routování za FW

[hol]

ahoj,

mám zas jednu vychytávku a prostě nevím.

Nouzově máme cca toto řešení. První MK v síti s natem a ostatníma fičurama je píchlý do switche providera. Do druhého portu je píchlej serveřích, porty jsou do bridge. Aby byl serveřík dostupný z vnitřní sítě, máme udělaný 10kový rozsah, který normálně routujeme. Na prvním MK je adresa 10.10.10.1, na servříku je kromě veřejné 10.10.10.254 a jsou tam routy:
route add -net 10.0.0.0 netmask 255.0.0.0 gw 10.10.10.1
route add -net 192.168.0.0 netmask 255.255.0.0 gw 10.10.10.1
pro návrat packetů do vnitřní sítě.

na MK je routa dynamická
2 ADC 10.10.10.0/24 10.10.10.1 ether1-inet 0

Takže ze serveříku do vnitřní sítě normálně vidím, ale pokud bych pinkal z vnitřní sítě na 10.10.10.254, tak to nejde. Skončí to na maškarádě, kterou řešíme src-natem, aby jsme mohli jednotlivé segmenty sítě směrovat na různé veřejné. Pokud vypnu příslušný src-nat ze segmentu odkud pinkám, normálně to jde.
příklad src-natu:
chain=srcnat action=src-nat to-addresses=77.48.XXX.YYY src-address=192.168.165.0/24 out-interface=ether1-inet

Potřebovali bychom buď jiné řešení a nebo nějak obejít ty NATy v případě, že je cílová adresa 10.10.10.254. Neumím ale vybírat packet podle cílové adresy, jde to nějak?

Díky za rady, R.

[hapi]

hmm, já bejt tebou tak to překopu. Tohle se dá elegantně vyřešit pomocí DNSka na bráně. Server dostane pouze neveřejou ip adresu. Z internetu je dst-nat na něj a z vnitřní sítě na něj odkazuje na neveřejnou DNS záznam v mikrotiku. Takže z venku je všechno ok a zevnitř lidi dostanou jinou IP adresu při dotazu na dns.

Ten tvůj problém vypadal na typickou chybu při natování ale nezdá se že to je ta chyba a nebo si něco zapoměl vypsat.