[t0rik]

Доброго дня всем.

 

Есть RB2011 с белым айпи от провайдера. Есть вебсервер внутри локальной сети, проброшен порт 80. Все работает. Но, надо за микротиком разместить еще 1 вебсервер с белым айпи. Провайдер выдал (в той же подсети) еще 1 адрес. Но каким образом пробросить этот айпи на другой вебсервер ?

[ilili]

Для начала, на интерфейсе, который смотрит в сторону провайдера надо прописать новый IP адрес, который вам выдали. А потом уже с помощью dst-nat разрулите проброс портов с указанием src addr/port и dst addr/port. Ну и src-nat тоже нужно будет еще один добавить.

Еще, как вариант, вам могли прописать новую /30 (если так провайдер выдает) за старой

Edited November 2, 2016 by ilili

[Koka]

Так и пропишите этот ip на сервак, а до порта прокиньте сеть провайдера.

[t0rik]

Для начала, на интерфейсе, который смотрит в сторону провайдера надо прописать новый IP адрес, который вам выдали. А потом уже с помощью dst-nat разрулите проброс портов с указанием src addr/port и dst addr/port. Ну и src-nat тоже нужно будет еще один добавить.

Еще, как вариант, вам могли прописать новую /30 (если так провайдер выдает) за старой

 

Выдали /27. Сделал как вы сказали dst-nat/src-nat но что-то не работает (

 

P.S. А первый (ранее выданый айпи) маска тоже /27

Edited November 8, 2016 by t0rik

[mrrc]

Если имеется возможность, разумнее было бы объединить на микротике в отдельный бридж ваш uplink с портом, куда подключен вебсервер и на самом сервере уже настроить новую внешнюю адресацию, нет?

[nkusnetsov]

mrrc, с одной стороны это проще, а вот с другой есть неочевидный минус: придется на всех серверах с белыми IP внимательно настраивать фаервол для защиты со стороны Интернета.

При пробросе портов же, используется фаервол микротика, и список доступных извне портов ограничен пробросом.

[mrrc]

nkusnetsov, ничего не поделать, придется озадачиваться защитой, в особенности если сервера под Windows.

Иначе теряется особый смысл вынесение работы определенных сервисов на отдельный реальный IP.

Индивидуально тут все, конечно.

[nkusnetsov]

Проще повесить IP-адреса алиасом на WAN-интефейс и делать dst-nat per IP. Настройки 5 минут. Проще и безопаснее.

[viper063]

Проще повесить IP-адреса алиасом на WAN-интефейс и делать dst-nat per IP. Настройки 5 минут. Проще и безопаснее.

А можно по подробные что нужно сделать, на ван порт повесил адрес, дальше куда?

[nkusnetsov]

viper063, дальше проброс с учетом того, на какой из внешних белых IP приходит запрос. По схеме WanIP1:80 -> LanIP1:80 (серв1) , WanIP2:80 -> LanIP2:80 (серв2).

Выглядит как-то так:

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=80 protocol=tcp to-addresses=10.0.0.101 to-ports=80
add action=dst-nat chain=dstnat dst-address=1.1.1.2 dst-port=80 protocol=tcp to-addresses=10.0.0.102 to-ports=80

"dst-address" - это ваши белые IP на внешнем интерфейсе "1.1.1.1" и "2.2.2.2" взяты для примера

"to-address" - это IP-адреса серваков во внутренней сети куда пробрасываем.

Edited November 11, 2016 by nkusnetsov

[t0rik]

Спасибо всем, все получилось через dst-nat/src-nat. У провайдера неправильно была настроена маршрутизация, поэтому выданый дополнительный белеый IP просто не работал.