belokuriha Posted January 18, 2019 · Report post Добрый всем день. Буде писать много , возможно что то не понятно опишу, но ситуация такая- Есть магистрал есть мы (мелкий) провайдер есть клиенты Есть микротик на шлюз и авторизицию клиента , магистрал выдал нам белый адрес . Мы его натим и отдаем услугу интернет клиентам. Появился у нас клиент , который хочет подключиться к белому адресу , мы запрашиваем у магистрала еще несколько адресов. магистрал выдает нам адреса , но шлюз и сами адреса из другой под сети что сейчас прописан на микротике. Я создаю еще одну под сеть на микротике в сторону клиентов. прописываю такое правиль- ip firewall nat add chain=srcnat src-address=адрес в сторону клиента action=srcnat to-addresses=белый адрес /ip firewall nat add chain=dstnat dst-address=белый адрес action=dstnat to-addresses=адрес в сторону клиента но движений и изменения адреса нет. Отсюда вопрос , 1.нужно ли в роутинг прописывать шлюз той подсети белых адресов ? 2.каким правилом нужно прокинуть этому абоненту белый адрес ? если можно описать с примерами. Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted January 18, 2019 · Report post Маршруты должны быть заданы на всех узлах (статикой или динамикой), где проходит трафик. Само собой они должны быть на NAS. А кроме этого они должны быть на бордерах и на всех транзитных узлах между бордером и NAS. Если у вас более одного аплинка, они должны быть и у аплинков. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted January 19, 2019 · Report post Вам надо правило прероутинга - пометить роутинг для данного клиента (внутренний адрес источника), и потом в routes добавить ему маршрут 0.0.0.0 на его шлюз с указанием метки прероутинга. Тогда для него будет работать ваше правило src-nat Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
belokuriha Posted January 19, 2019 · Report post 8 часов назад, alibek сказал: Маршруты должны быть заданы на всех узлах (статикой или динамикой), где проходит трафик. Само собой они должны быть на NAS. А кроме этого они должны быть на бордерах и на всех транзитных узлах между бордером и NAS. Если у вас более одного аплинка, они должны быть и у аплинков. Я очень рад что вы понимаете в этом . Но я просил с примерами , я не умею читать мысли с вашей головы 55 минут назад, jffulcrum сказал: Вам надо правило прероутинга - пометить роутинг для данного клиента (внутренний адрес источника), и потом в routes добавить ему маршрут 0.0.0.0 на его шлюз с указанием метки прероутинга. Тогда для него будет работать ваше правило src-nat Где это нужно сделать, желательно написать пример правила , или ссылку на почитать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted January 19, 2019 · Report post /ip firewall mangle add action=mark-routing chain=prerouting comment=Client1 new-routing-mark=\ m_route1 passthrough=no src-address=10.0.2.0/24 add action=mark-routing chain=prerouting comment=Client2 new-routing-mark=\ m_route2 passthrough=no src-address=10.0.3.0/24 add action=src-nat chain=srcnat comment=Client1 out-interface=vlan1 \ src-address=10.0.2.0/24 to-addresses=XXX.XXX.XXX.002 add action=src-nat chain=srcnat comment=Client2 out-interface=\ vlan1 src-address=10.0.3.0/24 to-addresses=YYY.YYY.YYY.002 /ip route add distance=2 gateway=XXX.XXX.XXX.001 routing-mark=m_route1 add distance=2 gateway=YYY.YYY.YYY.001 routing-mark=m_route2 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted January 21, 2019 · Report post ИМХО Как вариант собрать линковую сетку между магистралом и вами на /30 маске. Где магистрал уже легко пропишет вам маршруты. А для клиентов отдавать либо PPPoE, либо статикой. add address=x.x.x.1 interface=eth1.xxxx network=x.x.x.161 З.Ы. С 2-3 микротиками можно более гибкую схему сделать. Я не фанат саба :D Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Барагоз Posted January 22, 2019 · Report post В 18.01.2019 в 22:12, belokuriha сказал: магистрал выдает нам адреса , но шлюз и сами адреса из другой под сети Я бы начал с простого: магистрал выдает вам именно доп IP адреса на порту и будет сам их маршрутизировать или все-таки выдает подсеть, которую вам надлежит маршрутизировать самостоятельно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 22, 2019 · Report post Если он просто на тот же порт выдал адрес, то поможет прокси арп без всяких маркировок маршрутов. Выдаете абоненту такой же IP, что и дал вам провайдер, а ответы можете отправлять на шлюз основного адреса, данные и так пройдут. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted January 25, 2019 · Report post @Saab95 Это еще та дыра и тяжело потом от этого наркотика избавится. З.Ы. фильтры которые будешь рисовать работать на 100% не будут, вы это должны знать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...