Как перенаправить трафик в Mikrotik?

Question

[Alex Plast]

Есть Микротик. Поднято 2 внутренних IP : 192.168.0.254 и 192.168.4.254
Есть почтовик на IP: 192.168.0.252
Почтовик mail.domain.tld резолвится по внешнему IP: 46.182.XX.XX
Как завернуть трафик по имение почтовика на его внутренний IP без NAT и Split DNS?

Comments

[AntonMZ]

Ушел за попкорном...

[Alex Plast]

Anton Zheltyshev: Отсыпешь?

[AntonMZ]

Неа, пока не расскажите полную схему, чего и как у Вас устроено, и чем не устроил NAT, ведь он уже у Вас поднят скорее всего, если приватные сети смотрят в мир. Еще момент, а зачем два внутренних eth,хотя наверное это к первому вопросу тоже относится.

[Alex Plast]

Вторая внутренняя сеть поднята для другого сегмента сети. 0 со временем будет погашена. Ну так начали строить. Изначально задача по огранизацию взаимодействия с почтовиком стояла таким образом чтобы софт коннектился не по IP Exchange а по мирскому имени и NAT устраивал до момента пока на Exchange не понадобилось сделать Relay для нескольких внутренних IP. . А для этого необходимо было прописывать в Exchange IP Микротика. Ну и соотвественно сделан проброс 25 порта из мира на Exchange то есть Relay открыт для всего интернета. А это ну никак меня не устривает.

[AntonMZ]

Не, ну если бы все почтовые серверы, у которых открыт 25 порт были бы OpenRelay, то сеть поглотил бы MD Haus. В Exchange наверное есть ограничение по поводу OpenRelay, чтобы отправка почты была только для авторизованных адресов. Не?

[AntonMZ]

А Exchange в AD? А вот это не оно? winitpro.ru/index.php/2011/11/16/nastrojka-relay-k...

[Alex Plast]

Согласен, но трафик натится на внутри сети на почтовик. То есть почтовику приходит IP не сервера а микротика. И если на почтовике не добавить в доверенные в рилее микротик то почта не ходит...

[Alex Plast]

Anton Zheltyshev: Оно. НО! При запросе "ху из" почтовик, ДНС отвечает внешним айпи. Внешний айпи висит на микротике, к которому подключен клиент который спрашивает "ху из" почтовик... Поэтому приходится делать DNAT на внешний айпи микротика с заворотом на почтовик. Так вот когда приходит пакет на почтовик то Source там не клиентский, например 192.168.0.100, а микротиковский 192.168.0.254

[AntonMZ]

У Вас AD есть?

[Alex Plast]

Anton Zheltyshev: Есть.

[AntonMZ]

Почему тогда не определить в DNS для локальной сети, что EX сервер это 192.168.0.x? Пусть к нему подключаются пользователи из локальной сети по локальному ипу.

[Alex Plast]

Anton Zheltyshev: Я ж уже писал

Изначально задача по огранизацию взаимодействия с почтовиком стояла таким образом чтобы софт коннектился не по IP Exchange а по мирскому имени

[AntonMZ]

Ок. Получается рабочий то вариант у Вас есть, но проблема в нем только что ip после прохождения через микротик меняется с локального адреса компьютера на ip микротика?

[Alex Plast]

Да.

Answer 1

[chupasaurus]

Никак.
Нужен NAT: либо статический NAT если есть свободный внешний IP и его не жалко, либо PAT по нужным портам (как минимум 25)

Comments

[Alex Plast]

Я вот не пойму как у dd-wrt это работало...

[chupasaurus]

Alex Plast: Так же. RFC на всех едины

[Alex Plast]

Дело в том что там не был настроен Source NAT на почтовик, Destination из мира на почтовик был и Masquarade из локалки в мир.

[chupasaurus]

Alex Plast: ну DNAT на порт - это и есть Port Address Translation

[Alex Plast]

chupasaurus: Да я в предыдущем сообщении неправильно написал. А сейчас получается DNAT из локалки в локалку.