И
Hasper
а клиент за микротом то же гигабит? или не дай бог wifi?
разные. тестил по кабелю
Size: a a a
2020 December 25
E
Иван
разные. тестил по кабелю
еще раз. смотри на загрузку процессора во время теста.
И
еще раз. смотри на загрузку процессора во время теста.
буду тестить с мониторингом.
VP
Andrey Shamin
Ipsec tunnel траффик на микротик как то фильтруется?
Да.
MA
В каком смысле?
Допустим провайдер выдал тебе два адреса: 1.0.0.2 и 1.0.0.3
1.0.0.2 - общий нат - им натятся все, кто хочет выйти во внешний мир
1.0.0.3 - допустим вёб-сервер
Внутри сети клиенты живут на 192.168.88.0/24, вёбсервер 192.168.88.80
Так вот одним правилом мы говорим
1.0.0.2 - общий нат - им натятся все, кто хочет выйти во внешний мир
1.0.0.3 - допустим вёб-сервер
Внутри сети клиенты живут на 192.168.88.0/24, вёбсервер 192.168.88.80
Так вот одним правилом мы говорим
"in-iface-list=lan out-iface-list=wan action=src-nat to-address=1.0.0.2"и вторым говорим
"in-iface-list=wan dst-address=10.0.0.3 proto=tcp dst-port=80 action=dst-nat to-address=192.168.88.80"
Так вот если сервер сам пойдёт на условный ip.ya.ru ему покажут адрес 1.0.0.2, но и если к серверу придут на http://1.0.0.3/ то тоже всё будет работать.PM
правило статического ната в циске заменяется 1-мправилом dst nat в микроте или еще нужен src-nat
На микротике нужен dst и src для аналогии. Static nat у циски это ж жёсткая привязка адресов 1в1 в обе стороны
M
На микротике нужен dst и src для аналогии. Static nat у циски это ж жёсткая привязка адресов 1в1 в обе стороны
вот.. т.е. 1 правило в циске вытекает в 2 на микроте
M
Допустим провайдер выдал тебе два адреса: 1.0.0.2 и 1.0.0.3
1.0.0.2 - общий нат - им натятся все, кто хочет выйти во внешний мир
1.0.0.3 - допустим вёб-сервер
Внутри сети клиенты живут на 192.168.88.0/24, вёбсервер 192.168.88.80
Так вот одним правилом мы говорим
1.0.0.2 - общий нат - им натятся все, кто хочет выйти во внешний мир
1.0.0.3 - допустим вёб-сервер
Внутри сети клиенты живут на 192.168.88.0/24, вёбсервер 192.168.88.80
Так вот одним правилом мы говорим
"in-iface-list=lan out-iface-list=wan action=src-nat to-address=1.0.0.2"и вторым говорим
"in-iface-list=wan dst-address=10.0.0.3 proto=tcp dst-port=80 action=dst-nat to-address=192.168.88.80"
Так вот если сервер сам пойдёт на условный ip.ya.ru ему покажут адрес 1.0.0.2, но и если к серверу придут на http://1.0.0.3/ то тоже всё будет работать.верю, но считаю это "не очень"...
MA
верю, но считаю это "не очень"...
Если тебе нужен только dst-nat то src-nat можешь не делать и работать будет
PM
Ага, именно так. Вопрос, насколько это реально нужно. Но это уже другой вопрос))
M
Если тебе нужен только dst-nat то src-nat можешь не делать и работать будет
придется делать второй srcnat, персональный для этого сервака
MA
придется делать второй srcnat, персональный для этого сервака
не придётся же
M
Ага, именно так. Вопрос, насколько это реально нужно. Но это уже другой вопрос))
сервак с серым адресом прозрачно выставленный в интернет, защита только некоторыми правилами FW
M
не придётся же
ну я чтобы он выходил под 10.0.0.3 из твоего примера
MA
MA
их контрек отработает
M
Ответы от него пойдут от 1.0.0.3 достаточно одного правила dst-nat
ответы да, но самостоятельный выход, как я понял, нет
MA
ответы да, но самостоятельный выход, как я понял, нет
верно
MA
MA
соответсвенно на 1.0.0.3 я сдеал проброс 80 на 192.168.88.80
а на 10.0.0.4 я сделал проброс 25 на 192.168.88.80
а на 10.0.0.4 я сделал проброс 25 на 192.168.88.80