Mikrotik + Kerio как сделать обратную маршрутизацию?

Question

[profiterole38]

При переходе на другого провайдера пришлось ставить на границу микротик.
Суть такая, имеем микротик, выступающий как шлюз(4.4.4.1) для керио(192.168.1.10), с WAN портом 9.9.9.9
Есть пул белых ip адресов 4.4.4.0/27
Выходя в интернет чрз керио, я вижу себя как 4.4.4.10 (интернет-интерфейс на керио)
Но, если я человек извне, то достучаться до адреса 4.4.4.11 я не могу. Нет обратной маршрутизации.
В керио все верно настроено, ибо если, условно, убрать микротик и получить шлюз от провайдера, все будет работать

Comments

[profiterole38]

SyavaSyava, пардон.
ip взял условные. попробую привести в более понятный вид
Провайдер выделил пул ip адресов 177.44.44.0/27
Имею Mikrotik (WAN 37.37.37.55 шлюз провайдера 37.37.37.1, IP самой железки 177.44.44.1)
Далее идет Керио с локальный IP 192.168.1.10, на который заведен интернет-интерфейс 177.44.44.10, шлюз 177.44.44.1

Сам интернет работает и ходит куда угодно.
В правилах трафика Керио выставлен MAP на тачку(192.168.1.11), которая является веб-сервером.
Мол, если кто-то стучится до 177.44.44.11, то отправить его на 192.168.1.11.

Без микротика на границе эта схема работает, с ним - нет.

[Дмитрий Шицков]

Ничего не понятно, и чего добиться нужно - тоже не понятно.
Зачем вам там Микротик? ЧТо делает Микроктик, а что Керио? Что на Микротике настроено - выгрузку конфига в студию.

[profiterole38]

Дмитрий Шицков, Микротик выступает как обычный роутер, ибо провайдер не может мне выдать напрямую пул белых ip адресов и делает это посредствам другого ИП, который я заворачиваю на микротике в WAN
Керио же выступает как полноценный маршрутизатор.
Добиться нужно того, чтобы тачки с веб мордами были доступны извне по их белым IP

/interface bridge
add admin-mac=* auto-mac=no comment=defconf name=bridge protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp mac-address=*
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-DD74F7 wireless-protocol=802.11
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcppool2 next-pool=default-dhcp ranges=178.49.151.0/27
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
/ip settings
set accept-redirects=yes accept-source-route=yes
/ip address
add address=178.49.151.1/27 comment=defconf interface=bridge network=178.49.151.0
add address=37.194.203.155/24 interface=ether1 network=37.194.203.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=178.49.151.0/27 comment=defconf dns-server=178.49.132.66 gateway=178.49.151.1 netmask=27
/ip dns
set allow-remote-requests=yes servers=178.49.132.66,178.49.132.67
/ip dns static
add address=178.49.151.1 name=router
/ip firewall filter
add action=accept chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-state=new dst-address=178.49.151.0/27 in-interface=ether1
add action=accept chain=forward dst-address=178.48.151.0/27 in-interface=ether1 protocol=icmp
add action=accept chain=input comment="defconf: drop invalid" protocol=icmp
add action=accept chain=input dst-port=8291 in-interface=all-ethernet protocol=tcp
add action=accept chain=input in-interface=all-ethernet
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related dst-address=178.49.151.0/27
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related dst-address=!178.49.151.0/27
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes out-interface=ether1
add action=src-nat chain=srcnat disabled=yes src-address=192.168.202.1 to-addresses=178.49.151.0/27
add action=dst-nat chain=dstnat disabled=yes dst-address=178.49.151.0/27 in-interface=ether1 to-addresses=192.168.202.1
/ip route
add distance=1 gateway=37.194.203.1

/ip upnp
set enabled=yes
/system clock
set time-zone-name=Asia/Novosibirsk
/system identity
set name=Novotelecom_mkrtc
/system routerboard settings
set init-delay=0s

[Сергей]

человек хочет назначать реальники из пула провайдера =). вот и нагородил огород с керио и микротиком до которого идет впн

[Сергей]

poisons, и его дико напрягает что впн клиенты получают не реальники, а внутренние ипы и прутся в инет через нат )

[Сергей]

как я понял ))))))

Answer 1

[Дмитрий Шицков]

Ход конём - сделайте как провайдер - смаршрутизируйте полученную подсеть на Керио.