[Nekit73rus]

Здравствуйте!

История такая:

Провайдер предоставляет диапазон внешних адресов 83.xxx.yyy.129-254.

Было:

2 маршрутизатора на Debian:

Провайдер(83.xxx.yyy.254/30) -> <- (83.xxx.yyy.253/30 proxy-arp) -(наруж.инт.) Маршрутизатор_1(Debian)(внут.инт.) - (83.xxx.yyy.250/128 proxy-arp) -> Свитч TrendNet

TrendNet "собирает" весь диапазон внешних адресов, предоставляемый провайдером. Далее:

TrendNet <- 83.xxx.yyy.168/128(наруж.инт) - Маршрутизатор_2(Debian) - (внут.инт.) - NAT, DHCP(192.168.0.0/24) -> Свитч D-Link внутренней локальной сети.

TrendNet -> остальные порты для подключения других внешних ip.

Всё прекрасно работает.

 

Появился Mikrotik Cloud Core CCR 1036, требуется скоммутировать всё на него и избавиться от двух шумных маршрутизаторов.

Что получилось(По портам микротика), действия по порядку:

Eth1 -> Подключен к проводу провайдера, с адресом 83.xxx.yyy.253, на интерфейсе включен Pxoxy-arp;

Eth2 -> Подключен в свитч TrendNet, адрес порта 83.xxx.yyy.250, на интерфейсе включен Proxy-arp; - Должен являться шлюзом внешних адресов что сидят на TrendNet.

Вбит маршрут Dst: 0.0.0.0/0 на шлюз провайдера 83.xxx.yyy.254;

Внешние адреса прекрасно заработали, подключая устройства к TrendNet.

Далее, требуется обеспечить выход локальной сети во внешку под адресом 83.xxx.yyy.168.

Так как документации по поводу виртуальных интерфейсов мало, было придумано так:

Eth3 -> Подключен в свитч TrendNet, присвоен адрес 83.xxx.yyy.168.

Eth4 -> Подключен в свитч D-Link локальной сети, поднят DHCP 192.168.0.0/24.

Всё прекрасно завелось, клиенты локалки получают адреса, надо настроить NAT. Делаем:

IP->Firewall->NAT: src: 192.168.0.0/24 Out-Interface: Eth3, Action:masquarade.

В итоге не работает, клиенты локальной сети видят 168 адрес, 250 и 253, но 254(шлюз провайдера нет!).

Но, если поменять Out-Interface на Eth1, то клиенты локалки спокойно выходят в интернет, но под адресом 83.xxx.yyy.253 (при требуемом 168-м).

Кажется что каких то маршрутов я не дописал, вроде на пути истинном. В чём ошибка и как можно реализовать такую схему на микротике?

[Saab95]

Вообще файрвол в данном случае НАТ управляет только SRC адресами, то есть им вы не можете управлять маршрутами. Если у вас на роутере введен адрес 168, то нужно оут интерфасе не указывать, а в action выбрать src.nat и указать там белый адрес, с которого натить. Для лучшего понимания нарисуйте схему, а то очень много всего лишнего и не ясно зачем прокси арп вообще в данной ситуации на роутере с двух сторон.

[Nekit73rus]

На Сервер_1 был включен proxy-arp на обоих интерфейсах. Сейчас нарисую схемы.

[Nekit73rus]

Спасибо, out-inteface убран. Локалка успешно вышла под 168 адресом через src-nat.

[Saab95]

Подскажите пожалуйста. Есть антенна, к ней нужно подключить роутер с модемом 3G. Какую можно применить плату с модемом (mikrotik и т.п.),

для уличного использования. Ставить в коробку роутер+модем USB не вариант, выдерживает только год на улице.

 

У микротика нет плат со встроенным модемом для 3G. Есть отдельные модемы, вставляемые в слот расширения, но там ценники такие, что можно каждый год менять оборудование=)

 

Обычно использует роутер с USB портом, куда втыкают модем. Часто это SXT 5HPnD - у нее есть USB и модем можно через короткий удлинитель вывести внутрь корпуса перед антенной, питание по витой паре. Работает годами без нареканий.