Fint Posted July 18, 2016 · Report post Доброго времени суток. Помогите реализовать сл. схему. Что имеем - сегментированная сеть на Vlan-ах. В ядре микротик ос, трафик способен ходить из подсети в подсеть через шлюзы сетей. На отдельном интерфейсе подключен биллинг, доступ к нему у клиентов есть через НАТ. Нужно сделать так что бы клиенты ходили в подсеть биллинга без ната. Это возможно? и как? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 18, 2016 · Report post Возможно, нужно настроить НАТ не по выходному интерфейсу, а по направлению, то есть если адрес источника 10.0.0.0/8 и адрес назначения не 10.0.0.0/8, тогда только делать НАТ, в этом случае подключив биллинг так же к этой серой сети все на него получат доступ. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted July 19, 2016 · Report post Возможно, нужно настроить НАТ не по выходному интерфейсу, а по направлению, то есть если адрес источника 10.0.0.0/8 и адрес назначения не 10.0.0.0/8, тогда только делать НАТ, в этом случае подключив биллинг так же к этой серой сети все на него получат доступ. Что то я не понял, можно пример? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 19, 2016 · Report post Например так: /ip firewall nat add action=masquerade chain=srcnat src-address=10.0.0.0/8 dst-address=!10.0.0.0/8 Если у вас много подсетей разных и в одно правило их уместить нельзя, тогда следует создать адрес листы с этими сетями и на вкладке advanced в настройках ната есть аналогичные пункты настроек только для адресных листов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted July 19, 2016 · Report post Например так: /ip firewall nat add action=masquerade chain=srcnat src-address=10.0.0.0/8 dst-address=!10.0.0.0/8 Если у вас много подсетей разных и в одно правило их уместить нельзя, тогда следует создать адрес листы с этими сетями и на вкладке advanced в настройках ната есть аналогичные пункты настроек только для адресных листов. Все равно не понятно. Вот схема. Роутер знает за каким адресом шлюза, какой диапазон адресов. При запросе хоста 192.168.168.247 с хоста 192.168.1.100 запрос идет на шлюз 192.168.1.251 и транслируется на 192.168.168.251 до 192.168.168.247, при этом на веб сервере (192.168.168.247) хост видится с адресом не 192.168.1.100, а с адресом шлюза 192.168.168.251. Вот и получается НАТ. Возможно сделать что бы доступ в веб серверу (на 192.168.168.247) был с любого адреса любой подсети без трансляции адреса? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted July 19, 2016 (edited) · Report post Fint, у Вас схема недоделана. Как минимум, не указан аплинк, откуда nas/bras получает интернет. Кто для него самого является шлюзом по-умолчанию, на каком интерфейсе. Это важный момент. Пока, на основе изложенного, напрашивается такое решение. Но информации недостаточно. Edited July 19, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 19, 2016 · Report post У вас веб сервер ничего не знает о сети за микротиком, поэтому отвечает через шлюз. А если и сервер тоже делает НАТ, то на нем нужно этот НАТ отключить. То есть на микротике не должен быть НАТ настроен вообще, если в интернет он не пускает, а на сервере НАТ настроен только по направлению в сторону интернета, а не локальной сети. Другой вариант настроить микротик шлюзом в интернет а те устройства перенастроить на него. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted July 19, 2016 (edited) · Report post Fint, у Вас схема недоделана. Как минимум, не указан аплинк, откуда nas/bras получает интернет. Кто для него самого является шлюзом по-умолчанию, на каком интерфейсе. Это важный момент. Пока, на основе изложенного, напрашивается такое решение. Но информации недостаточно. Шлюзом для NAS является порт аплинка. Аплинк приходит на отдельный физический интерфейс NAS. Во второй порт включен коммутатор агригации с абонентскими сетями. В третий порт включен биллинг. Цель - доступ клиентов к Личному Кабинету биллинга под своими IP(для входа без логина пароля, по IP). Вот схема. Edited July 19, 2016 by Fint Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted July 19, 2016 · Report post У вас веб сервер ничего не знает о сети за микротиком, поэтому отвечает через шлюз. А если и сервер тоже делает НАТ, то на нем нужно этот НАТ отключить. То есть на микротике не должен быть НАТ настроен вообще, если в интернет он не пускает, а на сервере НАТ настроен только по направлению в сторону интернета, а не локальной сети. Другой вариант настроить микротик шлюзом в интернет а те устройства перенастроить на него. Микротик является шлюзом для клиентов, натит серых в интернет. На сервере стоит биллинг и веб сервер, ничего не натит(на сколья я знаю) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted July 19, 2016 · Report post Просто укажите в правиле/ах маскарадинга out-interface. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted July 19, 2016 (edited) · Report post Просто укажите в правиле/ах маскарадинга out-interface. Спасибо, помогло. Но, используется 2 аплинка, поэтому в маскарадинге не указывал out-interface. Как быть? Edited July 19, 2016 by Fint Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted July 19, 2016 · Report post Аппетит приходит во время еды... Попробуйте сделать, как предлагали выше: /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/20 dst-address=!192.168.168.0/24 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted July 20, 2016 (edited) · Report post Fint, если у Вас два аплинка, можно создать либо два правила NAT - по одному для каждого аплинк-интерфейса, либо делать в одном правиле маскарада, указывая критерии SRC и DST адреса (см.сообщения выше). Еще совет: если у Вас на аплинк статические IP - используйте экшен SRC-NAT вместо маскарада. Это снизит нагрузку на процессор маршрутизатора. Отличия: > Маскарад для каждого соединения запрашивает IP-адрес исходящего интерфейса для преобразования и это жрет ресурсы. Заметно, если соединений и трафика много. Маскарад рекомендуется для соединений с динамическим IP, когда явно указать какой IP будет на исходящем интерфейсе невозможно. > SRC-NAT использует заранее прописанный в правиле IP-адрес и ресурсы экономятся. Edited July 20, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Fint Posted July 20, 2016 · Report post Еще совет: если у Вас на аплинк статические IP - используйте экшен SRC-NAT вместо маскарада. > SRC-NAT использует заранее прописанный в правиле IP-адрес и ресурсы экономятся. IP статические. При SRC-NAT нужно явно указать адрес смотрящий в мир? Для каждого аплинка сделать правило? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted July 20, 2016 · Report post IP статические. При SRC-NAT нужно явно указать адрес смотрящий в мир? Для каждого аплинка сделать правило? Да. Правильно. Для каждого аплинка (каждого out-интерфейса) указать во вкладке "action" src-nat и ip-адрес смотрящий в мир через этот аплинк. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...