Redirect Interno

[naruto1234]

Ragazzi, mi trovo difronte ad una cosa semplice che mi sta facendo incavolare.
Premetto ho un rb450g in dual WAN, che somma le due connessioni 5Mb + 5Mb, in più ho inserito delle dst-nat verso un server interno 192.168.0.9, così da poterlo raggiungere da tutti e due gli ip pubblici.
Il problema, se così vogliamo dire è un redirect che vorrei fare:
dst-nat:
src - 192.168.0.0/24 dst 82.x.x.x (l'ip pubblico) dst-nat 192.168.0.9

Cioè vorrei che gli ip interni quando pingano l'ip pubblico vengono rigirati direttamente sull'ip 192.168.0.9.
Ma in questo caso non funziona.
Qualche idea? MANGLE? anche qui?? E come?
Grazie

[ppraz]

Purtroppo stando nella stessa subnet non funziona
Devi invece mettere il server su una subnet differente, ad esempio 192.168.1.0/24

[naruto1234]

Eppure se metto una normale rete che natta ad un solo ip senza le regole di mangle, il redirect funziona :S, solo in questo caso mi da dei problemi

[naruto1234]

Cmq non funziona anche cambiando la subnet

[figheras]

Fai export del NAT + mangle e uno schema di rete

[naruto1234]

/ip route
add check-gateway=ping distance=1 gateway=192.168.4.1 routing-mark=to_WAN1
add check-gateway=ping distance=1 gateway=192.168.3.1 routing-mark=to_WAN2
add check-gateway=ping distance=1 gateway=192.168.4.1
add check-gateway=ping distance=2 gateway=192.168.3.1

ip firewall mangle
add action=mark-connection chain=input in-interface="WAN1" new-connection-mark=WAN1_conn
add action=mark-connection chain=input in-interface="WAN2" new-connection-mark=WAN2_conn
add action=mark-routing chain=output connection-mark=WAN1_conn new-routing-mark=to_WAN1
add action=mark-routing chain=output connection-mark=WAN2_conn new-routing-mark=to_WAN2
add chain=prerouting dst-address=192.168.4.1/24 in-interface="WAN-OUT - Bridge"
add chain=prerouting dst-address=192.168.3.1/24 in-interface="WAN-OUT - Bridge"
add action=mark-connection chain=prerouting dst-address-type=!local in-interface="WAN-OUT - Bridge" new-connection-mark=WAN1_conn per-connection-classifier=both-addresses-and-ports:2/0
add action=mark-connection chain=prerouting dst-address-type=!local in-interface="WAN-OUT - Bridge" new-connection-mark=WAN2_conn per-connection-classifier=both-addresses-and-ports:2/1
add action=mark-routing chain=prerouting connection-mark=WAN1_conn in-interface="WAN-OUT - Bridge" new-routing-mark=to_WAN1
add action=mark-routing chain=prerouting connection-mark=WAN2_conn in-interface="WAN-OUT - Bridge" new-routing-mark=to_WAN2

ip firewall nat
add action=dst-nat chain=dstnat dst-address=81.x.x.x src-address=192.168.0.0/24 to-addresses=192.168.0.9
add action=masquerade chain=srcnat out-interface="WAN1"
add action=masquerade chain=srcnat out-interface="WAN2"

Lo schema di rete è semplice

1x router alice = 192.168.4.1
1x router vodafone = 192.168.3.1

collegati alla RB Mikrotik su Ethernet 1 (Alice) Ethernet 2 (Vodafone)

Il resto delle porte in bridge (3,4,5) con ip 192.168.0.1/24

P.s. l'indirizzo 81.x.x.x è statico.

[figheras]

ip firewall nat
add action=dst-nat chain=dstnat dst-address=81.x.x.x src-address=192.168.0.0/24 to-addresses=192.168.0.9

Prova a fare una regola piu specifica, del tipo:

Codice: Seleziona tutto

add action=dst-nat chain=dstnat dst-address=81.x.x.x dst-port=8080 protocol=tcp src-address=192.168.2.0/24 to-addresses=192.168.1.251 to-ports=80

Quindi quando interrogo questo socket 81.x.x.x:8080 mi ridirige sul server web interno 192.168.1.251:80
Devi solo modificare questo esempio per come serve a te!

[naruto1234]

Avevo già provato così ma niente :S

[ppraz]

Hai provato a mettere il server su una subnet diversa?
Io ho un server dns con ip privato su una subnet dedicata.
Gli utenti lan puntano il suo ip pubblico, così come gli utenti che vengono dall'esterno.
Ti pasto le mie regole:

Codice: Seleziona tutto

/ip firewall nat print
chain=srcnat action=src-nat to-addresses=46.x.x.x src-address=10.0.248.30
chain=dstnat action=dst-nat to-addresses=10.0.248.30 to-ports=80 protocol=tcp
     dst-address=46.x.x.x dst-port=80
chain=dstnat action=dst-nat to-addresses=10.0.248.30 to-ports=53 protocol=udp
     dst-address=46.x.x.x dst-port=53


Gli utenti lan hanno ip 10.0.0.0/24, nessun utente sta sulla 10.0.248.0/24

[naruto1234]

Grazie per la risposta, ma come ti avevo gia risposto, non mi funziona anche cambiando la subnet, con una normale configurazione, quindi con una sola WAN questo sistema funziona perfettamente, ma in dual WAN no, se porvi a settare le impostazioni che ho pubblicato, su una macchina virtuale ad esempio noterai subito il problema :S