[kibardin]

бордер xхх.ххх.ххх.1 сеть /24  
адреса выдает биллинг
с серыми проблем нет -  masquerade

как настроить белые?

/ip route
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          xхх.ххх.ххх.1             1
 1 ADC  10.88.6.0/24       10.88.6.49      vlan MAN_SRV              0
 3 ADC  ххх.ххх.ххх.0/24   ххх.ххх.ххх.19  vlan WAN                  0
 4 ADC  ххх.ххх.ххх.46/32  ххх.ххх.ххх.19  <pppoe-test>              0
 
 /ip firewall nat
 0    ;;; Gray IP
      chain=srcnat action=masquerade src-address-list=CLIENTS out-interface=vlan WAN log=no log-prefix="" 
 1    ;;; Negative balance
      chain=srcnat action=masquerade src-address-list=negative dst-address-list=negative_allowed out-interface=vlan WAN log=no log-prefix=""  

 

/ppp profile
 1   name="profile1" local-address=xхх.ххх.ххх.19 use-mpls=no use-compression=no use-encryption=no only-one=default change-tcp-mss=default use-upnp=default 
     address-list="" dns-server=xхх.ххх.ххх.11,xхх.ххх.ххх.12 on-up="" on-down="" 
 

[pingz]

Нарисуй схему на листе поймешь.

 

Дефолт ты получаешь статикой? 

У тебя влан в нем находится x.x.x.1 который для тебя дефолт 0.0.0.0/0, он не знает, что за твоим x.x.x.2 есть x.x.x.3 x.x.x.4 и т.д.  Либо включать proxy-arp

 

Либо разбивать /24  на /25 и маркировкой отправлять по разным дефолтам. Либо OSPF или BGP.

 

В правиле маскарада еще не забудь исключение сделать. 

 

З.Ы. Нужно больше микротиков, в каждой шутке есть доля шутки. 

 

@kibardin

[kibardin]

Включил proxy-arp - работает.

 

Спасибо.

[pingz]

@kibardin  Это дыра, у тебя будут доступны серый подсети доступны, фильтры не работают при включенном proxy-arp

[Saab95]

NAT для серых адресов не надо делать по списку клиентов, достаточно указать подсеть и все. У вас же все равно должники в отдельном списке есть=) Чем проще конфиг - тем лучше.

[LostSoul]

13 часов назад, Saab95 сказал:

NAT для серых адресов не надо делать по списку клиентов, достаточно указать подсеть и все. У вас же все равно должники в отдельном списке есть=) Чем проще конфиг - тем лучше. 

это от вариантов сорм зависит.

есть варианты carrier nat с оутсормингом, где каждому абоненту фиксированный диапазон портов предоставлен, например 200  портов на абонента , и с конкретного серого IP исходящие подключения транслируются только в этот индивидуальный диапазон.

В софтроутерах для этого специальный модуль к ядру есть , чтобы  это делать не по одному правилу на клиента, а хешем.

 

[pppoetest]

24 минуты назад, LostSoul сказал:

В софтроутерах для этого специальный модуль к ядру есть , чтобы  это делать не по одному правилу на клиента, а хешем.

А можно название модуля?

[Saab95]

11 часов назад, LostSoul сказал:

есть варианты carrier nat с оутсормингом, где каждому абоненту фиксированный диапазон портов предоставлен, например 200  портов на абонента , и с конкретного серого IP исходящие подключения транслируются только в этот индивидуальный диапазон.

Это что за неведома штука? Обычно СОРМ или свой, или другой оператор предоставляет СОРМированные IP. Оказывается еще варианты есть? =)

[kibardin]

Подскажите как сделать чтобы для каждого пппое был свой внеш ип. 

 

/ppp profile
 1   name="profile1" local-address=xхх.ххх.ххх.19

 2   name="profile2" local-address=xхх.ххх.ххх.20

 

 

 

[pingz]

@kibardin   

[Saab95]

4 часа назад, kibardin сказал:

Подскажите как сделать чтобы для каждого пппое был свой внеш ип. 

 

Это не внешний IP, а как бы адрес шлюза для PPPoE клиентов. В интернет абоненты все равно пойдут через тот адрес, через который работают внешние каналы.

[kibardin]

Я привел пример ип для пппое, следовательно и внешка такая же.

Как настроить route и nat...

 

 

[pingz]

@kibardin в макскараде делаешь исключение для этих IP адресов  включаешь прокси арп и на каждый логин вешаешь уникальный IP. Если нужно без прокси арп, то нужно на выше стоящем маршрутизаторе прописывать маршруты. 

 

add action=masquerade chain=srcnat out-interface=xxx src-address=!x.x.x.x-x.x.x.y to-addresses=y.y.y.y