Jump to content
Калькуляторы

WAN и VLAN на одном интерфейсе, возможно? шейпинг через WAN

post-132313-021186600 1453192972_thumb.jpeg Нужно 192.168.1.3 запустить через шейпер микротика, при том что, geteway микротик берет через тот же единственный eth1 WAN порт, через который он и должен раздать интернет.

Склоняюсь к такой мысли: меняю на модеме айпи на 192.168.2.1 создаю на микротике vlan с любым ID, влану даю бывший айпи модема 192.168.1.1 (чтобы клиенту не менять настройки), на микротике меняю подсеть wan порта (на рисунке ошибочно обозначен как LAN), чтобы смотрел на новый айпи модема.

Дальше, открываю firewall, вкладка NAT, add, chain=srcnat, Ount interface=vlan, вкладка Action=masquerade, + шейпер по вкусу. Все? Боюсь что не будет через один и тот же кабель брать интернет, как ван интерфейс и раздавать через него же влан как шлюз. Или будет?

Может чего еще забыл, напишите пошагово, а то абоненту нельзя сильно вредить длительными перебоями с интернет+через вай фай администрирую, не дай бог еще доступ потерять.

Edited by Odmine

Share this post


Link to post
Share on other sites

Отвечу на свой вопрос сам. vlan по описанным мною действиями даже не пингуется с 192.168.1.3, все делается очень просто. В адрес лист добавляется еще один айпи (например старый айпи модема, а новый засекречивается) любой подсети на тот интерфейс который смотрит на модем. Все! Можно брать его как шлюз и днс, в микротике апи которые смотрят на этот шлюз загонять в шейпер и все работает как надо. Мне вот интересно, а в микротике об этом знают? Судя по гуглу, думаю что нет, никто даже не задумывался о такой конструкции, максимум роутер дополнительный пихают.

Edited by Odmine

Share this post


Link to post
Share on other sites

А где такое применимо? Например на x86 RouterOS где на компе один сетевой порт гигабитный? Так все равно свитч нужен управляемый между провайдером и wan портом маршрутизатора? Или по идее обычного неуправляемого хватит?

Edited by dronis3

Share this post


Link to post
Share on other sites

Обычный router on a stick, схема из времен, когда роутеры были очень дорогие, а портов очень мало. Odmine, "засекречивание" адреса модема не решение вопроса, раз на PHY/L2 изолировать от остальной сети эту связку не можете - хотя бы вынесите адреса между модемом и МТ в отдельную подсеть /30.

Share this post


Link to post
Share on other sites

А где такое применимо? Например на x86 RouterOS где на компе один сетевой порт гигабитный? Так все равно свитч нужен управляемый между провайдером и wan портом маршрутизатора? Или по идее обычного неуправляемого хватит?

Ну например применимо там: есть доступ в интернет у Василия, а Петр договорился с василием бруть у него интернет и по вай фай решил его раздавать себе, своим близким.., с помощью типичногой железки микротика, которая имеет всего два физичиских порта, вай фай и лан. Вася разрешил Петру сунуть свой кабель в его свитч или хаб или модем многопортовый... Петр пользуется интернетом, нарезает своим близким скорость, только вот Васе он нарезать не может и Вася временями сильно качает и пожимает плечами, мол не хватает знаний как этим управлять. Вася использует DHCP настройки модема или Вася прописал их статически. Петр в свою очередь если он уполномочен админить модем, меняет айпи на модеме, а на микротике выставляет дополнительный айпи (старый айпи модема) на том же интерфейсе который ему разрешили сунуть в свитч, Васин трафик начал бегать через роутер и Васю не беспокоили, он этого даже не заметил. Или если Вася использует DHCP и Петр не уполномочен админить модем, то Петр сунув свой роутер в лан порт, модема, подымает на своем лан интрефейсе DHCP сервер указав в настройках свой дополнительный айпи интерфейса, таким образом будет 2 DHCP сервера, иногда DHCP сервер микротика будет успевать выдать свои настройки на всю Васину сеть и завернуть трафик через себя.

Или еще вариант: сгорел у вас радиомодуль, а лан работает, железку на выброс? Нет, суньте кончик кабеля последнего рабочего интерфейса в тупую локальную сеть хоть на хабах и используйте всю силу роутера микротик. Лихо? Но в нашем случае еще нестандартней, Вася не уполномочен администрировать модем, только Петр:)

 

Обычный router on a stick, схема из времен, когда роутеры были очень дорогие, а портов очень мало

Пусть даже бесплатные роутеры нынче, вы бы в моем случае использовали схему+1 роутер и+1 блок питания? Чем мой вариант хуже? Только тем что физически не можешь отделить Васю от модема. Хотя вероятно есть вариант поднять на микротике pppoe с модемом и в модеме выключить бридж?

 

Odmine, "засекречивание" адреса модема не решение вопроса, раз на PHY/L2 изолировать от остальной сети эту связку не можете - хотя бы вынесите адреса между модемом и МТ в отдельную подсеть /30.

Ну в моем случае решение, так как даже если Вася вычислит айпи реального шлюза, в моем случае я вправе попросить его этого не делать, оплачиваем ведь вместе. Что даст вынос адресов в подсеть /30 и как это спасет от обнаружения айпи не совсем понимаю. Он ведь может просто запустить трасировку и айпи реального шлюза там покажет traceroute ya.ru или сканировать все диапазоны локальных айпи.

Share this post


Link to post
Share on other sites

Чем мой вариант хуже?

Ваш вариант вполне рабочий, никто про "хуже" не говорил.

Что даст вынос адресов в подсеть /30 и как это спасет от обнаружения айпи не совсем понимаю.

Дело не в обнаружении, на /30 (если модем умеет - то /31) даже если Вася захочет, то не сможет пустить трафик мимо вас, напрямую в модем.

Share this post


Link to post
Share on other sites

Круто конечно, круто. Мне пока рано такое понять сразу, но учту! А с защитой сети ARP или в ручную прописать, а в шейпере всем не привязанным выдать скорость 1кб или сменить на интерфейсе на reply-only и занести всех участников сети в список, что самое подходящие)

Share this post


Link to post
Share on other sites

Дело не в обнаружении, на /30 (если модем умеет - то /31) даже если Вася захочет, то не сможет пустить трафик мимо вас, напрямую в модем.

Ну да, данный совет просто великолепен! Так и сделаю, если он посмеет брать напрямую. А если получится только маска 30, там ведь остается два айпи, один будет роутера другой он возьмет или роутером занять и другой?

 

А с защитой сети ARP или в ручную прописать, а в шейпере всем не привязанным выдать скорость 1кб или сменить на интерфейсе на reply-only и занести всех участников сети в список, что самое подходящие)

Имеете ввиду в микротике сделать связку айпи+мак и только им давать скорость? Это не решит проблему, поможет только тогда, когда у него нет возможности брать траф напрямую и чтобы он не выбирал себе непошейпенный айпи методом выбора свободного айпи, а в данном случае он просто возьмет шлюз с модема напрямую и знать он не хотел роутер.

Share this post


Link to post
Share on other sites

А если получится только маска 30, там ведь остается два айпи, один будет роутера другой он возьмет или роутером занять и другой?

Ничего занимать не надо, если модем умеет только /30, то работает в классической адресации и трафик с адресов сети и броадкаста никуда машрутизировать не будет.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.