[Fint]

Доброго времени суток.

Помогите реализовать сл. схему.

Что имеем - сегментированная сеть на Vlan-ах. В ядре микротик ос, трафик способен ходить из подсети в подсеть через шлюзы сетей. На отдельном интерфейсе подключен биллинг, доступ к нему у клиентов есть через НАТ.

Нужно сделать так что бы клиенты ходили в подсеть биллинга без ната. Это возможно? и как?

[Saab95]

Возможно, нужно настроить НАТ не по выходному интерфейсу, а по направлению, то есть если адрес источника 10.0.0.0/8 и адрес назначения не 10.0.0.0/8, тогда только делать НАТ, в этом случае подключив биллинг так же к этой серой сети все на него получат доступ.

[Fint]

Возможно, нужно настроить НАТ не по выходному интерфейсу, а по направлению, то есть если адрес источника 10.0.0.0/8 и адрес назначения не 10.0.0.0/8, тогда только делать НАТ, в этом случае подключив биллинг так же к этой серой сети все на него получат доступ.

Что то я не понял, можно пример?

[Saab95]

Например так:

 

/ip firewall nat
add action=masquerade chain=srcnat src-address=10.0.0.0/8 dst-address=!10.0.0.0/8

 

Если у вас много подсетей разных и в одно правило их уместить нельзя, тогда следует создать адрес листы с этими сетями и на вкладке advanced в настройках ната есть аналогичные пункты настроек только для адресных листов.

[Fint]

Например так:

 

/ip firewall nat
add action=masquerade chain=srcnat src-address=10.0.0.0/8 dst-address=!10.0.0.0/8

 

Если у вас много подсетей разных и в одно правило их уместить нельзя, тогда следует создать адрес листы с этими сетями и на вкладке advanced в настройках ната есть аналогичные пункты настроек только для адресных листов.

 

Все равно не понятно. Вот схема. Роутер знает за каким адресом шлюза, какой диапазон адресов. При запросе хоста 192.168.168.247 с хоста 192.168.1.100 запрос идет на шлюз 192.168.1.251 и транслируется на 192.168.168.251 до 192.168.168.247, при этом на веб сервере (192.168.168.247) хост видится с адресом не 192.168.1.100, а с адресом шлюза 192.168.168.251. Вот и получается НАТ.

 

Возможно сделать что бы доступ в веб серверу (на 192.168.168.247) был с любого адреса любой подсети без трансляции адреса?

[nkusnetsov]

Fint, у Вас схема недоделана. Как минимум, не указан аплинк, откуда nas/bras получает интернет. Кто для него самого является шлюзом по-умолчанию, на каком интерфейсе. Это важный момент.

Пока, на основе изложенного, напрашивается такое решение. Но информации недостаточно.

Edited July 19, 2016 by nkusnetsov

[Saab95]

У вас веб сервер ничего не знает о сети за микротиком, поэтому отвечает через шлюз. А если и сервер тоже делает НАТ, то на нем нужно этот НАТ отключить. То есть на микротике не должен быть НАТ настроен вообще, если в интернет он не пускает, а на сервере НАТ настроен только по направлению в сторону интернета, а не локальной сети. Другой вариант настроить микротик шлюзом в интернет а те устройства перенастроить на него.

[Fint]

Fint, у Вас схема недоделана. Как минимум, не указан аплинк, откуда nas/bras получает интернет. Кто для него самого является шлюзом по-умолчанию, на каком интерфейсе. Это важный момент.

Пока, на основе изложенного, напрашивается такое решение. Но информации недостаточно.

Шлюзом для NAS является порт аплинка. Аплинк приходит на отдельный физический интерфейс NAS.

Во второй порт включен коммутатор агригации с абонентскими сетями.

В третий порт включен биллинг.

Цель - доступ клиентов к Личному Кабинету биллинга под своими IP(для входа без логина пароля, по IP).

Вот схема.

Edited July 19, 2016 by Fint

[Fint]

У вас веб сервер ничего не знает о сети за микротиком, поэтому отвечает через шлюз. А если и сервер тоже делает НАТ, то на нем нужно этот НАТ отключить. То есть на микротике не должен быть НАТ настроен вообще, если в интернет он не пускает, а на сервере НАТ настроен только по направлению в сторону интернета, а не локальной сети. Другой вариант настроить микротик шлюзом в интернет а те устройства перенастроить на него.

Микротик является шлюзом для клиентов, натит серых в интернет.

На сервере стоит биллинг и веб сервер, ничего не натит(на сколья я знаю)

[DRiVen]

Просто укажите в правиле/ах маскарадинга out-interface.

[Fint]

Просто укажите в правиле/ах маскарадинга out-interface.

Спасибо, помогло.

Но, используется 2 аплинка, поэтому в маскарадинге не указывал out-interface. Как быть?

Edited July 19, 2016 by Fint

[DRiVen]

Аппетит приходит во время еды... Попробуйте сделать, как предлагали выше:

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/20 dst-address=!192.168.168.0/24

[nkusnetsov]

Fint, если у Вас два аплинка, можно создать либо два правила NAT - по одному для каждого аплинк-интерфейса, либо делать в одном правиле маскарада, указывая критерии SRC и DST адреса (см.сообщения выше).

Еще совет: если у Вас на аплинк статические IP - используйте экшен SRC-NAT вместо маскарада. Это снизит нагрузку на процессор маршрутизатора. Отличия:

> Маскарад для каждого соединения запрашивает IP-адрес исходящего интерфейса для преобразования и это жрет ресурсы. Заметно, если соединений и трафика много.

Маскарад рекомендуется для соединений с динамическим IP, когда явно указать какой IP будет на исходящем интерфейсе невозможно.

> SRC-NAT использует заранее прописанный в правиле IP-адрес и ресурсы экономятся.

Edited July 20, 2016 by nkusnetsov

[Fint]

Еще совет: если у Вас на аплинк статические IP - используйте экшен SRC-NAT вместо маскарада.

> SRC-NAT использует заранее прописанный в правиле IP-адрес и ресурсы экономятся.

IP статические. При SRC-NAT нужно явно указать адрес смотрящий в мир? Для каждого аплинка сделать правило?

[nkusnetsov]

IP статические. При SRC-NAT нужно явно указать адрес смотрящий в мир? Для каждого аплинка сделать правило?

Да. Правильно. Для каждого аплинка (каждого out-интерфейса) указать во вкладке "action" src-nat и ip-адрес смотрящий в мир через этот аплинк.