- NAT 2 router
+ Responder ao Tópico
-
NAT 2 router
Pessoal,
Tenho uma necessidade bem especifica, que exige uma solução a principio diferente.
Gostaria primeiro de saber como fazer depois posso pensar em outro arquitetura. É que eu tenho certeza que muita gente já vai me dar conselho de mudar minha rede antes de responder minha necessidade.
Já verifiquei:
/ip settings
set rp-filter=no tcp-syncookies=no
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=10m tcp-fin-wait-timeout=10s \
tcp-last-ack-timeout=10s tcp-max-retrans-timeout=5m tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-time-wait-timeout=10s tcp-unacked-timeout=5m \
udp-stream-timeout=3m udp-timeout=10s
Tenho 2 routers com BGP divulgo um /22 nos 2 e diferentes /23 em cada um.
Tenho 1 cliente com ip interno que preciso fazer NAT para 1 ip especifico que o download vem pelo router 2, porem preciso fazer o upload dele pelo router 1.
Digamos que:
10.1.1.2 -> 203.0.113.2
Para isso no router 1 e no router 2 criei as seguintes regras:
/ip firewall nat
add action=dst-nat chain=dstnat comment="CLI 2" dst-address=203.0.113.2 to-addresses=10.1.1.2
add action=src-nat chain=srcnat comment="CLI 2" out-interface="ether-Link" src-address=10.1.1.2 to-addresses=203.0.113.2
Quando o upload e download ocorre no mesmo router funciona de boa, seja qual for o router, quando o upload e download ocorre em links diferentes ai não funciona.
O que devo verificar mais?
-
Re: NAT 2 router
É que você só tá mascarando a saída... Faz mais uma regra em cada Router dizendo que quando o dst-address for o 10.1.1.2 na "action" você quer MASQUERADE. Acho que assim funciona.
Enviado via XT1563 usando UnderLinux App
-
Re: NAT 2 router
Nat de qualquer IP da Internet para o IP do meu router não rola fazer.
Enviado de meu SM-G800H usando Tapatalk
-
Re: NAT 2 router
Resolvi.
Eu fiz 2 regras mas a verdade é que não preciso da regra de entrada. Regra de Nat só vale pro início da conexão. Ou seja a regra de entrada só serve pra novas conexões externas.
Nat é processado antes do roteamento. Por tanto se a regra de Nat cria a conexao de saida o pacote de volta bate, o IP de destino do pacote que entra é convertido pro IP interno, se não o IP externo continua.
Se o IP externo continua então tem que ir pra algum lugar. Solução mandei pro outro roteador, um roteador manda pro outro os IPs que deveriam ter sofrido NAT.
Enviado de meu SM-G800H usando Tapatalk