Перейти к содержимому
Калькуляторы

IBGP MICROTIK + NAT

Добрый день уважаемые гуру. Просьба помочь пробросить реальную сеть через iBGP для NAT 91.xxx.136.0/24 91.xx.137.0/24 поднял ibgp на Microtik пинг в интернет уходит, NAT-ить  нужно с Ipv4 выданным Ripe-ом. Не могу добиться, чтоб через NAT SAME уходила серая подсеть.

Есть на микротике аналогичноая команда ?

ip route 192.168.100.0 255.255.255.0 Null0

 

Изменено пользователем 7sergeynazarov7

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

39 minutes ago, VolanD666 said:

Есть, там тип маршрута блэкхол

Спасибо большое за ответ, но, что то еще не то.

Могли бы помочь, пожалуйста. Стоит Cisco ASR-1001x она основной bgp, подключаю microtik по ibgp, при этом пинги ходят с самого микротика в интернет. При маскардинге натиться тестовый пк. При постановке на SAME и один внешний IP-адрес, пинги на тестовом пк прекращают ходить. Как настроить NAT в такой связке, подскажите пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 minute ago, VolanD666 said:

А конфиг можно?

 

Как у вас сейчас настроено?

Да конечно.

  /routing bgp instance
set default as=XXX92 redistribute-connected=yes redistribute-static=yes \
    router-id=91.XXX.XX7.1
/routing bgp network
add network=91.XXX.XX6.0/24 synchronize=no
add network=91.XXX.XX7.0/24 synchronize=no
/routing bgp peer
add in-filter=ASXXX92-bgp-in name=CISCO-ASR-1001X out-filter=ASXXX92-bgp-out \
    remote-address=91.XXX.XX7.2 remote-as=XXX92 ttl=default

/routing filter
add action=discard chain=ASXXX92-bgp-in disabled=yes prefix=10.0.0.0/8
add action=discard chain=ASXXX92-bgp-in prefix=192.168.0.0/16
add action=discard chain=ASXXX92-bgp-in prefix=172.16.0.0/12
add action=discard chain=ASXXX92-bgp-in prefix=169.254.0.0/16
add action=discard chain=ASXXX92-bgp-in prefix=224.0.0.0/4
add action=discard chain=ASXXX92-bgp-in prefix=127.0.0.0/8
add action=discard chain=ASXXX92-bgp-in prefix=240.0.0.0/4
add action=discard chain=ASXXX92-bgp-in prefix=91.XXX.XX7.0/24
add action=discard chain=ASXXX92-bgp-in prefix=91.XXX.XX6.0/24
add action=accept chain=ASXXX92-bgp-in
add action=accept chain=ASXXX92-bgp-out prefix=91.XXX.XX7.0/24
add action=accept chain=ASXXX92-bgp-out prefix=91.XXX.XX6.0/24
add action=discard chain=ASXXX92-bgp-out

/ip firewall nat
add action=same chain=srcnat same-not-by-dst=no src-address=10.2.0.0/24 \
    to-addresses=91.XXX.XXX.100

/ip route
add distance=1 dst-address=91.XXX.XX6.0/24 type=blackhole
add distance=1 dst-address=91.XXX.XX7.0/24 type=blackhole

Еще нужны какие то ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может попробовать в правиле задать выходной интерфейс?

Изменено пользователем VolanD666

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад VolanD666 сказал:

Может попробовать в правиле задать выходной инт-с?

/ ip firewall nat
add action = та же цепочка = внешний интерфейс srcnat = vlan14 то же не по dst = нет \
    src-address = 10.2.0.0 / 24 to-address = 91.XXX.XX7.100

Сделал без результата.

 

Не могу понять как натить в собственные белый Ip адресса.

Изменено пользователем 7sergeynazarov7

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну дык НАТ точно не срабатывает? Вы можете сниффером посмотреть? Он в сторону аплинка отНАЧенный уходит или нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

On 9/25/2019 at 3:18 PM, VolanD666 said:

Точно не срабатывает? Вы можете сниффером посмотреть? Он в сторону аплинка отНАЧенный уходит или нет?

Чего то не хватает, маршрута или, вроде пытается но не уходит,? Есть предположения куда копать ?

 

Снимок экрана от 2019-09-25 15:50:05.png

Изменено пользователем 7sergeynazarov7

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Внешний интерфейс, это sfp который? На нем же входящие и выходящие вланы?

Изменено пользователем VolanD666

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Just now, VolanD666 said:

Внешний интерфейс, это sfp который? На нем же входящие и выходящие вланы?

 

Картина на данный момент такая, внешний интерфейс на котором висит bgp VLAN 14 На котором абонент в QinQ верхняя метка VLAN3800 и нижняя VLAN624 143340435_2019-09-25160128.thumb.png.a5c9b76ef63bb8388605dac10abd99b7.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 minutes ago, VolanD666 said:

А если aaction тоже src-nat поставить?

Тоже не хочет, тут понять куда копать. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну судя по снифферу у вас нат не отрабатывает и пакеты улетают с серым адресом прямо в аплинк.

 

Попробуйте так:

 

/ip firewall nat
add action=src-nat chain=srcnat same-not-by-dst=no src-address=10.2.0.14/32 \
    to-addresses=91.XXX.XXX.100

 

И самое главное сделайте:

/ip firewall connection rem [find]

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Странно, может потому что у него роуты в блекхолл. Попробуйте сделать лупбек и на него повесить /24 подсеть

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

При этом пытается делать запрос на ДНС, когда начинаю пинговать разные ресурсы но в интернет не выпускает. 

Снимок экрана от 2019-09-25 16:41:15.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 minutes ago, VolanD666 said:

Странно, может потому что у него роуты в блекхолл. Попробуйте сделать лупбек и на него повесить /24 подсеть

Подскажите пожалуйста как это сделать ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделайте бридж интерфейс и на него повешайте ствою /24 подсеть в котороую хотите натить. А роут в блекхол пока потушите. Я думаю что дело в этом

 

Просто бридж без интерфейсов в нем

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделал так, пока все так же тихо.320735501_2019-09-25172510.thumb.png.59ec9d013e4dbb8dbb657bf7e5c14c3e.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

snapshot2.thumb.jpeg.39110f50c100f55b27058657bb8c8fba.jpeg

Может из за того, что на EBGP приходит только 2 маршрута с Микротика ?

 

Изменено пользователем 7sergeynazarov7

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если я правильно помню то важно включить вот это: same-not-by-dst=yes

Изменено пользователем Ace63

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.