Kumarik Posted June 8, 2016 Добрый день может моя проблема банальна, но все же я спрошу. есть ccr1036 на нем подняты 2 bgp на разных провайдеров и ещё 1 bgp в сторону прозрачного прокси. в сторону провайдеров анонсируется сеть 77.77.75.0/25 1. абоненты которые подключаются по pppoe забирают серые адрса из пула 192.168.92.0/26 и потом натятся правилом chain=srcnat action=src-nat to-addresses=77.77.75.10 src-address=192.168.92.0/26 log=no log-prefix="" вопрос: нужно ли адрес 77.77.75.10 заводить на какой либо интерфейс? или достаточно того, что эта сеть анонсируется на вышестоящих провайдеров? 2. в 23 vlan на МТ заведен адрес 192.168.9.232/23 в этом же vlan есть ПК с адресом 192.168.8.8/23 и шлюзом 192.168.9.232 нужно, что бы этот ком получал доступ в инет через этот шлюз и натился к примеру на адрес 77.77.75.20 и обратное действие, что бы из мира можно было попасть на комп(192.168.8.8) по рдп. сейчас есть 2 правила chain=srcnat action=src-nat to-addresses=77.77.75.20 src-address=192.168.8.8 log=no log-prefix="" chain=dstnat action=netmap to-addresses=192.168.8.8 to-ports=3389 protocol=tcp src-address=77.77.75.20 dst-port=3389 log=no log-prefix="" при этом адрес 77.77.75.20 заведен на vlan236(vlan не где не используется) и пингуется из мира и получается, что доступ в интернет появился, а проброс не работает. Помогите пожалуйста с правилами - где я заплутал? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted June 8, 2016 -chain=dstnat action=netmap to-addresses=192.168.8.8 to-ports=3389 protocol=tcp src-address=77.77.75.20 dst-port=3389 log=no log-prefix="" +chain=dstnat action=dst-nat to-addresses=192.168.8.8 to-ports=3389 protocol=tcp dst-address=77.77.75.20 dst-port=3389 log=no log-prefix="" вопрос: нужно ли адрес 77.77.75.10 заводить на какой либо интерфейс? или достаточно того, что эта сеть анонсируется на вышестоящих провайдеров? не нужно. но чтобы не было петель маршрутизации, нужно весь анонсируемый префикс завернул в Null0 (blackhole) с большой метрикой P.S. от вас провайдер реально /25 принимает? или это просто обфускация такая? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kumarik Posted June 9, 2016 т.е. я всю сеть 77.77.75.0/25 должен послать в blackhole с метрикой 1 (или большой к примеру 250?) - это избавит от кружения трафика? P.S. от вас провайдер реально /25 принимает? или это просто обфускация такая? это кусок адресов из сети /21. его специально отрезали и завели на МТ для эксперементов. и провайдер его нормально прохавал. (главное, что бы в ripe /25 сеть была заведена) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
