Доброго всем.
У меня есть белый внешний статический ИП, и несколько серверов на которые сделан проброс портов. Например 25 порт на почтовый сервер, а 80 и 443 на веб сервер и т.п. Все работает отлично.
Но возник вопрос - сейчас логи веб сервера показывают обращения из интернета как адрес микротика.
А мне хотелось бы, чтобы в логах были реальные ИП адреса посетителей. Каким образом это можно реализовать? Если бы мой внешний адрес был нужен только для веб сервера я бы просто сделал туннель, а так как на нем еще куча всего висит не могу придумать как такое реализовать.
Проброс порта на веб сервер
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
enzain
- Сообщения: 290
- Зарегистрирован: 26 дек 2017, 22:30
SRC-NAT у вас не правильно настроен.
Сделайте его только для тех пакетов где аут интерфейс - интернетовский интерфейс
Покажите правила в нате, пожалуйста
Сделайте его только для тех пакетов где аут интерфейс - интернетовский интерфейс
Покажите правила в нате, пожалуйста
-
rivan
- Сообщения: 0
- Зарегистрирован: 17 май 2017, 16:22
1 ;;; ISP1
chain=srcnat action=masquerade
12 ;;; SSL
chain=dstnat action=dst-nat to-addresses=192.168.100.5 to-ports=443
protocol=tcp dst-address=194.190.30.10 in-interface=ISP 1 dst-port=443
13 chain=srcnat action=src-nat to-addresses=194.190.30.10 to-ports=443
protocol=tcp dst-address=192.168.100.5 out-interface=ISP 1 dst-port=443
Через srcnat 0 байт принятых и отправленных. Может потому, что маскарад впереди всех правил?
chain=srcnat action=masquerade
12 ;;; SSL
chain=dstnat action=dst-nat to-addresses=192.168.100.5 to-ports=443
protocol=tcp dst-address=194.190.30.10 in-interface=ISP 1 dst-port=443
13 chain=srcnat action=src-nat to-addresses=194.190.30.10 to-ports=443
protocol=tcp dst-address=192.168.100.5 out-interface=ISP 1 dst-port=443
Через srcnat 0 байт принятых и отправленных. Может потому, что маскарад впереди всех правил?
-
enzain
- Сообщения: 290
- Зарегистрирован: 26 дек 2017, 22:30
-
rivan
- Сообщения: 0
- Зарегистрирован: 17 май 2017, 16:22
0 ;;; ISP1
chain=srcnat action=masquerade out-interface=ISP 1
1 chain=srcnat action=masquerade out-interface=ISP 2
13 ;;; SSL
chain=dstnat action=dst-nat to-addresses=192.168.100.5 to-ports=443
protocol=tcp dst-address=194.190.30.10 in-interface=ISP 1 dst-port=443
14 chain=srcnat action=src-nat to-addresses=194.190.30.10 to-ports=443
protocol=tcp dst-address=192.168.100.5 out-interface=ISP 1 dst-port=443
Спасибо, теперь в логах внешние ИП клиентов сервера. Вопрос - в правилах srcnat траффик нулевой - так и должно быть?
chain=srcnat action=masquerade out-interface=ISP 1
1 chain=srcnat action=masquerade out-interface=ISP 2
13 ;;; SSL
chain=dstnat action=dst-nat to-addresses=192.168.100.5 to-ports=443
protocol=tcp dst-address=194.190.30.10 in-interface=ISP 1 dst-port=443
14 chain=srcnat action=src-nat to-addresses=194.190.30.10 to-ports=443
protocol=tcp dst-address=192.168.100.5 out-interface=ISP 1 dst-port=443
Спасибо, теперь в логах внешние ИП клиентов сервера. Вопрос - в правилах srcnat траффик нулевой - так и должно быть?
-
enzain
- Сообщения: 290
- Зарегистрирован: 26 дек 2017, 22:30
Какое именно правило?
Оно вам вообще честно сказать затрудняюсь ответить - зачем :)
Похоже на попытку прокинуть с внутреннего то же, что с внешнего ... но не надо его там писать, там другое должно быть для внутренних клиентов правило