Въпрос за странно рутиране.

[BO]

Здравейте,

Изникна отново нуждата от рутиране през маскиране.

Та идеята е следната.

Имам микротик, който държи вход интернет (WAN) и локална мрежа.

Локалната мрежа да кажем е стандартна - 192.168.0.0/24

Та в тази локална мрежа имаме компютър с адрес 192.168.0.100 да речем.

Адреса на рутера да речем е 192.168.0.1

Та на този компютър от вътрешната мрежа има два интерфейса - единия си е локалния 192.168.0.100 а другия си е с реален външен адрес да речем 80.80.80.80

Та дефаултнния рутер на този комоютър е на другия интерфейс - да речем 80.80.80.1

Та идеята:

Като нетмапна порт през микротик рутера, той да маскира заявката като все едно идва от себе си.

Идеята, е че като се нетмапне да речем 22 порт през микротика, той мапва към вътрешен адрес на този компютър - 192.168.0.100 към порт 22. Ама това компютърче ми вижда реалния адрес от който идвам и се опитва да ми върне отговора през неговия си дефаул роут който е 80.80.80.1 и по този начин става объркването.

Та не може да се влезне в този компютър, за да му се зададат твърди рутинги.

За това ми е идеята като влезне заявката в микротик рутера той от своя страна да не закарва директно пакета до нет-мапа който съм му задал, а да маскира заявката, все едно идва от адрес от вътрешната мрежа (някой си който и да е - примерно 192.168.0.4), за да може след това компютъра от вътрешната мрежа да отговори на този маскиран адрес през правилния интерфейс и да дойде отново до мен през WAN интерфейса на рутера.

Дано съм го обяснил добре и разбираемо.

Поздрави.

[111111]

давай заявката отвън навътре да не е на :22 а примерно на :222

това с порт редирект

ако съм те разбрал

[BO]

давай заявката отвън навътре да не е на :22 а примерно на :222

това с порт редирект

ако съм те разбрал

Все тая.

Нали вътрешния компютър вижда реалния адрес от който идва заявката в пакета и не връща по същия маршрут на вътрешната мрежа, да мине през рутера и навън, а връща отговора през другия интерфейс, защото там му е дефаулт гейтуея и пакетите отиват в "нищото"

Това е проблема.

За това искам някак си да маскирам трафика на вход все едно идва заявката от компютър от вътрешната мрежа, за да се ориентира по интерфейс, а не да използва гейтуей.

[111111]

май ще трябва картинка

на компа с публичното ип

редиректваш входящ порт :222 към ип:22 на машината вътре

дори и с winbox става

[BO]

май ще трябва картинка

на компа с публичното ип

редиректваш входящ порт :222 към ип:22 на машината вътре

дори и с winbox става

Наистина ще трябва картинка.

И малко обяснение.

На мен не ми пречи - порт редиректа е ясен. С него няма проблеми.

Проблема идва от там, че пакета за да няма проблеми трябва да се върне по същия маршрут, а да не заявката да идва през един интернет доставчик, а отговора да се връща от друг интернет доставчик.

За това малко пояснение.

pc1 търси рутера на външния му адрес - 79.79.79.79 на порт да речем 80.

В рутера му е казано примерно:

add chain=dstnat protocol=tcp dst-port=80 in-interface=WAN action=netmap to-addresses=192.168.0.100 to-ports=80

ОК ако всичко е наред и вътрешния компютър pc2 няма външен адрес и default gateway му е рутера (192.168.0.1) то този ПЦ започва да сервира уеб и няма грижа.

Обаче ако pc2 има друг интерфейс с адрес 80.80.80.80 и default gate за цялата машина 80.80.80.1 то какво се получава.

Аз си пращам заявката за уеб до 79.79.79.79. Заявката стига до рутера по път-1. Рутера от своя страна редиректва заявката към вътрешен адрес до пц2 и тя стига реално до 192.168.0.100. До тук добре.

Сега става объркването.

пц-2 вижда заявката, че идва от пц1 с адрес 78.78.78.78 и връща отговор към въпросния адрес. Обаче default gateway за pc2 е неговия WAN интерфейс с адрес 80.80.80.80 и отправя отговора през другия интерфейс през път-2. По този начин отговора от пц-2 минава през път-2 през друг интернет доставчик и пакетите пристигат до пц-1 със съвсем друг src адрес и става мазалото - нищо не работи.

Та идеята ми е как да стане следното нещо или подобно:

На рутера се вдига примерно адрес 192.168.0.2

Аз като питам рутера 79.79.79.79 за порт 80 той да ме редиректне към пц2, ОБАЧЕ рутера от своя страна да маскира заявката към пц2 и пц2 да вижда, че все едно заявката идва от адрес 192.168.0.2

По този начин пц2 вижда заявката, че е направена от ИП 192.168.0.2 и връща по подразбиране заявката към този адрес, защото приоритета му е LAN интерфейса, защото има вдигната мрежа върху него и в рутинг таблицата му знае къде се намира въпросната мрежа. От своя страна отговора се връща обратно от рутера към пц-1.

Та ако мога така да опиша ситуацията.

[gbdesign]

iptables -t nat -A PREROUTING -p tcp -d 79.79.79.79 --dport 222 -j DNAT --to 192.168.0.100:20

Пускаш на рутера и няма как да не стане.

после си търсиш SSH на 79.79.79.79 на порт 222.

Имам подобни постановки но машините са с по 2 публични адреса...казано иначе, от където и да мине все ще стигне на правилното място Също така не можах да схвана идеята... да търсиш връзка с маскиран IP адрес при условие че машината си има публичен и през който е по-нормално да се свържеш

[111111]

ситуацията е при падане на доставчик (предполагам)

при редирект към вътрешен лан няма значение

се едно се свързваш със съседна машина