classic.ISPforum.cz

Zdravím,
potřeboval bych prosím poradit, mám následující skripty pro otevření portů 11155 UDP:

add action=dst-nat chain=dstnat disabled=no dst-port=11155 in-interface=WAN protocol=udp to-addresses=192.168.1.1 to-ports=11155
add action=dst-nat chain=dstnat disabled=no dst-port=11155 in-interface=WAN protocol=udp to-addresses=192.168.1.2 to-ports=11155

Port je otevřen vždy jen buď pro 192.168.1.1 nebo 192.168.1.2, chtěl bych aby byl otevřen u obou současně a už fakt nevim. Vždy je funkční jen na jedné IP (na té první v řade), když to druhé pravidlo zakážu. Klidně by to mohlo být otevřené pro celý LAN 192.168.1.0, jsem zkoušel nastavit to-addresses=192.168.1.0 i 192.168.1.0/24, tak to nejde ani na jedne IP. Ve firewallu mam uz jen maskarady a nic vic. I když dám misto in-interface=WAN dam dst-address=x.x.x.x, tak proste porad stejny.
Už fakt nevim, ale myslim si, že je tam jenom nejaka banalita. Jestli mi můžete někdo helpnout byl bych fakt rad. Zatím moc díky.

To chceš každý paket na port 11155 duplikovat na dvě různé IP adresy?

No, jestli by to šlo.

Tak to máš dle mě smůlu. Existuje možnost TEE ... ale myslím, že ne v mikrotiku. http://www.highonphp.com/packet-cloning-with-iptables

Netfilter funguje tak, že každý paket porovná na tebou zadané podmínky - a pak v něm něco změní. Pořád je to jeden paket. Výjimka je zjevně ten TEE ... a jeho spolupráci s DSTNAT si teď po ránu nějak neumím představit.

HA clustery na to jdou (nevím jestli vždy, zase tak moc jsem je nestudoval) tak, že vlastní servery za "balancerem" mají multicast MAC adresu. A o duplikaci se stará switch.
---

Možná kdybys to napsal spíš tak, že popíšeš co to má dělat a proč (a ne jak), tak třeba někoho napadne jiné řešení.

Aha, tak to je docela komplikovanější, něž jsem čekal.
Popíšu teď teda co by to mělo dělat. Ten port používá program Tunngle, je to něco na principu Hamachi a v jeho nastavení je test otevření portu právě 11155 (UDP). Který proběhne úspěšně jenom tehdy kdy pro danou IP mám nastavený výše popsaný DST-NAT. Ale chtěl bych aby tento software mohli používat i ostatní účastníci v síti. Ještě mě teď napadlo, ale nevím jestli to bude fungovat to přesměrovávat vždy na jiný port, v tom Tunngle se dá port měnit.

To není komplikovanější. To je nemožné. Musel by to ten program podporovat, což pochybuji.

Máš dvě možnosti - používat jiný port (nemusíš u klienta, stačí na bráně - ale ta strana, co vyvolává spojení to musí umět), nebo použít jinou VPN.

Dobře, díky za informace.