t0rik Опубликовано 2 ноября, 2016 · Жалоба Доброго дня всем. Есть RB2011 с белым айпи от провайдера. Есть вебсервер внутри локальной сети, проброшен порт 80. Все работает. Но, надо за микротиком разместить еще 1 вебсервер с белым айпи. Провайдер выдал (в той же подсети) еще 1 адрес. Но каким образом пробросить этот айпи на другой вебсервер ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilili Опубликовано 2 ноября, 2016 (изменено) · Жалоба Для начала, на интерфейсе, который смотрит в сторону провайдера надо прописать новый IP адрес, который вам выдали. А потом уже с помощью dst-nat разрулите проброс портов с указанием src addr/port и dst addr/port. Ну и src-nat тоже нужно будет еще один добавить. Еще, как вариант, вам могли прописать новую /30 (если так провайдер выдает) за старой Изменено 2 ноября, 2016 пользователем ilili Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Koka Опубликовано 3 ноября, 2016 · Жалоба Так и пропишите этот ip на сервак, а до порта прокиньте сеть провайдера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
t0rik Опубликовано 8 ноября, 2016 (изменено) · Жалоба Для начала, на интерфейсе, который смотрит в сторону провайдера надо прописать новый IP адрес, который вам выдали. А потом уже с помощью dst-nat разрулите проброс портов с указанием src addr/port и dst addr/port. Ну и src-nat тоже нужно будет еще один добавить. Еще, как вариант, вам могли прописать новую /30 (если так провайдер выдает) за старой Выдали /27. Сделал как вы сказали dst-nat/src-nat но что-то не работает ( P.S. А первый (ранее выданый айпи) маска тоже /27 Изменено 8 ноября, 2016 пользователем t0rik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 9 ноября, 2016 · Жалоба Если имеется возможность, разумнее было бы объединить на микротике в отдельный бридж ваш uplink с портом, куда подключен вебсервер и на самом сервере уже настроить новую внешнюю адресацию, нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 9 ноября, 2016 · Жалоба mrrc, с одной стороны это проще, а вот с другой есть неочевидный минус: придется на всех серверах с белыми IP внимательно настраивать фаервол для защиты со стороны Интернета. При пробросе портов же, используется фаервол микротика, и список доступных извне портов ограничен пробросом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 9 ноября, 2016 · Жалоба nkusnetsov, ничего не поделать, придется озадачиваться защитой, в особенности если сервера под Windows. Иначе теряется особый смысл вынесение работы определенных сервисов на отдельный реальный IP. Индивидуально тут все, конечно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 9 ноября, 2016 · Жалоба Проще повесить IP-адреса алиасом на WAN-интефейс и делать dst-nat per IP. Настройки 5 минут. Проще и безопаснее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
viper063 Опубликовано 10 ноября, 2016 · Жалоба Проще повесить IP-адреса алиасом на WAN-интефейс и делать dst-nat per IP. Настройки 5 минут. Проще и безопаснее. А можно по подробные что нужно сделать, на ван порт повесил адрес, дальше куда? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 11 ноября, 2016 (изменено) · Жалоба viper063, дальше проброс с учетом того, на какой из внешних белых IP приходит запрос. По схеме WanIP1:80 -> LanIP1:80 (серв1) , WanIP2:80 -> LanIP2:80 (серв2). Выглядит как-то так: /ip firewall nat add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=80 protocol=tcp to-addresses=10.0.0.101 to-ports=80 add action=dst-nat chain=dstnat dst-address=1.1.1.2 dst-port=80 protocol=tcp to-addresses=10.0.0.102 to-ports=80 "dst-address" - это ваши белые IP на внешнем интерфейсе "1.1.1.1" и "2.2.2.2" взяты для примера "to-address" - это IP-адреса серваков во внутренней сети куда пробрасываем. Изменено 11 ноября, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
t0rik Опубликовано 17 ноября, 2016 · Жалоба Спасибо всем, все получилось через dst-nat/src-nat. У провайдера неправильно была настроена маршрутизация, поэтому выданый дополнительный белеый IP просто не работал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...