Перейти к содержимому
Калькуляторы

Проброс белого айпи через RB2011

Доброго дня всем.

 

Есть RB2011 с белым айпи от провайдера. Есть вебсервер внутри локальной сети, проброшен порт 80. Все работает. Но, надо за микротиком разместить еще 1 вебсервер с белым айпи. Провайдер выдал (в той же подсети) еще 1 адрес. Но каким образом пробросить этот айпи на другой вебсервер ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для начала, на интерфейсе, который смотрит в сторону провайдера надо прописать новый IP адрес, который вам выдали. А потом уже с помощью dst-nat разрулите проброс портов с указанием src addr/port и dst addr/port. Ну и src-nat тоже нужно будет еще один добавить.

Еще, как вариант, вам могли прописать новую /30 (если так провайдер выдает) за старой

Изменено пользователем ilili

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так и пропишите этот ip на сервак, а до порта прокиньте сеть провайдера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для начала, на интерфейсе, который смотрит в сторону провайдера надо прописать новый IP адрес, который вам выдали. А потом уже с помощью dst-nat разрулите проброс портов с указанием src addr/port и dst addr/port. Ну и src-nat тоже нужно будет еще один добавить.

Еще, как вариант, вам могли прописать новую /30 (если так провайдер выдает) за старой

 

Выдали /27. Сделал как вы сказали dst-nat/src-nat но что-то не работает (

 

P.S. А первый (ранее выданый айпи) маска тоже /27

Изменено пользователем t0rik

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если имеется возможность, разумнее было бы объединить на микротике в отдельный бридж ваш uplink с портом, куда подключен вебсервер и на самом сервере уже настроить новую внешнюю адресацию, нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

mrrc, с одной стороны это проще, а вот с другой есть неочевидный минус: придется на всех серверах с белыми IP внимательно настраивать фаервол для защиты со стороны Интернета.

При пробросе портов же, используется фаервол микротика, и список доступных извне портов ограничен пробросом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

nkusnetsov, ничего не поделать, придется озадачиваться защитой, в особенности если сервера под Windows.

Иначе теряется особый смысл вынесение работы определенных сервисов на отдельный реальный IP.

Индивидуально тут все, конечно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проще повесить IP-адреса алиасом на WAN-интефейс и делать dst-nat per IP. Настройки 5 минут. Проще и безопаснее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проще повесить IP-адреса алиасом на WAN-интефейс и делать dst-nat per IP. Настройки 5 минут. Проще и безопаснее.

А можно по подробные что нужно сделать, на ван порт повесил адрес, дальше куда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

viper063, дальше проброс с учетом того, на какой из внешних белых IP приходит запрос. По схеме WanIP1:80 -> LanIP1:80 (серв1) , WanIP2:80 -> LanIP2:80 (серв2).

Выглядит как-то так:

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=80 protocol=tcp to-addresses=10.0.0.101 to-ports=80
add action=dst-nat chain=dstnat dst-address=1.1.1.2 dst-port=80 protocol=tcp to-addresses=10.0.0.102 to-ports=80

"dst-address" - это ваши белые IP на внешнем интерфейсе "1.1.1.1" и "2.2.2.2" взяты для примера

"to-address" - это IP-адреса серваков во внутренней сети куда пробрасываем.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо всем, все получилось через dst-nat/src-nat. У провайдера неправильно была настроена маршрутизация, поэтому выданый дополнительный белеый IP просто не работал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас