Problema Layer2 con piu router

[maxumi]

Niente, il problema è su queste benedette regole di NAT.
Ho notato che nel RB1000 in cui funziona tutto, le NAT sono tutte in Masquerade (su un unico IP esterno)
Invece nella CCR1036 in cui ho il problema ho impostato rules di NAT in src-nat e same, per avere appunto un maggior controllo degli ip e per poter diversificare.

Inoltre l'altra grande differenze è che sulla CCR ho dovuto creare un Bridge Virtuale, non assegnato a nessuna interfaccia fisica, ma con attestati gli IP della subnet pubblica che mi arriva tramite rotta statica.

Secondo voi potrebbe dipendere da una di queste?

[ppraz]

Ciao,
mi ero dimenticato di te
le regole di nat intervengono ogni qual volta c'è un match con i parametri che metti tu
se hai una regola che dice ad esempio

Codice: Seleziona tutto

chain=srcnat action=src-nat to-addresses=IP_PUBBLICO_1 src-address=192.168.100.0/24


Questa interviene ogni volta che un pacchetto con quei source address attraversa il router, anche se si tratta di un pacchetto LAN-to-LAN, mentre è ovvio che l'intenzione che hai è di nattare solo nel caso LAN-to-WAN.
Per questo puoi modificare la regola aggiungendo un flag di "out-interface"

Codice: Seleziona tutto

chain=srcnat action=src-nat to-addresses=IP_PUBBLICO_1 src-address=192.168.100.0/24 out-interface=NOME_INTERFACCIA_WAN


Con questa modifica già dovrebbe bastare, altrimenti devi trovare una ulteriore discriminante per separare il traffico che necessita davvero nat da quello che invece deve passare inalterato.

Spero che stavolta ci siamo!

[maxumi]

io te lo avevo detto che sei mitico!!! Impostando l'interfaccia di OUT, il problema sembra risolto. Devo finire di fare tutti i test e modificare le varie rules ma sembra andare bene.

Secondo te, per come è impostata la mia configurazione dovrò impostare l'interface di out anche per regole di NAT 1:1 dei clienti con ip pubblico? ed anche per i port forward?

[ppraz]

La differenza principale è che se non specifichi l'out-interface devi collegarti alla cpe dell'utente usando l'ip pubblico
se invece la specifichi devi usare il privato
in linea di principio una volta che un utente ha l'ip pubblico statico devi usare sempre quello e non più l'ip privato
in risposta quindi: non impostare l'out-interface in quei casi

[maxumi]

Dopo aver risolto il problema precedente. Ne sorge un altro. (ma di importanza molto minore)

Provando a raggiungere dalla Lan interna un servizio attivo con portforwarding, dall'esterno lo raggiungo correttamente. Invece se la richiesta la faccio da un client interno non riesce ad arrivare a destinazione.

Presumo che dipenda dal fatto che avendo impostato l'out-interface sulle rules di NAT, quando arriva una richiesta da dentro la rete non venga gestita correttamente.

Qualche consiglio?

[maxumi]

Risolto anche questo ultimo quesito.

con: http://wiki.mikrotik.com/wiki/Hairpin_NAT