
/ip firewall export compact
/ip route print

На S:
route print
либо линукс-аналог, если S не windows

И на Ш настройки port forward, если есть такая возможность