На главную
ПРАВИЛА FAQ Помощь Участники Календарь Избранное RSS
msm.ru
  
> NAT
Коллеги, добрый день!

Думал я знаю как работает NAT(маскарадинг в микротике), но оказывается не совсем.

Смотрю на микротике и вижу что для 1 входящего порта существуют аж 3 записи.

1 Как такое может быть? Как микротик на 3 разных коннекшона открывает 1 внешний порт?

2 Может сам хост 10.10.1.111 поменять IP отправителя, например на внешний? Как при этом отреагирует NAT?
Прикреплённый файлПрикреплённый файлm1.png (8,56 Кбайт, скачиваний: 12)
Цитата
1 Как такое может быть? Как микротик на 3 разных коннекшона открывает 1 внешний порт?

Дык, протокол UDP, так что на самом деле никакого соединения нет, можно хоть со всем интернетом общаться через один и тот же порт.
Не понимаю, в чём проблема.

Сессия NAT описывается совокупностью параметров. Протокол, адрес и порт (если протокол использует порты) источника, адрес и порт приёмника. Это как минимум. В показанных сессиях совпадает только три значения из пяти, этого более чем достаточно для деления трафика на сессии и правильной его маршрутизации.
У меня сломалась телефония, я вначале не врубался почему отвечающий сервер 10.10.37 а не 10.10.1.111, потом глянул эту ерунду, все встало на места.

У меня есть 50 телефонных аппаратов и сервер, все они коннектотся к порту 5060 IP провайдера телефонии.
Скрина нет, но у них Dst.address, reply Src.address совпадают(95.213.198.99:5060), а вот(что логично) reply Dst.address(наш внешний публичный адрес офиса) отличается портами Внешний_IP:1000,Внешний_IP:1001,Внешний_IP:1002,Внешний_IP:1003 и т.п. Т.е. соединение выходя на ружу биндит отдельный обратный порт.

И так делают все 49 аппаратов, но 1 аппарат(внутр. IP 10.10.1.37) и сервер 10.10.1.111 биндят Внешний_IP:5060


И проблема в том что на скрине не показано, но UDP трафик(стало быть это даже не соединение) от прова на порт 5060 10.10.37 телефонного аппарата приземлялся(видимо по первой найденной записи в NAT таблице кто последним(или первым) открыл порт 5060), вместо сервера 10.10.1.111.

Так и собственно вопрос, почему проходя через маскарадинг внешние порты не биндятся из свободных, а используются как есть. Может сам аппарат и сервер влияют на это и к ним маскарадинг не применяется?
Гугли sip alg nat
Зы. Микротики говно.
Сообщение отредактировано: Gonarh -
Gonarh
Что тогда не говно?
на микротике все сервисы отключены
Цитата ^D^ima @
Gonarh
Что тогда не говно?

Зависит от тз, кому и кобыла - невестаесли изъёбов не требуется,, достаточно туполинка с опенврт, если чуть-чуть энтерпрайзнее - какой-нить однокаменный HP Proliant c линуксами, ещё более энтерпрайзнее - цыцки.
Gonarh
А чем микротики говно?
Куча подземных стуков, начиная с того что рутерос дырявое решето, и открывать доступ в мир - такое себе, кончая нетривиальным конфигурянием, даже после хардресета, оно умудряется чтото оставлять в конфиге, пока в наглую не укажешь "нот дефолт конфиг". От версии к версии что-то ломают, функционал пилят годами, бгп сервис до сих пор(по состоянию на рос7) не умеет в мультитред, если у тебя пару раз в течении 5 минут дёрнулись бгп сессии это минимум на полчаса всасывания фуллвью, в это время - трафику писта, не ходит пока не лоаднется роуттейбл, дебага нет, тцпдампа нет, торч - для мазохистов, плюс нетривиальные изъёбы чтобы не дай боги процессинг трафика не убежал на цпу, со всеми вытекающими, а он обязательно убежит, если добавляешь правила в фаер, фасттрэк не поможет, рост цпулоад отнюдь нелинейный. Это если вкратце.
Сообщение отредактировано: Gonarh -
1 пользователей читают эту тему (1 гостей и 0 скрытых пользователей)
0 пользователей:


Рейтинг@Mail.ru
[ Script execution time: 0,0276 ]   [ 21 queries used ]   [ Generated: 5.08.21, 14:50 GMT ]