Nekit73rus Posted February 21, 2016 · Report post Здравствуйте! История такая: Провайдер предоставляет диапазон внешних адресов 83.xxx.yyy.129-254. Было: 2 маршрутизатора на Debian: Провайдер(83.xxx.yyy.254/30) -> <- (83.xxx.yyy.253/30 proxy-arp) -(наруж.инт.) Маршрутизатор_1(Debian)(внут.инт.) - (83.xxx.yyy.250/128 proxy-arp) -> Свитч TrendNet TrendNet "собирает" весь диапазон внешних адресов, предоставляемый провайдером. Далее: TrendNet <- 83.xxx.yyy.168/128(наруж.инт) - Маршрутизатор_2(Debian) - (внут.инт.) - NAT, DHCP(192.168.0.0/24) -> Свитч D-Link внутренней локальной сети. TrendNet -> остальные порты для подключения других внешних ip. Всё прекрасно работает. Появился Mikrotik Cloud Core CCR 1036, требуется скоммутировать всё на него и избавиться от двух шумных маршрутизаторов. Что получилось(По портам микротика), действия по порядку: Eth1 -> Подключен к проводу провайдера, с адресом 83.xxx.yyy.253, на интерфейсе включен Pxoxy-arp; Eth2 -> Подключен в свитч TrendNet, адрес порта 83.xxx.yyy.250, на интерфейсе включен Proxy-arp; - Должен являться шлюзом внешних адресов что сидят на TrendNet. Вбит маршрут Dst: 0.0.0.0/0 на шлюз провайдера 83.xxx.yyy.254; Внешние адреса прекрасно заработали, подключая устройства к TrendNet. Далее, требуется обеспечить выход локальной сети во внешку под адресом 83.xxx.yyy.168. Так как документации по поводу виртуальных интерфейсов мало, было придумано так: Eth3 -> Подключен в свитч TrendNet, присвоен адрес 83.xxx.yyy.168. Eth4 -> Подключен в свитч D-Link локальной сети, поднят DHCP 192.168.0.0/24. Всё прекрасно завелось, клиенты локалки получают адреса, надо настроить NAT. Делаем: IP->Firewall->NAT: src: 192.168.0.0/24 Out-Interface: Eth3, Action:masquarade. В итоге не работает, клиенты локальной сети видят 168 адрес, 250 и 253, но 254(шлюз провайдера нет!). Но, если поменять Out-Interface на Eth1, то клиенты локалки спокойно выходят в интернет, но под адресом 83.xxx.yyy.253 (при требуемом 168-м). Кажется что каких то маршрутов я не дописал, вроде на пути истинном. В чём ошибка и как можно реализовать такую схему на микротике? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 21, 2016 · Report post Вообще файрвол в данном случае НАТ управляет только SRC адресами, то есть им вы не можете управлять маршрутами. Если у вас на роутере введен адрес 168, то нужно оут интерфасе не указывать, а в action выбрать src.nat и указать там белый адрес, с которого натить. Для лучшего понимания нарисуйте схему, а то очень много всего лишнего и не ясно зачем прокси арп вообще в данной ситуации на роутере с двух сторон. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nekit73rus Posted February 21, 2016 · Report post На Сервер_1 был включен proxy-arp на обоих интерфейсах. Сейчас нарисую схемы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nekit73rus Posted February 21, 2016 · Report post Спасибо, out-inteface убран. Локалка успешно вышла под 168 адресом через src-nat. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 21, 2016 · Report post Подскажите пожалуйста. Есть антенна, к ней нужно подключить роутер с модемом 3G. Какую можно применить плату с модемом (mikrotik и т.п.), для уличного использования. Ставить в коробку роутер+модем USB не вариант, выдерживает только год на улице. У микротика нет плат со встроенным модемом для 3G. Есть отдельные модемы, вставляемые в слот расширения, но там ценники такие, что можно каждый год менять оборудование=) Обычно использует роутер с USB портом, куда втыкают модем. Часто это SXT 5HPnD - у нее есть USB и модем можно через короткий удлинитель вывести внутрь корпуса перед антенной, питание по витой паре. Работает годами без нареканий. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...