Randomname Posted April 6, 2018 Posted April 6, 2018 Привет. Имеется ccr1036 c одним аплинком к вышестоящему провайдеру. На роутере настроено несколько разных вланов с белыми и серыми ip. Мне надо настроить трансляцию адресов из одного влана с белыми адресами в локальный влан. Сначала я повесил в один влан белую и серую сеть, включил маскарадинг и пробросил порты в dst-nat до сервера в серой сети - доступ снаружи к серверу появился, но с него пакеты уходили с серым ip и обратно на сервер, естественно, не возвращались. Потом я разделил сети по разным вланам, но теперь внешний доступ к серверам вообще пропал. Подскажите пожалуйста, как правильно настроить железо? Конфиг ниже (немного порезал лишнее и удалил всё про нат) /interface bridge add name=Loopback add name=br-vlan100 add name=br-vlan101 add name=br-vlan1701 /interface ethernet set [ find default-name=ether10 ] mac-address=64:D1:54:99:06:2C /interface vlan add interface=ether2 name=vlan1701 vlan-id=1701 /interface bonding add mode=802.3ad name=bond1 slaves=ether9,ether10 transmit-hash-policy=layer-2-and-3 /interface vlan add interface=bond1 name=vlan100 vlan-id=100 add interface=bond1 name=vlan101 vlan-id=101 add interface=bond1 name=vlan102 vlan-id=102 add interface=bond1 name=vlan103 vlan-id=103 add interface=bond1 name=vlan104 vlan-id=104 add interface=bond1 name=vlan105 vlan-id=105 /interface vrrp add interface=vlan102 name=vlan102-vrrp priority=150 add interface=vlan103 name=vlan103-vrrp priority=150 add interface=vlan104 name=vlan104-vrrp priority=150 add interface=vlan105 name=vlan105-vrrp /ip pool add name=dhcp_pool0 ranges=192.168.2.10-192.168.2.100 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool0 authoritative=after-2sec-delay disabled=no interface=vlan105 name=dhcp1 /routing bgp instance set default as=205264 /routing ospf instance set [ find default=yes ] distribute-default=if-installed-as-type-1 redistribute-bgp=as-type-2 router-id= /snmp community set [ find default=yes ] addresses=0.0.0.0/0 /interface bridge port add bridge=br-vlan100 hw=no interface=vlan100 add bridge=br-vlan100 hw=no interface=ether1 add bridge=br-vlan101 interface=vlan101 add bridge=br-vlan1701 interface=vlan1701 /ip address add address= comment=P-t-P interface=vlan101 network= add address= comment=BGP interface=vlan1701 network= add address=1.1.1.2/26 interface=vlan104 network=1.1.1.0 add address=1.1.1.1 comment=Sandbox interface=vlan104-vrrp network=1.1.1.1 add address=1.1.1.6/26 comment=Sandbox-Master1 disabled=yes interface=vlan104 network=1.1.1.0 add address=192.168.2.2/24 interface=vlan105 network=192.168.2.0 add address=192.168.2.1 interface=vlan105-vrrp network=192.168.2.1 /ip dhcp-server network add address=192.168.2.0/24 dns-server=8.8.8.8 gateway=192.168.2.1 netmask=24 /ip dns set servers=8.8.8.8 /ip firewall filter add action=drop chain=input comment="drop ssh bruteforcers" dst-port=22 protocol=tcp src-address-list=login_blacklist add action=add-src-to-address-list address-list=login_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=login_stage3 add action=add-src-to-address-list address-list=login_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=login_stage2 add action=add-src-to-address-list address-list=login_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=login_stage1 add action=add-src-to-address-list address-list=login_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp add action=drop chain=input comment="drop telnet bruteforcers" dst-port=23 protocol=tcp src-address-list=login_blacklist add action=add-src-to-address-list address-list=login_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=login_stage3 add action=add-src-to-address-list address-list=login_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=login_stage2 add action=add-src-to-address-list address-list=login_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=login_stage1 add action=add-src-to-address-list address-list=login_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp /ip firewall nat /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set sip disabled=yes /ip service set ftp disabled=yes /lcd set enabled=no /routing bgp network add network=1.1.1.10/24 synchronize=no /routing bgp peer add in-filter=bgp-in name=peer1 out-filter=bgp-out remote-address=176.99.0.82 remote-as=197695 /routing filter add action=discard chain=bgp-in prefix=10.0.0.0/8 add action=discard chain=bgp-in prefix=169.254.0.0/16 add action=discard chain=bgp-in prefix=192.168.0.0/16 add action=discard chain=bgp-in prefix=172.16.0.0/12 add action=discard chain=bgp-in prefix=224.0.0.0/4 add action=discard chain=bgp-in prefix=240.0.0.0/4 add action=discard chain=bgp-in prefix=127.0.0.0/8 add action=discard chain=bgp-in prefix=1.1.1.0/24 add action=accept chain=bgp-in add action=accept chain=bgp-out prefix=1.1.1.0/24 add action=discard chain=bgp-out /routing ospf interface add interface=br-vlan101 network-type=broadcast /routing ospf network add area=backbone /system clock set time-zone-name=Europe/Moscow /system identity set name=RT-R-1 /system logging set 3 disabled=yes /tool sniffer set filter-interface=br-vlan1701 filter-ip-address=8.8.8.8/32 filter-ip-protocol=icmp Вставить ник Quote
EugeneTV Posted April 11, 2018 Posted April 11, 2018 А для чего маскарадить сети внутри своего маршрутизатора? кто мешает пустить белые ипы в серую сеть без ната? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.