pekr píše:vsiml jsem si, ze pouzivate (stejne jako ja, protoze to proste funguje), parametr out-interface=. Ja jsem tomu rozumel do doby, nez mi jeden clovek na anglickem mikrotik foru rekl, ze o osudu paketu, tedy kudy poleze ven, rozhoduje routing a ne nat. Tak jsem ho odkazal na dokumentaci, kde bylo uvedeno, ze srcnat je pred routingem. On rekl ze je to spatne a mikrotik to skutecne po par dnech opravil. Jestlize je tedy srcnat uplatnovat po routingu, ten paket uz je na out-interface a router uz vi, jak na tomto interfejsu natovat - je tedy ten parametr dulezity? (myslim ze mi to bez out-interface nejelo, ale uz nevim
Asi porad neco chapu spatne
Neříkal bych špatně, spíš možná (pokud to chápu já) máte převrácen pár... hmm... příčina / následek? Jak to popisujete, tak máte (měl jste) za to, že NAT určuje, kudy paket odejde. Nikoli, o to se, jak správně řekl onen člověk, stará routing. Paket přijde, routing se rozmyslí kudy kam patří a odešle jej směrem na daný interface. A teï to právě začne - pokud by tam NAT nebyl, odešle se paket ven (řekněme) WAN rozhraním a ponese informaci o cíli (správnou) a zdroji (špatnou, protože obsahující privátní adresu). Pak mohou nastat dvě věci - buï to dropne rovnou ISP, nebo to dorazí do cíle a už se to nikdy nevrátí zpět, protože nebude vědět kam. Takže příklad - budete mít sí 192.168.0.0/24 s hostem 192.168.0.5, který bude posílat ping na 212.47.1.4, ten ping tam třeba i doletí, ale nebude jej kam vrátit, zdrojová adresa 192.168.0.5 nemá na internetu co dělat.
Proto je tam NAT, který paket vezme a přeloží na vnější adresu. Koukněte se schválně na tohle, je to VELMI VELMI podstatné pro pochopení mikrotiku:
http://www.mikrotik.com/docs/ros/2.9/ip/flowTím se dostáváme k parametru out-interface, kde je právě to mírné nedorozumění - ten totiž neříká "natuj to směrem sem", ale "natuj to co míří sem", tedy tím kvalifikujete, které pakety se do natu mají zahrnout. Čili, říká to "chci, abys překládal vše, odcházející do wanu". Pokud tam ten parametr nedáte, tak to TEORETICKY taky bude fungovat, ale vlastně tím říkáte: "Přelož VŠECHNO, odcházející ven z routeru". A to může být problém, protože router nemá jen jeden interface. Například se tak (dle pozice daného pravidla v seznamu) bude překládat vše odcházející dovnitř do lanu atd.
pekr píše:Jeste jeden dotaz - muzu u srcnatu pouzit source-address, ze bych treba jako ja sam rozhodl, ze ktereho networku prenatuju na ktery network? Doufam ze jo, protoze takto to chapu ...
Ano. Když se podíváte do mého minulého příspěvku, do příkladu dva (to je ten s komentářem "SRC-NAT / SAME / Segment-A Client Private Block"), tak přesně to tam dělám. Představte si to třeba takto: mám router s 6 interface, jeden je wan k isp, pět jsou rozhraní do pěti zcela samostatných a oddělených segmentů vnitřní sítě. To pravidlo které je v té ukázce je tedy jedno z pěti, kde každé z nich určuje, jak se bude překládat daný adresový prostor na vnější adresu (v mém případě na sadu adres, aby byl zajištěn dostatek portů pro překlady. Nezatěžuji se limitováním spojení pro uživatele, protože jsem došel k tomu, že je to k ničemu). Zjednodušeně - uživatelé z jednotlivých segmentů (sítí) budou mít dle zdrojové adresy různé adresy pro překlad. Odpověï na vaši otázku je ano. Můžete například určit, že všichni uživatelé budou překládáni jako adresa A až na vaši stanici, která bude překládána jako adresa B. Nebo cokoli jiného.
. A to jsem si myslel že si s mými vědomostmi už vystačím