Fint Опубликовано 18 июля, 2016 Доброго времени суток. Помогите реализовать сл. схему. Что имеем - сегментированная сеть на Vlan-ах. В ядре микротик ос, трафик способен ходить из подсети в подсеть через шлюзы сетей. На отдельном интерфейсе подключен биллинг, доступ к нему у клиентов есть через НАТ. Нужно сделать так что бы клиенты ходили в подсеть биллинга без ната. Это возможно? и как? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 июля, 2016 Возможно, нужно настроить НАТ не по выходному интерфейсу, а по направлению, то есть если адрес источника 10.0.0.0/8 и адрес назначения не 10.0.0.0/8, тогда только делать НАТ, в этом случае подключив биллинг так же к этой серой сети все на него получат доступ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fint Опубликовано 19 июля, 2016 Возможно, нужно настроить НАТ не по выходному интерфейсу, а по направлению, то есть если адрес источника 10.0.0.0/8 и адрес назначения не 10.0.0.0/8, тогда только делать НАТ, в этом случае подключив биллинг так же к этой серой сети все на него получат доступ. Что то я не понял, можно пример? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 июля, 2016 Например так: /ip firewall nat add action=masquerade chain=srcnat src-address=10.0.0.0/8 dst-address=!10.0.0.0/8 Если у вас много подсетей разных и в одно правило их уместить нельзя, тогда следует создать адрес листы с этими сетями и на вкладке advanced в настройках ната есть аналогичные пункты настроек только для адресных листов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fint Опубликовано 19 июля, 2016 Например так: /ip firewall nat add action=masquerade chain=srcnat src-address=10.0.0.0/8 dst-address=!10.0.0.0/8 Если у вас много подсетей разных и в одно правило их уместить нельзя, тогда следует создать адрес листы с этими сетями и на вкладке advanced в настройках ната есть аналогичные пункты настроек только для адресных листов. Все равно не понятно. Вот схема. Роутер знает за каким адресом шлюза, какой диапазон адресов. При запросе хоста 192.168.168.247 с хоста 192.168.1.100 запрос идет на шлюз 192.168.1.251 и транслируется на 192.168.168.251 до 192.168.168.247, при этом на веб сервере (192.168.168.247) хост видится с адресом не 192.168.1.100, а с адресом шлюза 192.168.168.251. Вот и получается НАТ. Возможно сделать что бы доступ в веб серверу (на 192.168.168.247) был с любого адреса любой подсети без трансляции адреса? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 19 июля, 2016 (изменено) Fint, у Вас схема недоделана. Как минимум, не указан аплинк, откуда nas/bras получает интернет. Кто для него самого является шлюзом по-умолчанию, на каком интерфейсе. Это важный момент. Пока, на основе изложенного, напрашивается такое решение. Но информации недостаточно. Изменено 19 июля, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 июля, 2016 У вас веб сервер ничего не знает о сети за микротиком, поэтому отвечает через шлюз. А если и сервер тоже делает НАТ, то на нем нужно этот НАТ отключить. То есть на микротике не должен быть НАТ настроен вообще, если в интернет он не пускает, а на сервере НАТ настроен только по направлению в сторону интернета, а не локальной сети. Другой вариант настроить микротик шлюзом в интернет а те устройства перенастроить на него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fint Опубликовано 19 июля, 2016 (изменено) Fint, у Вас схема недоделана. Как минимум, не указан аплинк, откуда nas/bras получает интернет. Кто для него самого является шлюзом по-умолчанию, на каком интерфейсе. Это важный момент. Пока, на основе изложенного, напрашивается такое решение. Но информации недостаточно. Шлюзом для NAS является порт аплинка. Аплинк приходит на отдельный физический интерфейс NAS. Во второй порт включен коммутатор агригации с абонентскими сетями. В третий порт включен биллинг. Цель - доступ клиентов к Личному Кабинету биллинга под своими IP(для входа без логина пароля, по IP). Вот схема. Изменено 19 июля, 2016 пользователем Fint Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fint Опубликовано 19 июля, 2016 У вас веб сервер ничего не знает о сети за микротиком, поэтому отвечает через шлюз. А если и сервер тоже делает НАТ, то на нем нужно этот НАТ отключить. То есть на микротике не должен быть НАТ настроен вообще, если в интернет он не пускает, а на сервере НАТ настроен только по направлению в сторону интернета, а не локальной сети. Другой вариант настроить микротик шлюзом в интернет а те устройства перенастроить на него. Микротик является шлюзом для клиентов, натит серых в интернет. На сервере стоит биллинг и веб сервер, ничего не натит(на сколья я знаю) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 19 июля, 2016 Просто укажите в правиле/ах маскарадинга out-interface. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fint Опубликовано 19 июля, 2016 (изменено) Просто укажите в правиле/ах маскарадинга out-interface. Спасибо, помогло. Но, используется 2 аплинка, поэтому в маскарадинге не указывал out-interface. Как быть? Изменено 19 июля, 2016 пользователем Fint Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 19 июля, 2016 Аппетит приходит во время еды... Попробуйте сделать, как предлагали выше: /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/20 dst-address=!192.168.168.0/24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 20 июля, 2016 (изменено) Fint, если у Вас два аплинка, можно создать либо два правила NAT - по одному для каждого аплинк-интерфейса, либо делать в одном правиле маскарада, указывая критерии SRC и DST адреса (см.сообщения выше). Еще совет: если у Вас на аплинк статические IP - используйте экшен SRC-NAT вместо маскарада. Это снизит нагрузку на процессор маршрутизатора. Отличия: > Маскарад для каждого соединения запрашивает IP-адрес исходящего интерфейса для преобразования и это жрет ресурсы. Заметно, если соединений и трафика много. Маскарад рекомендуется для соединений с динамическим IP, когда явно указать какой IP будет на исходящем интерфейсе невозможно. > SRC-NAT использует заранее прописанный в правиле IP-адрес и ресурсы экономятся. Изменено 20 июля, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fint Опубликовано 20 июля, 2016 Еще совет: если у Вас на аплинк статические IP - используйте экшен SRC-NAT вместо маскарада. > SRC-NAT использует заранее прописанный в правиле IP-адрес и ресурсы экономятся. IP статические. При SRC-NAT нужно явно указать адрес смотрящий в мир? Для каждого аплинка сделать правило? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 20 июля, 2016 IP статические. При SRC-NAT нужно явно указать адрес смотрящий в мир? Для каждого аплинка сделать правило? Да. Правильно. Для каждого аплинка (каждого out-интерфейса) указать во вкладке "action" src-nat и ip-адрес смотрящий в мир через этот аплинк. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...