+ Responder ao Tópico

  1. Pessoal,

    Tenho uma necessidade bem especifica, que exige uma solução a principio diferente.
    Gostaria primeiro de saber como fazer depois posso pensar em outro arquitetura. É que eu tenho certeza que muita gente já vai me dar conselho de mudar minha rede antes de responder minha necessidade.

    Já verifiquei:
    /ip settings
    set rp-filter=no tcp-syncookies=no
    /ip firewall connection tracking
    set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=10m tcp-fin-wait-timeout=10s \
    tcp-last-ack-timeout=10s tcp-max-retrans-timeout=5m tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-time-wait-timeout=10s tcp-unacked-timeout=5m \
    udp-stream-timeout=3m udp-timeout=10s



    Tenho 2 routers com BGP divulgo um /22 nos 2 e diferentes /23 em cada um.
    Tenho 1 cliente com ip interno que preciso fazer NAT para 1 ip especifico que o download vem pelo router 2, porem preciso fazer o upload dele pelo router 1.
    Digamos que:
    10.1.1.2 -> 203.0.113.2



    Para isso no router 1 e no router 2 criei as seguintes regras:

    /ip firewall nat
    add action=dst-nat chain=dstnat comment="CLI 2" dst-address=203.0.113.2 to-addresses=10.1.1.2
    add action=src-nat chain=srcnat comment="CLI 2" out-interface="ether-Link" src-address=10.1.1.2 to-addresses=203.0.113.2

    Quando o upload e download ocorre no mesmo router funciona de boa, seja qual for o router, quando o upload e download ocorre em links diferentes ai não funciona.
    O que devo verificar mais?


  2.    Publicidade


  3. É que você só tá mascarando a saída... Faz mais uma regra em cada Router dizendo que quando o dst-address for o 10.1.1.2 na "action" você quer MASQUERADE. Acho que assim funciona.

    Enviado via XT1563 usando UnderLinux App

  4. Nat de qualquer IP da Internet para o IP do meu router não rola fazer.

    Enviado de meu SM-G800H usando Tapatalk

  5. Resolvi.
    Eu fiz 2 regras mas a verdade é que não preciso da regra de entrada. Regra de Nat só vale pro início da conexão. Ou seja a regra de entrada só serve pra novas conexões externas.

    Nat é processado antes do roteamento. Por tanto se a regra de Nat cria a conexao de saida o pacote de volta bate, o IP de destino do pacote que entra é convertido pro IP interno, se não o IP externo continua.
    Se o IP externo continua então tem que ir pra algum lugar. Solução mandei pro outro roteador, um roteador manda pro outro os IPs que deveriam ter sofrido NAT.

    Enviado de meu SM-G800H usando Tapatalk




Visite: BR-Linux ·  VivaOLinux ·  Dicas-L