Jump to content
Калькуляторы

Доступ между сетями без НАТ Микротик

Доброго времени суток.

Помогите реализовать сл. схему.

Что имеем - сегментированная сеть на Vlan-ах. В ядре микротик ос, трафик способен ходить из подсети в подсеть через шлюзы сетей. На отдельном интерфейсе подключен биллинг, доступ к нему у клиентов есть через НАТ.

Нужно сделать так что бы клиенты ходили в подсеть биллинга без ната. Это возможно? и как?

Share this post


Link to post
Share on other sites

Возможно, нужно настроить НАТ не по выходному интерфейсу, а по направлению, то есть если адрес источника 10.0.0.0/8 и адрес назначения не 10.0.0.0/8, тогда только делать НАТ, в этом случае подключив биллинг так же к этой серой сети все на него получат доступ.

Share this post


Link to post
Share on other sites

Возможно, нужно настроить НАТ не по выходному интерфейсу, а по направлению, то есть если адрес источника 10.0.0.0/8 и адрес назначения не 10.0.0.0/8, тогда только делать НАТ, в этом случае подключив биллинг так же к этой серой сети все на него получат доступ.

Что то я не понял, можно пример?

Share this post


Link to post
Share on other sites

Например так:

 

/ip firewall nat
add action=masquerade chain=srcnat src-address=10.0.0.0/8 dst-address=!10.0.0.0/8

 

Если у вас много подсетей разных и в одно правило их уместить нельзя, тогда следует создать адрес листы с этими сетями и на вкладке advanced в настройках ната есть аналогичные пункты настроек только для адресных листов.

Share this post


Link to post
Share on other sites

Например так:

 

/ip firewall nat
add action=masquerade chain=srcnat src-address=10.0.0.0/8 dst-address=!10.0.0.0/8

 

Если у вас много подсетей разных и в одно правило их уместить нельзя, тогда следует создать адрес листы с этими сетями и на вкладке advanced в настройках ната есть аналогичные пункты настроек только для адресных листов.

 

Все равно не понятно. Вот схема. Роутер знает за каким адресом шлюза, какой диапазон адресов. При запросе хоста 192.168.168.247 с хоста 192.168.1.100 запрос идет на шлюз 192.168.1.251 и транслируется на 192.168.168.251 до 192.168.168.247, при этом на веб сервере (192.168.168.247) хост видится с адресом не 192.168.1.100, а с адресом шлюза 192.168.168.251. Вот и получается НАТ.

 

Возможно сделать что бы доступ в веб серверу (на 192.168.168.247) был с любого адреса любой подсети без трансляции адреса?

post-116466-043227900 1468919935_thumb.jpg

Share this post


Link to post
Share on other sites

Fint, у Вас схема недоделана. Как минимум, не указан аплинк, откуда nas/bras получает интернет. Кто для него самого является шлюзом по-умолчанию, на каком интерфейсе. Это важный момент.

Пока, на основе изложенного, напрашивается такое решение. Но информации недостаточно.

post-133976-025165300 1468923954_thumb.jpg

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

У вас веб сервер ничего не знает о сети за микротиком, поэтому отвечает через шлюз. А если и сервер тоже делает НАТ, то на нем нужно этот НАТ отключить. То есть на микротике не должен быть НАТ настроен вообще, если в интернет он не пускает, а на сервере НАТ настроен только по направлению в сторону интернета, а не локальной сети. Другой вариант настроить микротик шлюзом в интернет а те устройства перенастроить на него.

Share this post


Link to post
Share on other sites

Fint, у Вас схема недоделана. Как минимум, не указан аплинк, откуда nas/bras получает интернет. Кто для него самого является шлюзом по-умолчанию, на каком интерфейсе. Это важный момент.

Пока, на основе изложенного, напрашивается такое решение. Но информации недостаточно.

Шлюзом для NAS является порт аплинка. Аплинк приходит на отдельный физический интерфейс NAS.

Во второй порт включен коммутатор агригации с абонентскими сетями.

В третий порт включен биллинг.

Цель - доступ клиентов к Личному Кабинету биллинга под своими IP(для входа без логина пароля, по IP).

Вот схема.

post-116466-065544400 1468930569_thumb.jpg

Edited by Fint

Share this post


Link to post
Share on other sites

У вас веб сервер ничего не знает о сети за микротиком, поэтому отвечает через шлюз. А если и сервер тоже делает НАТ, то на нем нужно этот НАТ отключить. То есть на микротике не должен быть НАТ настроен вообще, если в интернет он не пускает, а на сервере НАТ настроен только по направлению в сторону интернета, а не локальной сети. Другой вариант настроить микротик шлюзом в интернет а те устройства перенастроить на него.

Микротик является шлюзом для клиентов, натит серых в интернет.

На сервере стоит биллинг и веб сервер, ничего не натит(на сколья я знаю)

Share this post


Link to post
Share on other sites

Просто укажите в правиле/ах маскарадинга out-interface.

Спасибо, помогло.

Но, используется 2 аплинка, поэтому в маскарадинге не указывал out-interface. Как быть?

Edited by Fint

Share this post


Link to post
Share on other sites

Аппетит приходит во время еды... Попробуйте сделать, как предлагали выше:

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/20 dst-address=!192.168.168.0/24

Share this post


Link to post
Share on other sites

Fint, если у Вас два аплинка, можно создать либо два правила NAT - по одному для каждого аплинк-интерфейса, либо делать в одном правиле маскарада, указывая критерии SRC и DST адреса (см.сообщения выше).

Еще совет: если у Вас на аплинк статические IP - используйте экшен SRC-NAT вместо маскарада. Это снизит нагрузку на процессор маршрутизатора. Отличия:

> Маскарад для каждого соединения запрашивает IP-адрес исходящего интерфейса для преобразования и это жрет ресурсы. Заметно, если соединений и трафика много.

Маскарад рекомендуется для соединений с динамическим IP, когда явно указать какой IP будет на исходящем интерфейсе невозможно.

> SRC-NAT использует заранее прописанный в правиле IP-адрес и ресурсы экономятся.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Еще совет: если у Вас на аплинк статические IP - используйте экшен SRC-NAT вместо маскарада.

> SRC-NAT использует заранее прописанный в правиле IP-адрес и ресурсы экономятся.

IP статические. При SRC-NAT нужно явно указать адрес смотрящий в мир? Для каждого аплинка сделать правило?

Share this post


Link to post
Share on other sites

IP статические. При SRC-NAT нужно явно указать адрес смотрящий в мир? Для каждого аплинка сделать правило?

Да. Правильно. Для каждого аплинка (каждого out-интерфейса) указать во вкладке "action" src-nat и ip-адрес смотрящий в мир через этот аплинк.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.