Jump to content
Калькуляторы

Настройка NAT на насколько подсетей

Добрый вечер, коллеги!
Столкнулся с такой ситуацией.

Вышестоящий провайдер выдаёт интернет посредством gre-tunnel.

К серверу (микротику) подключается 5 отдельных локальных подсетей.

Раньше на этом туннеле был один ай-пи, допустим 111.111.111.111

В ip - firewall было создано одно правило НАТ, применен scr-nat, в настройках было указано to-address 111.111.111.111

Всё работало.

Было принято решение чуть разгрузить это всё и добавлен ещё один внешний ай-пи, отличающийся на 1 цифру допустим 111.111.111.112.

К слову, оба этих ай-пи прописаны прямо на интерфейс туннеля (в ip - addresses).

Для того, чтобы две из пяти локальных сети выходили в мир по 111.111.111.111, а три другие по 111.111.111.112, я принял решение создать отдельно 5 правил scr-nat.

Вот кусок конфига:

 

/ip firewall nat
add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.0.0/24 src-address-list=Abonent to-addresses=111.111.111.111
add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.1.0/24 src-address-list=Abonent to-addresses=111.111.111.111
add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.2.0/24 src-address-list=Abonent to-addresses=111.111.111.112
add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.3.0/24 src-address-list=Abonent to-addresses=111.111.111.112
add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=gw-a src-address=192.168.4.0/24 src-address-list=Abonent to-addresses=111.111.111.112

 

Вроде всё работает, но то ли мне кажется, то ли сайты иногда подвисают.

 

Посему вопросы:

1. Правильно ли я разрулил 2 внешних ай-пи на 5 локальных сетей?

2. Что это такое !192.168.0.0/16. Я понимаю, что это исключение адресного пространства локалки из НАТа, но с какой целью? Надо ли так делать?

3. Если на туннеле прописаны оба внешника 111.111.111.111 и 111.111.111.112, то если я буду пинговать некий сайт прямо с микротика, с какого из этих двух адресов будут идти запросы на сайт?

Share this post


Link to post
Share on other sites

Если кажется, что есть проблема с открытием веб-сайтов через туннель, попробуйте явно уменьшать tcp-mss хотя бы до 1400, и сравнить результаты.

Share this post


Link to post
Share on other sites
22 часа назад, nkusnetsov сказал:

Если кажется, что есть проблема с открытием веб-сайтов через туннель, попробуйте явно уменьшать tcp-mss хотя бы до 1400, и сравнить результаты.

Благодарю за ответ.

Уже начал мысли в этом направлении.

Уменьшил на тунеле просто MTU, до 1400, по классике. Вроде стало работать чуть лучше. А может это всё моя фантазия. Наблюдаю.

А где именно меняется tcp-mss? 

Настройки тунеля щас такие:

 

Безымянный.png

 

Если MTU по-умолчанию оставить, то 1472 выбирает.

Edited by Trueno

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this