Как скрыть внутренние адреса сети в Mikrotik?

Question

[Roc27]

Всем привет.
Имеются 2 маршрутизатора Mikrotik.
Первый управляет всеми соединениями, маркировки там всякие, деления канала, впн и так далее. К нему подключаются пользователи.
Адрес микротика 192.168.88.1. В его сети у всех адреса 192.168.88.10-100.
В нем стоит маршрут по-умолчанию на второй Mikrotik.
Второй Mikrotik все что делает это соединяется с интернетом и соответственно дает интернет первому Микротику.
Проблема такая:
Второй микротик видит все соединения пользователей первого микротика с интернетом. То есть IP адрес 192.168.88.100 находящийся в сети первого микротика обращается к IP 8.8.8.8, во время обращения второй микротик видит всю цепочку. И так со всеми соединениями.
Как сделать что бы второй микротик видел вместо 192.168.88.100->8.8.8.8 192.168.88.1->8.8.8.8?

Comments

[Vadim Priluzkiy]

Поднять и на первом микроте NAT... Только зачем?

[Roc27]

Vadim Priluzkiy, мне нужно, что бы на втором не видели какой ip куда подключается.

[Vadim Priluzkiy]

Roc27, Он не в вашей юрисдикции? Тогда, как я уже сказал, поднимайте на своём первом NAT, вместо нормальной маршрутизации.

[Roc27]

Vadim Priluzkiy, а можно подробнее как нат без маршрутизации настроить?
Кстати маскарад в нате делал, но подмены ip так и нет.

[Ruslan-Strannik]

В нем стоит маршрут по-умолчанию на второй Mikrotik.

указать в network шлюзом себя. далее маскарад в нате

[Ruslan-Strannik]

читай любую статью "как сделать гостевую сеть на МТ" . и по аналогии сделай. все на этом

[Roc27]

Ruslan-Strannik, Network это тот который в настройках DHCP? Там и так прописано микротик. Маскарад на интерфейс идущий ко второму микротику в нате тоже прописан.

[Ruslan-Strannik]

ну значит чтото не так делаешь. либо они в одной сети, либо не там маскарад. либо еще чтото. Если уверен в обратном, то напиши конкретно какие у тебя правила маршрутизации и ната.

[Roc27]

Ruslan-Strannik,
IP-Routes
Dst. Address: 0.0.0.0/0
Gateway: интерфейс второго мироктика
Distance: 1
Остальное по-умолчанию.
IP-Firewall-NAT:
Chain: srcnat
Out. Interface: интерфейс второго мироктика
Action: masquerade
Остальное по-умолчанию.

[Roc27]

Ruslan-Strannik, сети разные.
Первый микротик 192.168.88.0
Второй микротик: 192.168.250.0

[Ruslan-Strannik]

пользуйся экспортом
\ip route export

Gateway: интерфейс второго мироктика

Out. Interface: интерфейс второго мироктика

КАК?!?!

[Roc27]

Ruslan-Strannik, ко второму подключается через eth4. Собственно eth4 и указывается в gateway и out. Interface.

[Ruslan-Strannik]

как можно задавать вопрос, если не можешь сформулировать то, что имеешь ввиду?
в gateway ты никак не укажешь интерфейс другого маршрутизатора!!! указываешь айпи адрес следующего роутера, либо интерфейс по которому твой роутер соединяется со следующим (pppoe-out1 например)

[Ruslan-Strannik]

Roc27,

ко второму подключается через eth4. Собственно eth4 и указывается в gateway и out. Interface.

это неверно.
указывай айпи

[Ruslan-Strannik]

Остальное по-умолчанию.

в таком случае ether4 надо исключить из бриджа. повесить на него айпи-адрес. например 192.168.250.10/24. и далее маршрут по умолччанию gateway=192.168.250.1 . тогда маскарад на ether4.
так получится что ПК подключаются к твоему роутеру и маскарадятся дальше, в другую сеть. связка ip-ip между микротиками получается

[Roc27]

Ruslan-Strannik, вот все так и есть сейчас. Eth4 с отдельным ip и не в бридже. Gateway прописал ip, ничего не изменилось. Интернет есть, все работает, но второй микротик палит ip юзеров.

[Ruslan-Strannik]

Eth4 с отдельным ip и не в бридже.

вот видишь? оказывается остальное не по-умолчанию. что еще там у тебя?

export file=111
дай содержание почитать. интересно даже

Answer 1

[Turilion]

Выкинуть из схемы второй микротик, настроить маршрутизацию и замаскарадить внутренних сеть.

Answer 2

[RomanKu]

Если оставить схему с 2 микротиками (допустим, так надо), то на 1 надо включить маскарадинг на 2, т.е. вместо маршрутизации настроить NAT по аналогии тем, как это сделано на 2 роутере. В итоге 1 роутер будет знать кто и куда ходит, а на второй роутер будет уходить только один адрес 1 роутера. https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

Если необходимо полностью скрыть присутствие узлов 192.168.88.100, то надо исправить ttl в пакетах.

/ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes

Comments

[Roc27]

Можно подробнее как вместо маршрутизации настроить NAT?
На 2м NAT и маршрутизация настроена аналогично первому.
Подмена TTL никак не помогла.

[RomanKu]

/ip firewall nat
add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none \
    out-interface=<INTERFACE TO ROUTER 2> src-address=192.168.88.0/24

Еще не совсем понятно разделение сетей, обе находятся в 192.168.88.100?
Если делать скрытие сети, то так:

[PC 192.168.88.100] ---- [LAN:192.168.88.0/24] --- [192.168.88.1:ROUTER1:192.168.1.20] ---- [LAN 192.168.1.0/24] ---- [192.168.1.1:ROUTER2:1.1.1.1] ---- [INTERNET]

В такой схеме из сети 192.168.88.0/24 при помощи ната все адреса будут транслироваться в 192.168.1.20 и отправляться на 2 роутер, а он в свою очередь будет при помощи ната транслировать эти адреса в сеть 1.1.1.1

Надо понимать, что при наличии 2х адресов у роутера 1 (192.168.88.1 и 192.168.1.20) на роутер 2 будут уходить только из сети 1.0/24 а о сети 88.0/24 он ничего не будет знать.

Если же надо, чтобы работала схема

[PC 192.168.88.100] ---- [LAN:192.168.88.0/24] --- [ROUTER1:192.168.88.1] ---- [LAN 192.168.88.0/24] ---- [192.168.88.2:ROUTER2:1.1.1.1] ---- [INTERNET], то это очень сложно реализовать

Подмена TTL нужна только для дополнительного скрытия факта ната, например, по этому параметру сотовые операторы определяют факт раздачи Интернета через мобильный телефон по WiFI

Answer 3

[SysAn]

Какие маски подсети?