t0rik Posted November 2, 2016 Доброго дня всем. Есть RB2011 с белым айпи от провайдера. Есть вебсервер внутри локальной сети, проброшен порт 80. Все работает. Но, надо за микротиком разместить еще 1 вебсервер с белым айпи. Провайдер выдал (в той же подсети) еще 1 адрес. Но каким образом пробросить этот айпи на другой вебсервер ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ilili Posted November 2, 2016 (edited) Для начала, на интерфейсе, который смотрит в сторону провайдера надо прописать новый IP адрес, который вам выдали. А потом уже с помощью dst-nat разрулите проброс портов с указанием src addr/port и dst addr/port. Ну и src-nat тоже нужно будет еще один добавить. Еще, как вариант, вам могли прописать новую /30 (если так провайдер выдает) за старой Edited November 2, 2016 by ilili Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Koka Posted November 3, 2016 Так и пропишите этот ip на сервак, а до порта прокиньте сеть провайдера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
t0rik Posted November 8, 2016 (edited) Для начала, на интерфейсе, который смотрит в сторону провайдера надо прописать новый IP адрес, который вам выдали. А потом уже с помощью dst-nat разрулите проброс портов с указанием src addr/port и dst addr/port. Ну и src-nat тоже нужно будет еще один добавить. Еще, как вариант, вам могли прописать новую /30 (если так провайдер выдает) за старой Выдали /27. Сделал как вы сказали dst-nat/src-nat но что-то не работает ( P.S. А первый (ранее выданый айпи) маска тоже /27 Edited November 8, 2016 by t0rik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mrrc Posted November 9, 2016 Если имеется возможность, разумнее было бы объединить на микротике в отдельный бридж ваш uplink с портом, куда подключен вебсервер и на самом сервере уже настроить новую внешнюю адресацию, нет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 9, 2016 mrrc, с одной стороны это проще, а вот с другой есть неочевидный минус: придется на всех серверах с белыми IP внимательно настраивать фаервол для защиты со стороны Интернета. При пробросе портов же, используется фаервол микротика, и список доступных извне портов ограничен пробросом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mrrc Posted November 9, 2016 nkusnetsov, ничего не поделать, придется озадачиваться защитой, в особенности если сервера под Windows. Иначе теряется особый смысл вынесение работы определенных сервисов на отдельный реальный IP. Индивидуально тут все, конечно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 9, 2016 Проще повесить IP-адреса алиасом на WAN-интефейс и делать dst-nat per IP. Настройки 5 минут. Проще и безопаснее. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
viper063 Posted November 10, 2016 Проще повесить IP-адреса алиасом на WAN-интефейс и делать dst-nat per IP. Настройки 5 минут. Проще и безопаснее. А можно по подробные что нужно сделать, на ван порт повесил адрес, дальше куда? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 11, 2016 (edited) viper063, дальше проброс с учетом того, на какой из внешних белых IP приходит запрос. По схеме WanIP1:80 -> LanIP1:80 (серв1) , WanIP2:80 -> LanIP2:80 (серв2). Выглядит как-то так: /ip firewall nat add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=80 protocol=tcp to-addresses=10.0.0.101 to-ports=80 add action=dst-nat chain=dstnat dst-address=1.1.1.2 dst-port=80 protocol=tcp to-addresses=10.0.0.102 to-ports=80 "dst-address" - это ваши белые IP на внешнем интерфейсе "1.1.1.1" и "2.2.2.2" взяты для примера "to-address" - это IP-адреса серваков во внутренней сети куда пробрасываем. Edited November 11, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
t0rik Posted November 17, 2016 Спасибо всем, все получилось через dst-nat/src-nat. У провайдера неправильно была настроена маршрутизация, поэтому выданый дополнительный белеый IP просто не работал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...