IBGP MICROTIK + NAT

[7sergeynazarov7]

Добрый день уважаемые гуру. Просьба помочь пробросить реальную сеть через iBGP для NAT 91.xxx.136.0/24 91.xx.137.0/24 поднял ibgp на Microtik пинг в интернет уходит, NAT-ить  нужно с Ipv4 выданным Ripe-ом. Не могу добиться, чтоб через NAT SAME уходила серая подсеть.

Есть на микротике аналогичноая команда ?

ip route 192.168.100.0 255.255.255.0 Null0

 

Edited September 25, 2019 by 7sergeynazarov7

[VolanD666]

Есть, там тип маршрута блэкхол

[7sergeynazarov7]

39 minutes ago, VolanD666 said:

Есть, там тип маршрута блэкхол

Спасибо большое за ответ, но, что то еще не то.

Могли бы помочь, пожалуйста. Стоит Cisco ASR-1001x она основной bgp, подключаю microtik по ibgp, при этом пинги ходят с самого микротика в интернет. При маскардинге натиться тестовый пк. При постановке на SAME и один внешний IP-адрес, пинги на тестовом пк прекращают ходить. Как настроить NAT в такой связке, подскажите пожалуйста.

[VolanD666]

А конфиг можно?

 

Как у вас сейчас настроено?

[7sergeynazarov7]

1 minute ago, VolanD666 said:

А конфиг можно?

 

Как у вас сейчас настроено?

Да конечно.

  /routing bgp instance
set default as=XXX92 redistribute-connected=yes redistribute-static=yes \
    router-id=91.XXX.XX7.1
/routing bgp network
add network=91.XXX.XX6.0/24 synchronize=no
add network=91.XXX.XX7.0/24 synchronize=no
/routing bgp peer
add in-filter=ASXXX92-bgp-in name=CISCO-ASR-1001X out-filter=ASXXX92-bgp-out \
    remote-address=91.XXX.XX7.2 remote-as=XXX92 ttl=default

/routing filter
add action=discard chain=ASXXX92-bgp-in disabled=yes prefix=10.0.0.0/8
add action=discard chain=ASXXX92-bgp-in prefix=192.168.0.0/16
add action=discard chain=ASXXX92-bgp-in prefix=172.16.0.0/12
add action=discard chain=ASXXX92-bgp-in prefix=169.254.0.0/16
add action=discard chain=ASXXX92-bgp-in prefix=224.0.0.0/4
add action=discard chain=ASXXX92-bgp-in prefix=127.0.0.0/8
add action=discard chain=ASXXX92-bgp-in prefix=240.0.0.0/4
add action=discard chain=ASXXX92-bgp-in prefix=91.XXX.XX7.0/24
add action=discard chain=ASXXX92-bgp-in prefix=91.XXX.XX6.0/24
add action=accept chain=ASXXX92-bgp-in
add action=accept chain=ASXXX92-bgp-out prefix=91.XXX.XX7.0/24
add action=accept chain=ASXXX92-bgp-out prefix=91.XXX.XX6.0/24
add action=discard chain=ASXXX92-bgp-out

/ip firewall nat
add action=same chain=srcnat same-not-by-dst=no src-address=10.2.0.0/24 \
    to-addresses=91.XXX.XXX.100

/ip route
add distance=1 dst-address=91.XXX.XX6.0/24 type=blackhole
add distance=1 dst-address=91.XXX.XX7.0/24 type=blackhole

Еще нужны какие то ?

[VolanD666]

Может попробовать в правиле задать выходной интерфейс?

Edited September 25, 2019 by VolanD666

[7sergeynazarov7]

4 минуты назад VolanD666 сказал:

Может попробовать в правиле задать выходной инт-с?

/ ip firewall nat
add action = та же цепочка = внешний интерфейс srcnat = vlan14 то же не по dst = нет \
    src-address = 10.2.0.0 / 24 to-address = 91.XXX.XX7.100

Сделал без результата.

 

Не могу понять как натить в собственные белый Ip адресса.

Edited September 25, 2019 by 7sergeynazarov7

[VolanD666]

Ну дык НАТ точно не срабатывает? Вы можете сниффером посмотреть? Он в сторону аплинка отНАЧенный уходит или нет?

[7sergeynazarov7]

 

On 9/25/2019 at 3:18 PM, VolanD666 said:

Точно не срабатывает? Вы можете сниффером посмотреть? Он в сторону аплинка отНАЧенный уходит или нет?

Чего то не хватает, маршрута или, вроде пытается но не уходит,? Есть предположения куда копать ?

 

Edited October 8, 2019 by 7sergeynazarov7

[VolanD666]

Внешний интерфейс, это sfp который? На нем же входящие и выходящие вланы?

Edited September 25, 2019 by VolanD666

[7sergeynazarov7]

Just now, VolanD666 said:

Внешний интерфейс, это sfp который? На нем же входящие и выходящие вланы?

 

Картина на данный момент такая, внешний интерфейс на котором висит bgp VLAN 14 На котором абонент в QinQ верхняя метка VLAN3800 и нижняя VLAN624 

[VolanD666]

А если aaction тоже src-nat поставить?

[7sergeynazarov7]

2 minutes ago, VolanD666 said:

А если aaction тоже src-nat поставить?

Тоже не хочет, тут понять куда копать. 

[VolanD666]

Ну судя по снифферу у вас нат не отрабатывает и пакеты улетают с серым адресом прямо в аплинк.

 

Попробуйте так:

 

/ip firewall nat
add action=src-nat chain=srcnat same-not-by-dst=no src-address=10.2.0.14/32 \
    to-addresses=91.XXX.XXX.100

 

И самое главное сделайте:

/ip firewall connection rem [find]

 

[7sergeynazarov7]

Все равно не хочет. 

[VolanD666]

Странно, может потому что у него роуты в блекхолл. Попробуйте сделать лупбек и на него повесить /24 подсеть

[7sergeynazarov7]

При этом пытается делать запрос на ДНС, когда начинаю пинговать разные ресурсы но в интернет не выпускает. 

[7sergeynazarov7]

18 minutes ago, VolanD666 said:

Странно, может потому что у него роуты в блекхолл. Попробуйте сделать лупбек и на него повесить /24 подсеть

Подскажите пожалуйста как это сделать ?

[VolanD666]

Сделайте бридж интерфейс и на него повешайте ствою /24 подсеть в котороую хотите натить. А роут в блекхол пока потушите. Я думаю что дело в этом

 

Просто бридж без интерфейсов в нем

[7sergeynazarov7]

Сделал так, пока все так же тихо.

[7sergeynazarov7]

Может из за того, что на EBGP приходит только 2 маршрута с Микротика ?

 

Edited September 26, 2019 by 7sergeynazarov7

[Ace63]

Если я правильно помню то важно включить вот это: same-not-by-dst=yes

Edited September 30, 2019 by Ace63