Jump to content
Калькуляторы

Белый адрес за нат , или 1:1

Добрый всем день.

Буде писать много , возможно что то не понятно опишу, но ситуация такая-

 

Есть магистрал

есть мы (мелкий) провайдер

есть клиенты

 

Есть микротик на шлюз и авторизицию клиента , магистрал выдал нам белый адрес . Мы его натим и отдаем услугу интернет клиентам.

Появился у нас клиент , который хочет подключиться к белому адресу , мы запрашиваем у магистрала еще несколько адресов. магистрал выдает нам адреса , но шлюз и сами адреса из другой под сети что сейчас прописан на микротике.

Я создаю еще одну под сеть на микротике в сторону клиентов. прописываю такое правиль-

ip firewall nat add chain=srcnat src-address=адрес в сторону клиента action=srcnat to-addresses=белый адрес
/ip firewall nat add chain=dstnat dst-address=белый адрес action=dstnat to-addresses=адрес в сторону клиента

 

но движений и изменения адреса нет.

 

Отсюда вопрос ,

1.нужно ли в роутинг прописывать шлюз той подсети белых адресов ?

2.каким правилом нужно прокинуть этому абоненту белый адрес ?

 

если можно описать с примерами.

Спасибо.

 

Share this post


Link to post
Share on other sites

Маршруты должны быть заданы на всех узлах (статикой или динамикой), где проходит трафик.

Само собой они должны быть на NAS.

А кроме этого они должны быть на бордерах и на всех транзитных узлах между бордером и NAS.

Если у вас более одного аплинка, они должны быть и у аплинков.

Share this post


Link to post
Share on other sites

Вам надо правило прероутинга - пометить роутинг для данного клиента (внутренний адрес источника), и потом в routes добавить ему маршрут 0.0.0.0 на его шлюз с указанием метки прероутинга. Тогда для него будет работать ваше правило src-nat

Share this post


Link to post
Share on other sites
8 часов назад, alibek сказал:

Маршруты должны быть заданы на всех узлах (статикой или динамикой), где проходит трафик.

Само собой они должны быть на NAS.

А кроме этого они должны быть на бордерах и на всех транзитных узлах между бордером и NAS.

Если у вас более одного аплинка, они должны быть и у аплинков.

Я очень рад что вы понимаете в этом . Но я просил с примерами , я не умею читать мысли с вашей головы

 

 

55 минут назад, jffulcrum сказал:

Вам надо правило прероутинга - пометить роутинг для данного клиента (внутренний адрес источника), и потом в routes добавить ему маршрут 0.0.0.0 на его шлюз с указанием метки прероутинга. Тогда для него будет работать ваше правило src-nat

Где это нужно сделать, желательно написать пример правила , или ссылку на почитать

Share this post


Link to post
Share on other sites

/ip firewall mangle
add action=mark-routing chain=prerouting comment=Client1 new-routing-mark=\
    m_route1 passthrough=no src-address=10.0.2.0/24
add action=mark-routing chain=prerouting comment=Client2 new-routing-mark=\
    m_route2 passthrough=no src-address=10.0.3.0/24

 

add action=src-nat chain=srcnat comment=Client1 out-interface=vlan1 \
    src-address=10.0.2.0/24 to-addresses=XXX.XXX.XXX.002
add action=src-nat chain=srcnat comment=Client2 out-interface=\
    vlan1 src-address=10.0.3.0/24 to-addresses=YYY.YYY.YYY.002

 

/ip route
add distance=2 gateway=XXX.XXX.XXX.001 routing-mark=m_route1
add distance=2 gateway=YYY.YYY.YYY.001 routing-mark=m_route2

Share this post


Link to post
Share on other sites

ИМХО

Как вариант собрать линковую сетку между магистралом и вами на /30 маске. Где магистрал уже легко пропишет вам  маршруты. 

 

А для клиентов отдавать либо PPPoE, либо статикой. 

 

add address=x.x.x.1 interface=eth1.xxxx network=x.x.x.161

 

З.Ы. С 2-3 микротиками можно более гибкую схему сделать. Я не фанат саба :D

 

 

Share this post


Link to post
Share on other sites
В 18.01.2019 в 22:12, belokuriha сказал:

магистрал выдает нам адреса , но шлюз и сами адреса из другой под сети

Я бы начал с простого: магистрал выдает вам именно доп IP адреса на порту и будет сам их маршрутизировать или все-таки выдает подсеть, которую вам надлежит маршрутизировать самостоятельно?

Share this post


Link to post
Share on other sites

Если он просто на тот же порт выдал адрес, то поможет прокси арп без всяких маркировок маршрутов. Выдаете абоненту такой же IP, что и дал вам провайдер, а ответы можете отправлять на шлюз основного адреса, данные и так пройдут.

Share this post


Link to post
Share on other sites

@Saab95  Это еще та дыра и тяжело потом от этого наркотика избавится. 

 

З.Ы. фильтры которые будешь рисовать работать на 100% не будут, вы это должны знать. 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now