Перейти к содержимому
Калькуляторы

Доступ между сетями без НАТ Микротик

Доброго времени суток.

Помогите реализовать сл. схему.

Что имеем - сегментированная сеть на Vlan-ах. В ядре микротик ос, трафик способен ходить из подсети в подсеть через шлюзы сетей. На отдельном интерфейсе подключен биллинг, доступ к нему у клиентов есть через НАТ.

Нужно сделать так что бы клиенты ходили в подсеть биллинга без ната. Это возможно? и как?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возможно, нужно настроить НАТ не по выходному интерфейсу, а по направлению, то есть если адрес источника 10.0.0.0/8 и адрес назначения не 10.0.0.0/8, тогда только делать НАТ, в этом случае подключив биллинг так же к этой серой сети все на него получат доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возможно, нужно настроить НАТ не по выходному интерфейсу, а по направлению, то есть если адрес источника 10.0.0.0/8 и адрес назначения не 10.0.0.0/8, тогда только делать НАТ, в этом случае подключив биллинг так же к этой серой сети все на него получат доступ.

Что то я не понял, можно пример?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Например так:

 

/ip firewall nat
add action=masquerade chain=srcnat src-address=10.0.0.0/8 dst-address=!10.0.0.0/8

 

Если у вас много подсетей разных и в одно правило их уместить нельзя, тогда следует создать адрес листы с этими сетями и на вкладке advanced в настройках ната есть аналогичные пункты настроек только для адресных листов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Например так:

 

/ip firewall nat
add action=masquerade chain=srcnat src-address=10.0.0.0/8 dst-address=!10.0.0.0/8

 

Если у вас много подсетей разных и в одно правило их уместить нельзя, тогда следует создать адрес листы с этими сетями и на вкладке advanced в настройках ната есть аналогичные пункты настроек только для адресных листов.

 

Все равно не понятно. Вот схема. Роутер знает за каким адресом шлюза, какой диапазон адресов. При запросе хоста 192.168.168.247 с хоста 192.168.1.100 запрос идет на шлюз 192.168.1.251 и транслируется на 192.168.168.251 до 192.168.168.247, при этом на веб сервере (192.168.168.247) хост видится с адресом не 192.168.1.100, а с адресом шлюза 192.168.168.251. Вот и получается НАТ.

 

Возможно сделать что бы доступ в веб серверу (на 192.168.168.247) был с любого адреса любой подсети без трансляции адреса?

post-116466-043227900 1468919935_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Fint, у Вас схема недоделана. Как минимум, не указан аплинк, откуда nas/bras получает интернет. Кто для него самого является шлюзом по-умолчанию, на каком интерфейсе. Это важный момент.

Пока, на основе изложенного, напрашивается такое решение. Но информации недостаточно.

post-133976-025165300 1468923954_thumb.jpg

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У вас веб сервер ничего не знает о сети за микротиком, поэтому отвечает через шлюз. А если и сервер тоже делает НАТ, то на нем нужно этот НАТ отключить. То есть на микротике не должен быть НАТ настроен вообще, если в интернет он не пускает, а на сервере НАТ настроен только по направлению в сторону интернета, а не локальной сети. Другой вариант настроить микротик шлюзом в интернет а те устройства перенастроить на него.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Fint, у Вас схема недоделана. Как минимум, не указан аплинк, откуда nas/bras получает интернет. Кто для него самого является шлюзом по-умолчанию, на каком интерфейсе. Это важный момент.

Пока, на основе изложенного, напрашивается такое решение. Но информации недостаточно.

Шлюзом для NAS является порт аплинка. Аплинк приходит на отдельный физический интерфейс NAS.

Во второй порт включен коммутатор агригации с абонентскими сетями.

В третий порт включен биллинг.

Цель - доступ клиентов к Личному Кабинету биллинга под своими IP(для входа без логина пароля, по IP).

Вот схема.

post-116466-065544400 1468930569_thumb.jpg

Изменено пользователем Fint

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У вас веб сервер ничего не знает о сети за микротиком, поэтому отвечает через шлюз. А если и сервер тоже делает НАТ, то на нем нужно этот НАТ отключить. То есть на микротике не должен быть НАТ настроен вообще, если в интернет он не пускает, а на сервере НАТ настроен только по направлению в сторону интернета, а не локальной сети. Другой вариант настроить микротик шлюзом в интернет а те устройства перенастроить на него.

Микротик является шлюзом для клиентов, натит серых в интернет.

На сервере стоит биллинг и веб сервер, ничего не натит(на сколья я знаю)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто укажите в правиле/ах маскарадинга out-interface.

Спасибо, помогло.

Но, используется 2 аплинка, поэтому в маскарадинге не указывал out-interface. Как быть?

Изменено пользователем Fint

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аппетит приходит во время еды... Попробуйте сделать, как предлагали выше:

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/20 dst-address=!192.168.168.0/24

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Fint, если у Вас два аплинка, можно создать либо два правила NAT - по одному для каждого аплинк-интерфейса, либо делать в одном правиле маскарада, указывая критерии SRC и DST адреса (см.сообщения выше).

Еще совет: если у Вас на аплинк статические IP - используйте экшен SRC-NAT вместо маскарада. Это снизит нагрузку на процессор маршрутизатора. Отличия:

> Маскарад для каждого соединения запрашивает IP-адрес исходящего интерфейса для преобразования и это жрет ресурсы. Заметно, если соединений и трафика много.

Маскарад рекомендуется для соединений с динамическим IP, когда явно указать какой IP будет на исходящем интерфейсе невозможно.

> SRC-NAT использует заранее прописанный в правиле IP-адрес и ресурсы экономятся.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще совет: если у Вас на аплинк статические IP - используйте экшен SRC-NAT вместо маскарада.

> SRC-NAT использует заранее прописанный в правиле IP-адрес и ресурсы экономятся.

IP статические. При SRC-NAT нужно явно указать адрес смотрящий в мир? Для каждого аплинка сделать правило?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IP статические. При SRC-NAT нужно явно указать адрес смотрящий в мир? Для каждого аплинка сделать правило?

Да. Правильно. Для каждого аплинка (каждого out-интерфейса) указать во вкладке "action" src-nat и ip-адрес смотрящий в мир через этот аплинк.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.