Как правильно настроить маршрутизацию?

Question

Кирилл @belyaevcyrill

Как правильно настроить маршрутизацию?

В локальной сети есть web-сервер, который настроен на 80 порт. На Микротике №1 настроен DNAT, с помощью которого пробрасываю 80 порт с WAN на web-сервер. Адрес Микротика №1 192.168.100.254, а адрес web-сервера 192.168.100.100. Проброс работает замечательно, пока Микротик №1 и web-сервер в одной подсети:

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.2.3.4 dst-port=80 \
in-interface=eth10 protocol=tcp to-addresses=192.168.100.100 to-ports=80

Но как только я переключаю web-сервер на подсетку 192.168.200.0/24 (присваиваю ему адрес 192.168.200.100), проброс перестаёт работать:

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.2.3.4 dst-port=80 \
in-interface=eth10 protocol=tcp to-addresses=192.168.200.100 to-ports=80

Хотя на Микротике №1 в статических маршрутах я указал подсеть 192.168.200.0/24, а на Микротике №2 указал подсеть 192.168.100.0/24. Обе подсети без проблем доступны друг другу.

Почему перестаёт работать проброс после переключения web-сервера на другую подсеть? Web-сервер без проблем пингуется. В логах видно, что NAT работает. Но складывается ощущение, что ответ от web-сервера не приходит.

Схема для наглядности:

Вопрос задан более трёх лет назад
1634 просмотра

6 комментариев

Подписаться 1 Оценить 6 комментариев

ТыжСисАдмин @POS_troi

Из схемы не понятно как у вас подключён второй тик, есть нат или нет.
С сервера есть пинг на 192.168.100.254?

Короч выкладывайте конфиги тиков.

Написано более трёх лет назад
Wexter @Wexter

у сервера шлюзом я так понимаю стоит 200.254? у него дефолт шлюзом кто идёт?

Написано более трёх лет назад
chupasaurus @chupasaurus

Согласен с Wexter , похоже на отстутсвие маршрута для 192.168.100.0/24 на сервере.

Написано более трёх лет назад
Кирилл @belyaevcyrill Автор вопроса

Wexter: У web-сервера основной шлюз — 192.168.200.254.
chupasaurus: Маршрут в "IP > Routes" прописал для 192.168.100.0/24 на 192.168.200.254. А на 192.168.100.254 прописал для 192.168.200.0/24. Этого разве недостаточно? Ведь 192.168.200.254 знает от 192.168.100.0/24.

Написано более трёх лет назад
Кирилл @belyaevcyrill Автор вопроса

Алексей POS_troi: да, пинг есть

Написано более трёх лет назад
Wexter @Wexter

Кирилл: вторую половину вы конечно проигнорили...
проблема в том что пакет от 2.2.2.2 приходит на 1.2.3.4, проходит dst-nat и становится пакетом от 2.2.2.2 к 192.168.200.100, приходит на сервер и уходит обратно через default шлюз, а именно на 192.168.200.254, на нём пакет идёт по тому-же default route, если нет более короткого префикса, соответственно обратно к 2.2.2.2 пакет уходит с другим внешним адресом, да ещё и с другого порта. либо делайте src-nat для пакетов к 192.168.200.100 на маршрутизаторе 192.168.100.254, либо поднимайте полноценный connection track с маркировками и несколькими таблицами маршрутизации

Написано более трёх лет назад

Решения вопроса 1

Комментировать

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Компьютерные сети

+3 ещё

Средний
Как получить полную скорость от cisco 2921?
- 1 подписчик
- 3 часа назад
- 25 просмотров
2

ответа
Mikrotik

+1 ещё

Средний
Firewall Mikrotik правило блокировки по портам заблокировал магазин хром, почему?
- 3 подписчика
- 20 часов назад
- 260 просмотров
0

ответов
Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- вчера
- 97 просмотров
2

ответа
Linux

+1 ещё

Простой
Как сделать автоматическую проверку работоспособности и рестарт Apache и Mariadb в случае падения?
- 1 подписчик
- 17 апр.
- 100 просмотров
2

ответа
Сетевое администрирование

+2 ещё

Средний
Логирование посещения сайтов windows server 2008, 2008 R2, 2019?
- 1 подписчик
- 17 апр.
- 143 просмотра
0

ответов
Android

+2 ещё

Простой
Wi-Fi. Странное поведение Нет антен — сигнал слабый, но пароль проходит. Есть антены — сигнал хороший, но пишет «неверный пароль» Почему?
- 1 подписчик
- 17 апр.
- 394 просмотра
1

ответ
Windows Server

+2 ещё

Средний
Как восстановить работу Active Directory в связке Mikrotik + Windows Server?
- 2 подписчика
- 17 апр.
- 202 просмотра
1

ответ
Компьютерные сети

+2 ещё

Простой
Какой набор оборудования нужен для соединения двух роутеров Mikrotik RouterBOARD 2011iL на расстоянии более 120 м?
- 3 подписчика
- 16 апр.
- 3238 просмотров
6

ответов
Компьютерные сети

+3 ещё

Средний
Почему не работает правило Firewall на OPNsense?
- 1 подписчик
- 16 апр.
- 114 просмотров
1

ответ
Windows Server

+2 ещё

Простой
Почему не работает проброс портов на SMB?
- 2 подписчика
- 16 апр.
- 119 просмотров
0

ответов
Показать ещё Загружается…

Senior ML Engineer (Computer Vision)

Gradient

от 450 000 ₽

Агент поддержки

PulseGPT

от 25 000 до 35 000 ₽

Computer vision developer

TQB - хай-тек рекрутмент по-хардкору • Москва

от 300 000 ₽

Английская версия для сайта на WordPress

20 апр. 2024, в 03:34

8000 руб./за проект

Доработать клиентское приложение для GTA 5 на C#

20 апр. 2024, в 00:51

1000 руб./за проект

Верстка и логика формы выбора билетов в зале для покупки

20 апр. 2024, в 00:43

10000 руб./за проект

Из схемы не понятно как у вас подключён второй тик, есть нат или нет.
С сервера есть пинг на 192.168.100.254?

Короч выкладывайте конфиги тиков.
у сервера шлюзом я так понимаю стоит 200.254? у него дефолт шлюзом кто идёт?
Согласен с Wexter , похоже на отстутсвие маршрута для 192.168.100.0/24 на сервере.
Wexter: У web-сервера основной шлюз — 192.168.200.254.
chupasaurus: Маршрут в "IP > Routes" прописал для 192.168.100.0/24 на 192.168.200.254. А на 192.168.100.254 прописал для 192.168.200.0/24. Этого разве недостаточно? Ведь 192.168.200.254 знает от 192.168.100.0/24.
Кирилл: вторую половину вы конечно проигнорили...
проблема в том что пакет от 2.2.2.2 приходит на 1.2.3.4, проходит dst-nat и становится пакетом от 2.2.2.2 к 192.168.200.100, приходит на сервер и уходит обратно через default шлюз, а именно на 192.168.200.254, на нём пакет идёт по тому-же default route, если нет более короткого префикса, соответственно обратно к 2.2.2.2 пакет уходит с другим внешним адресом, да ещё и с другого порта. либо делайте src-nat для пакетов к 192.168.200.100 на маршрутизаторе 192.168.100.254, либо поднимайте полноценный connection track с маркировками и несколькими таблицами маршрутизации

Answer 1 · 2017-06-07 10:03:07

Не стал заморачиваться. Просто прописал web-серверу второй сетевой интерфейс и назначил адрес подсети первого микротика. А на самом Микротике сделал проброс.

Answer 2 · 2017-06-05 23:12:51

Не совсем ясно есть ли фаирволлы. Но могу предположить следующее:
1) На первом тике фаирволом глушатся соединения в интернет для всех кроме 192.168.100.0/24.
2) Web сервер не знает где искать интернет =)
3) На 2м тике нет маршрута в интернет.

Answer 3 · 2017-06-06 14:35:29

Константин Степанов @koronabora

Человек

Дать микротику где происходит проброс портов второй ip из подсети сервера.

Ответ написан более трёх лет назад

Комментировать

Как правильно настроить маршрутизацию?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт