kibardin Опубликовано 18 марта, 2019 · Жалоба бордер xхх.ххх.ххх.1 сеть /24 адреса выдает биллинг с серыми проблем нет - masquerade как настроить белые? /ip route # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 xхх.ххх.ххх.1 1 1 ADC 10.88.6.0/24 10.88.6.49 vlan MAN_SRV 0 3 ADC ххх.ххх.ххх.0/24 ххх.ххх.ххх.19 vlan WAN 0 4 ADC ххх.ххх.ххх.46/32 ххх.ххх.ххх.19 <pppoe-test> 0 /ip firewall nat 0 ;;; Gray IP chain=srcnat action=masquerade src-address-list=CLIENTS out-interface=vlan WAN log=no log-prefix="" 1 ;;; Negative balance chain=srcnat action=masquerade src-address-list=negative dst-address-list=negative_allowed out-interface=vlan WAN log=no log-prefix="" /ppp profile 1 name="profile1" local-address=xхх.ххх.ххх.19 use-mpls=no use-compression=no use-encryption=no only-one=default change-tcp-mss=default use-upnp=default address-list="" dns-server=xхх.ххх.ххх.11,xхх.ххх.ххх.12 on-up="" on-down="" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 18 марта, 2019 · Жалоба Нарисуй схему на листе поймешь. Дефолт ты получаешь статикой? У тебя влан в нем находится x.x.x.1 который для тебя дефолт 0.0.0.0/0, он не знает, что за твоим x.x.x.2 есть x.x.x.3 x.x.x.4 и т.д. Либо включать proxy-arp Либо разбивать /24 на /25 и маркировкой отправлять по разным дефолтам. Либо OSPF или BGP. В правиле маскарада еще не забудь исключение сделать. З.Ы. Нужно больше микротиков, в каждой шутке есть доля шутки. @kibardin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kibardin Опубликовано 18 марта, 2019 · Жалоба Включил proxy-arp - работает. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 18 марта, 2019 · Жалоба @kibardin Это дыра, у тебя будут доступны серый подсети доступны, фильтры не работают при включенном proxy-arp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 марта, 2019 · Жалоба NAT для серых адресов не надо делать по списку клиентов, достаточно указать подсеть и все. У вас же все равно должники в отдельном списке есть=) Чем проще конфиг - тем лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 19 марта, 2019 · Жалоба 13 часов назад, Saab95 сказал: NAT для серых адресов не надо делать по списку клиентов, достаточно указать подсеть и все. У вас же все равно должники в отдельном списке есть=) Чем проще конфиг - тем лучше. это от вариантов сорм зависит. есть варианты carrier nat с оутсормингом, где каждому абоненту фиксированный диапазон портов предоставлен, например 200 портов на абонента , и с конкретного серого IP исходящие подключения транслируются только в этот индивидуальный диапазон. В софтроутерах для этого специальный модуль к ядру есть , чтобы это делать не по одному правилу на клиента, а хешем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 19 марта, 2019 · Жалоба 24 минуты назад, LostSoul сказал: В софтроутерах для этого специальный модуль к ядру есть , чтобы это делать не по одному правилу на клиента, а хешем. А можно название модуля? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 марта, 2019 · Жалоба 11 часов назад, LostSoul сказал: есть варианты carrier nat с оутсормингом, где каждому абоненту фиксированный диапазон портов предоставлен, например 200 портов на абонента , и с конкретного серого IP исходящие подключения транслируются только в этот индивидуальный диапазон. Это что за неведома штука? Обычно СОРМ или свой, или другой оператор предоставляет СОРМированные IP. Оказывается еще варианты есть? =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kibardin Опубликовано 21 марта, 2019 · Жалоба Подскажите как сделать чтобы для каждого пппое был свой внеш ип. /ppp profile 1 name="profile1" local-address=xхх.ххх.ххх.19 2 name="profile2" local-address=xхх.ххх.ххх.20 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 21 марта, 2019 · Жалоба @kibardin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 21 марта, 2019 · Жалоба 4 часа назад, kibardin сказал: Подскажите как сделать чтобы для каждого пппое был свой внеш ип. Это не внешний IP, а как бы адрес шлюза для PPPoE клиентов. В интернет абоненты все равно пойдут через тот адрес, через который работают внешние каналы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kibardin Опубликовано 21 марта, 2019 · Жалоба Я привел пример ип для пппое, следовательно и внешка такая же. Как настроить route и nat... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 21 марта, 2019 · Жалоба @kibardin в макскараде делаешь исключение для этих IP адресов включаешь прокси арп и на каждый логин вешаешь уникальный IP. Если нужно без прокси арп, то нужно на выше стоящем маршрутизаторе прописывать маршруты. add action=masquerade chain=srcnat out-interface=xxx src-address=!x.x.x.x-x.x.x.y to-addresses=y.y.y.y Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...