Jump to content
Калькуляторы

Проброс белого айпи через RB2011

Доброго дня всем.

 

Есть RB2011 с белым айпи от провайдера. Есть вебсервер внутри локальной сети, проброшен порт 80. Все работает. Но, надо за микротиком разместить еще 1 вебсервер с белым айпи. Провайдер выдал (в той же подсети) еще 1 адрес. Но каким образом пробросить этот айпи на другой вебсервер ?

Share this post


Link to post
Share on other sites

Для начала, на интерфейсе, который смотрит в сторону провайдера надо прописать новый IP адрес, который вам выдали. А потом уже с помощью dst-nat разрулите проброс портов с указанием src addr/port и dst addr/port. Ну и src-nat тоже нужно будет еще один добавить.

Еще, как вариант, вам могли прописать новую /30 (если так провайдер выдает) за старой

Edited by ilili

Share this post


Link to post
Share on other sites

Так и пропишите этот ip на сервак, а до порта прокиньте сеть провайдера.

Share this post


Link to post
Share on other sites

Для начала, на интерфейсе, который смотрит в сторону провайдера надо прописать новый IP адрес, который вам выдали. А потом уже с помощью dst-nat разрулите проброс портов с указанием src addr/port и dst addr/port. Ну и src-nat тоже нужно будет еще один добавить.

Еще, как вариант, вам могли прописать новую /30 (если так провайдер выдает) за старой

 

Выдали /27. Сделал как вы сказали dst-nat/src-nat но что-то не работает (

 

P.S. А первый (ранее выданый айпи) маска тоже /27

Edited by t0rik

Share this post


Link to post
Share on other sites

Если имеется возможность, разумнее было бы объединить на микротике в отдельный бридж ваш uplink с портом, куда подключен вебсервер и на самом сервере уже настроить новую внешнюю адресацию, нет?

Share this post


Link to post
Share on other sites

mrrc, с одной стороны это проще, а вот с другой есть неочевидный минус: придется на всех серверах с белыми IP внимательно настраивать фаервол для защиты со стороны Интернета.

При пробросе портов же, используется фаервол микротика, и список доступных извне портов ограничен пробросом.

Share this post


Link to post
Share on other sites

nkusnetsov, ничего не поделать, придется озадачиваться защитой, в особенности если сервера под Windows.

Иначе теряется особый смысл вынесение работы определенных сервисов на отдельный реальный IP.

Индивидуально тут все, конечно.

Share this post


Link to post
Share on other sites

Проще повесить IP-адреса алиасом на WAN-интефейс и делать dst-nat per IP. Настройки 5 минут. Проще и безопаснее.

Share this post


Link to post
Share on other sites

Проще повесить IP-адреса алиасом на WAN-интефейс и делать dst-nat per IP. Настройки 5 минут. Проще и безопаснее.

А можно по подробные что нужно сделать, на ван порт повесил адрес, дальше куда?

Share this post


Link to post
Share on other sites

viper063, дальше проброс с учетом того, на какой из внешних белых IP приходит запрос. По схеме WanIP1:80 -> LanIP1:80 (серв1) , WanIP2:80 -> LanIP2:80 (серв2).

Выглядит как-то так:

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=80 protocol=tcp to-addresses=10.0.0.101 to-ports=80
add action=dst-nat chain=dstnat dst-address=1.1.1.2 dst-port=80 protocol=tcp to-addresses=10.0.0.102 to-ports=80

"dst-address" - это ваши белые IP на внешнем интерфейсе "1.1.1.1" и "2.2.2.2" взяты для примера

"to-address" - это IP-адреса серваков во внутренней сети куда пробрасываем.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Спасибо всем, все получилось через dst-nat/src-nat. У провайдера неправильно была настроена маршрутизация, поэтому выданый дополнительный белеый IP просто не работал.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this