Mikrotik подменить адрес wan?

Question

[Ingvarr]

Доброго времени! Хотелось бы уточнить. Вдруг есть какое либо "чудное зелье"

Есть mikrotik с внешним ip 1.1.1.1 и локалка 192.168.1.0/24
Есть пк с ip 192.168.1.150 и портом ну скажем tcp 3388
Стоит проброс портов, и при обращении из вне на адрес 1.1.1.1 порт 3388 мы попадаем по факту на 192.168.1.150 тот же порт.
Беда заключается в том, что при таком раскладе на сервере 192.168.1.150 в логах я буду отобрааться как ip 192.168.1.1 а нужно, что бы идентифицировался внешний ip с которого я подключаюсь, к примеру 2.2.2.2 или какой либо еще, nat же диктует свои правила и шлет адрес маршрутизатора!

Есть ли решение данно задачи или это возможно только при раскладе, что 1.1.1.1 будет воткнут в машину физически!?

Comments

[Дмитрий Шицков]

Как-то вы "не так" нат настраиваете. dst-nat подменяет лишь адрес назначения, но не источника. Где-то лишний маскарадинг

[Valentin Barbolin]

Вопрос изъеденный со всех сторон.
Когда из локалки подключаешься через внешний адрес в ту же локалку, то есть только два варианта.
- Hairpin_NAT https://wiki.mikrotik.com/wiki/Hairpin_NAT, что ты по факту и сделал
- split DNS

[Олег Попов]

Если я правильно понял вопрос: - Можно ли увидеть в логах сервера внешние ip-адреса, с которых идет подключения????
НЕТ!!! Всегда будет отображаться адрес mikrotik_а!!!
А вот в логах микротика можно настроить - кто подключается к нему по по указанному порту!!!
- Создаёте в firewall_е правило разрешающее подключение по нужному порту к wan-интерфейсу микротика и включаете для этого правила - логирование. У меня, например, на NAS-сервере поднят Syslog server, а на микротике настроено - отправлять определенные логи на этот сервер.
Ну вот как-то так :)
P.S. Хотя сейчас многие провайдеры (в том числе все мобильные операторы) - выдают серые адреса своим абонентам. По этому Ваш микротик увидит только белый адрес NAT - того оператора, через которого идет подключение от пользователя...

[Ingvarr]

Andrey Barbolin, Спасибо конечно, но у меня есть hairpin Nat. Задача в другом.

[Ingvarr]

Олег Попов, в том то и беда, человек заходит на сервер и что то делает не хорошее, его банит. Соответственно банит по ip, а значит банит всех.

[Valentin Barbolin]

Ingvarr, Обычно в бан системах есть такое понятие как whitelist.

[Ingvarr]

Andrey Barbolin, в том то и дело, толку заносить в белый лист up 192.168.1.1. Какой толк от бана, он тогда работать не будет , для адресов из вне

[Valentin Barbolin]

Ingvarr, Скорее всего ты не правильно настроил Hairpin_NAT. Адреса из вне должны отображаться корректно, маскироваться адресом 192.168.1.1 должны только адреса из локальной сети.

Тут можно долго гадать на пальцах, может просто покажешь конфигурацию firewall.

Вывод команды export [admin@MikroTik] > /ip firewall export

[Ingvarr]

Вообщем задачу решил сам. Просто тотальная усталость сказалась!
При условии использования статического белого ip от провайдера. Нужно использовать на Mikrotik не masquerade, а srcnat
И все будет правильно определятся. на скрине видно как после использования srcnat все стало работать!

Спасибо всем конечно за участие. Но все ответы и попытки помочь в корне не верны! За редким отдаленным исключением!

Answer 1

[zvl]

Смотри внимательно правила SNAT
Не надо транслировать внешние адреса.

Comments

[Ingvarr]

Не совсем понятно, что значит не надо транслировать «внешние адреса» ??

[zvl]

Ограничь трансляцию адресов только диапазоном внутренних сетей которые должны выходить в интернет