MikroTik+NAT+Netflow+UTM5

[aledin]

На микротике поднят pptp-сервер, авторизирующий юзера по радиусу в УТМе, адрес, выданный на соединение, НАТится на этом же микротике, в результате клиент нормально попадает в интернет, тут всё оки. Для сбора статистики поднял на микротике сбор статистики по netflow5 и отправку ее на УТМ, тут же появилась следующая проблема - в УТМе на пользователя попадает только исходящий и локальный трафик...
Понимаю что где-то неправильно настроил микротик, но никак не могу разобраться как же учитывать трафик из инета на клиентский адрес, дабы статистика собиралась не только для НАТ-фейса микротика...
Может кто чего подскажет?

[Chris]

Принцип подсчета.. на кошке также... Кошка считает только трафик ушедший от неё. Так что... Ставь два микротика

[aledin]

Ууууу....
Нет, два микротика не катит Про киску уже обчитался на всякий пожарный
Так а там же (В микротике) линух внутри? Неужто если и линух поставить - тоже буду только исходящий за НАТом ловить?

[Chris]

Тогда ква, но я тебя предупредил про наколку.. сам так обламился

[aledin]

Ёклмн ))) И надо-то было еще раз ридми по настройки циска+нат почитать, да кофию попить )))
Врубил на микротике снятие по нетфлову со всех фейсов - все пошло считаться ))))
Теперь правда второй вопрос возник... Если снимать статистику с двух последовательно зацепленых микротиков, то трафик адресов, которые не НАТятся, вроде как должен удваиваться.... Чего бы сотворить по этому поводу?

[aospan]

Ёклмн ))) И надо-то было еще раз ридми по настройки циска+нат почитать, да кофию попить )))
Врубил на микротике снятие по нетфлову со всех фейсов - все пошло считаться ))))
Теперь правда второй вопрос возник... Если снимать статистику с двух последовательно зацепленых микротиков, то трафик адресов, которые не НАТятся, вроде как должен удваиваться.... Чего бы сотворить по этому поводу?

тут только фильтрами на коллекторе можно "разрулить". Говоришь на одном шлюзе считать "реальники", а на другом не считать ...
умеет микротик такое ? ndsad умеет ...

[aledin]

Так не спорю конечно... Фильтры в ndsad'е рулят...
Только ndsad в микротик не затолкать, к сожалению (((
Считал бы конечно одним ndsad'ом, если бы трафик нужен был только внешний, а так - хочется еще и внутренности сети обсчитывать, потому и экспериментируем со сбором статистики с уже давно работающих в сетке микротиков, которые менять ни на что не хочется честно говоря...
Ладно, бум думать дальше ))) Может и туннель спасёт российскую демократию )))

[aospan]

Так не спорю конечно... Фильтры в ndsad'е рулят...
Только ndsad в микротик не затолкать, к сожалению (((
Считал бы конечно одним ndsad'ом, если бы трафик нужен был только внешний, а так - хочется еще и внутренности сети обсчитывать, потому и экспериментируем со сбором статистики с уже давно работающих в сетке микротиков, которые менять ни на что не хочется честно говоря...
Ладно, бум думать дальше ))) Может и туннель спасёт российскую демократию )))

можно попробовать vlan и субинтерфйесы ... либо действительно туннель (ip-ip например).

[Danik]

У меня тоже самое только в варианте pppoe. Все великолепно считается. В данном случае для клиента входящим является трафик от NAT интерфеса микротика до клиентского IP.
Все великолепно работает

Понимаю что где-то неправильно настроил микротик, но никак не могу разобраться как же учитывать трафик из инета на клиентский адрес, дабы статистика собиралась не только для НАТ-фейса микротика...
Может кто чего подскажет?

[aledin]

to Danik:
А статистика у тебя не подскажешь с чего снимается? Со всех интерфейсов или с какого-то конкретного? И если только с pppoe, то как трафик делится на внешний\локальный в УТМе, раз "для клиента входящим является трафик от NAT интерфеса микротика до клиентского IP"?

[Danik]

MikroTik RouterOS 2.9.1 (c) 1999-2005 http://www.mikrotik.com/
[admin@ntv21] > ip traffic-flow print
enabled: yes
interfaces: all
cache-entries: 4k
active-flow-timeout: 30m
inactive-flow-timeout: 15s
[admin@ntv21] >

[aledin]

Спасибо. У меня сейчас тоже работает именно в таком варианте.