Как пробросить сеть ip адресов без ната?

[FireDemonru]

RouterOS v6.41.4

 

Есть локальная сеть 192.168.1.0/24 настроена на ether2

 

Изначально провайдер выдал x.y.203.172/30, x.y.203.173 - GW, x.y.203.174 - наш IP адрес висит на ehter1

Через данный IP адрес без каких либо настроек трафик ходит через masquarade nat

 

 

Затем мы попросили у них сеть /29 и нам выделили xx.yy.178.112/29

Данную сеть я добавил на ether3, и если пинговать xx.yy.178.113 из вне то он пингуется, но если я в локальной сети выделяю IP адреса то до них связи нет.

 

Так же пробовал добавлять IP адреса на ether1 и добавлять src-nat и dst-nat, до dst-nat пакеты даже не ходили(

 

Подскажите пожалуйста в какую сторону копать? Может где нибудь есть пример как это реализовать?

[VolanD666]

Дык вы на бридж прописываете, зачем на физический интерфейс то.

 

Уверены что он не НАТится?

[pingz]

Если используете нат нужно указать в исключениях ip, чтобы не их не завораживало в нат.

Первый вариант через л2 на бриджах

Второй вариант нат 1:1 

Третий вариант прописывать руками маршруты руками на интерфейс писать ip адрес с /32 маской, а в маске ip шлюза(можно использовать ip который смотрит в сторону оператора) маска на микротике это будет шлюз для клиента, при этом нужно либо, чтобы оператор прописал обратные маршруты либо вам включить прокси Арп это ещё та дыра в безопасности. 

https://m.habr.com/post/213037

[FireDemonru]

44 минуты назад, VolanD666 сказал:

Дык вы на бридж прописываете, зачем на физический интерфейс то.

 

Уверены что он не НАТится?

 

На bridge тоже пробовал - толку 0, роутер пингуется, дальше на x.y.203.173  трафик не идет.

 

[admin@MikroTik] > /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; defconf: masquerade
      chain=srcnat action=masquerade to-addresses=x.y.203.174 src-address=192.168.1.0/24 out-interface-list=WAN log=no log-prefix="" ipsec-policy=out,none 
 1    chain=dstnat action=netmap to-addresses=192.168.1.21 to-ports=80 protocol=tcp dst-port=4480 log=no log-prefix="" 
 2    chain=dstnat action=netmap to-addresses=192.168.1.22 to-ports=80 protocol=tcp dst-port=5580 log=no log-prefix="" 
 3    chain=dstnat action=netmap to-addresses=192.168.1.39 to-ports=8080 protocol=tcp dst-port=8989 log=no log-prefix="" 
 4 X  chain=dstnat action=netmap to-addresses=192.168.1.27 to-ports=22 protocol=tcp dst-port=2022 log=no log-prefix="" 

[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          ether1                    1
 1 A S  0.0.0.0/0                          x.y.203.173               1
 2 ADC  x.y.203.172/30     x.y.203.174     ether1                    0
 3 ADC  xx.yy.178.112/29   xx.yy.178.113   bridge                    0
 4 A S  xx.yy.178.113/32                   ether3                    1
 5 ADC  192.168.1.0/24     192.168.1.1     bridge                    0

 

[Saab95]

Вам провайдер выделил белую подсеть, вы ее хотите передать абонентам что бы они через нее работали с внешними адресами? Тогда надо просто правила НАТ настроить на серую подсеть (адреса источника), а выделенные адреса просто раздаете клиентам и все заработает.

[pingz]

27 минут назад, Saab95 сказал:

Вам провайдер выделил белую подсеть, вы ее хотите передать абонентам что бы они через нее работали с внешними адресами? Тогда надо просто правила НАТ настроить на серую подсеть (адреса источника), а выделенные адреса просто раздаете клиентам и все заработает.

О_о это устаревшая технология.

[pingz]

@FireDemonru в твоём варианте это будет src.

Лучше всего, что бы тебе оператор отдал ip unnumbered будет на 3 Ip больше. 

А еще лучше до микротика поставить свич(да это не дорого) например mes2324 и вообще будет всё в ёлку.