[belokuriha]

Добрый всем день.

Буде писать много , возможно что то не понятно опишу, но ситуация такая-

 

Есть магистрал

есть мы (мелкий) провайдер

есть клиенты

 

Есть микротик на шлюз и авторизицию клиента , магистрал выдал нам белый адрес . Мы его натим и отдаем услугу интернет клиентам.

Появился у нас клиент , который хочет подключиться к белому адресу , мы запрашиваем у магистрала еще несколько адресов. магистрал выдает нам адреса , но шлюз и сами адреса из другой под сети что сейчас прописан на микротике.

Я создаю еще одну под сеть на микротике в сторону клиентов. прописываю такое правиль-

ip firewall nat add chain=srcnat src-address=адрес в сторону клиента action=srcnat to-addresses=белый адрес
/ip firewall nat add chain=dstnat dst-address=белый адрес action=dstnat to-addresses=адрес в сторону клиента

 

но движений и изменения адреса нет.

 

Отсюда вопрос ,

1.нужно ли в роутинг прописывать шлюз той подсети белых адресов ?

2.каким правилом нужно прокинуть этому абоненту белый адрес ?

 

если можно описать с примерами.

Спасибо.

 

[alibek]

Маршруты должны быть заданы на всех узлах (статикой или динамикой), где проходит трафик.

Само собой они должны быть на NAS.

А кроме этого они должны быть на бордерах и на всех транзитных узлах между бордером и NAS.

Если у вас более одного аплинка, они должны быть и у аплинков.

[jffulcrum]

Вам надо правило прероутинга - пометить роутинг для данного клиента (внутренний адрес источника), и потом в routes добавить ему маршрут 0.0.0.0 на его шлюз с указанием метки прероутинга. Тогда для него будет работать ваше правило src-nat

[belokuriha]

8 часов назад, alibek сказал:

Маршруты должны быть заданы на всех узлах (статикой или динамикой), где проходит трафик.

Само собой они должны быть на NAS.

А кроме этого они должны быть на бордерах и на всех транзитных узлах между бордером и NAS.

Если у вас более одного аплинка, они должны быть и у аплинков.

Я очень рад что вы понимаете в этом . Но я просил с примерами , я не умею читать мысли с вашей головы

 

 

55 минут назад, jffulcrum сказал:

Вам надо правило прероутинга - пометить роутинг для данного клиента (внутренний адрес источника), и потом в routes добавить ему маршрут 0.0.0.0 на его шлюз с указанием метки прероутинга. Тогда для него будет работать ваше правило src-nat

Где это нужно сделать, желательно написать пример правила , или ссылку на почитать

[jffulcrum]

/ip firewall mangle
add action=mark-routing chain=prerouting comment=Client1 new-routing-mark=\
    m_route1 passthrough=no src-address=10.0.2.0/24
add action=mark-routing chain=prerouting comment=Client2 new-routing-mark=\
    m_route2 passthrough=no src-address=10.0.3.0/24

 

add action=src-nat chain=srcnat comment=Client1 out-interface=vlan1 \
    src-address=10.0.2.0/24 to-addresses=XXX.XXX.XXX.002
add action=src-nat chain=srcnat comment=Client2 out-interface=\
    vlan1 src-address=10.0.3.0/24 to-addresses=YYY.YYY.YYY.002

 

/ip route
add distance=2 gateway=XXX.XXX.XXX.001 routing-mark=m_route1
add distance=2 gateway=YYY.YYY.YYY.001 routing-mark=m_route2

[pingz]

ИМХО

Как вариант собрать линковую сетку между магистралом и вами на /30 маске. Где магистрал уже легко пропишет вам  маршруты. 

 

А для клиентов отдавать либо PPPoE, либо статикой. 

 

add address=x.x.x.1 interface=eth1.xxxx network=x.x.x.161

 

З.Ы. С 2-3 микротиками можно более гибкую схему сделать. Я не фанат саба :D

 

 

[Барагоз]

В 18.01.2019 в 22:12, belokuriha сказал:

магистрал выдает нам адреса , но шлюз и сами адреса из другой под сети

Я бы начал с простого: магистрал выдает вам именно доп IP адреса на порту и будет сам их маршрутизировать или все-таки выдает подсеть, которую вам надлежит маршрутизировать самостоятельно?

[Saab95]

Если он просто на тот же порт выдал адрес, то поможет прокси арп без всяких маркировок маршрутов. Выдаете абоненту такой же IP, что и дал вам провайдер, а ответы можете отправлять на шлюз основного адреса, данные и так пройдут.

[pingz]

@Saab95  Это еще та дыра и тяжело потом от этого наркотика избавится. 

 

З.Ы. фильтры которые будешь рисовать работать на 100% не будут, вы это должны знать.