FireDemonru Опубликовано 2 июля, 2018 · Жалоба RouterOS v6.41.4 Есть локальная сеть 192.168.1.0/24 настроена на ether2 Изначально провайдер выдал x.y.203.172/30, x.y.203.173 - GW, x.y.203.174 - наш IP адрес висит на ehter1 Через данный IP адрес без каких либо настроек трафик ходит через masquarade nat Затем мы попросили у них сеть /29 и нам выделили xx.yy.178.112/29 Данную сеть я добавил на ether3, и если пинговать xx.yy.178.113 из вне то он пингуется, но если я в локальной сети выделяю IP адреса то до них связи нет. Так же пробовал добавлять IP адреса на ether1 и добавлять src-nat и dst-nat, до dst-nat пакеты даже не ходили( Подскажите пожалуйста в какую сторону копать? Может где нибудь есть пример как это реализовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 2 июля, 2018 · Жалоба Дык вы на бридж прописываете, зачем на физический интерфейс то. Уверены что он не НАТится? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 2 июля, 2018 · Жалоба Если используете нат нужно указать в исключениях ip, чтобы не их не завораживало в нат. Первый вариант через л2 на бриджах Второй вариант нат 1:1 Третий вариант прописывать руками маршруты руками на интерфейс писать ip адрес с /32 маской, а в маске ip шлюза(можно использовать ip который смотрит в сторону оператора) маска на микротике это будет шлюз для клиента, при этом нужно либо, чтобы оператор прописал обратные маршруты либо вам включить прокси Арп это ещё та дыра в безопасности. https://m.habr.com/post/213037 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FireDemonru Опубликовано 2 июля, 2018 · Жалоба 44 минуты назад, VolanD666 сказал: Дык вы на бридж прописываете, зачем на физический интерфейс то. Уверены что он не НАТится? На bridge тоже пробовал - толку 0, роутер пингуется, дальше на x.y.203.173 трафик не идет. [admin@MikroTik] > /ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; defconf: masquerade chain=srcnat action=masquerade to-addresses=x.y.203.174 src-address=192.168.1.0/24 out-interface-list=WAN log=no log-prefix="" ipsec-policy=out,none 1 chain=dstnat action=netmap to-addresses=192.168.1.21 to-ports=80 protocol=tcp dst-port=4480 log=no log-prefix="" 2 chain=dstnat action=netmap to-addresses=192.168.1.22 to-ports=80 protocol=tcp dst-port=5580 log=no log-prefix="" 3 chain=dstnat action=netmap to-addresses=192.168.1.39 to-ports=8080 protocol=tcp dst-port=8989 log=no log-prefix="" 4 X chain=dstnat action=netmap to-addresses=192.168.1.27 to-ports=22 protocol=tcp dst-port=2022 log=no log-prefix="" [admin@MikroTik] > /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 ether1 1 1 A S 0.0.0.0/0 x.y.203.173 1 2 ADC x.y.203.172/30 x.y.203.174 ether1 0 3 ADC xx.yy.178.112/29 xx.yy.178.113 bridge 0 4 A S xx.yy.178.113/32 ether3 1 5 ADC 192.168.1.0/24 192.168.1.1 bridge 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 июля, 2018 · Жалоба Вам провайдер выделил белую подсеть, вы ее хотите передать абонентам что бы они через нее работали с внешними адресами? Тогда надо просто правила НАТ настроить на серую подсеть (адреса источника), а выделенные адреса просто раздаете клиентам и все заработает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 2 июля, 2018 · Жалоба 27 минут назад, Saab95 сказал: Вам провайдер выделил белую подсеть, вы ее хотите передать абонентам что бы они через нее работали с внешними адресами? Тогда надо просто правила НАТ настроить на серую подсеть (адреса источника), а выделенные адреса просто раздаете клиентам и все заработает. О_о это устаревшая технология. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 2 июля, 2018 · Жалоба @FireDemonru в твоём варианте это будет src. Лучше всего, что бы тебе оператор отдал ip unnumbered будет на 3 Ip больше. А еще лучше до микротика поставить свич(да это не дорого) например mes2324 и вообще будет всё в ёлку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...