7sergeynazarov7 Опубликовано 25 сентября, 2019 (изменено) · Жалоба Добрый день уважаемые гуру. Просьба помочь пробросить реальную сеть через iBGP для NAT 91.xxx.136.0/24 91.xx.137.0/24 поднял ibgp на Microtik пинг в интернет уходит, NAT-ить нужно с Ipv4 выданным Ripe-ом. Не могу добиться, чтоб через NAT SAME уходила серая подсеть. Есть на микротике аналогичноая команда ? ip route 192.168.100.0 255.255.255.0 Null0 Изменено 25 сентября, 2019 пользователем 7sergeynazarov7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 25 сентября, 2019 · Жалоба Есть, там тип маршрута блэкхол Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 25 сентября, 2019 · Жалоба 39 minutes ago, VolanD666 said: Есть, там тип маршрута блэкхол Спасибо большое за ответ, но, что то еще не то. Могли бы помочь, пожалуйста. Стоит Cisco ASR-1001x она основной bgp, подключаю microtik по ibgp, при этом пинги ходят с самого микротика в интернет. При маскардинге натиться тестовый пк. При постановке на SAME и один внешний IP-адрес, пинги на тестовом пк прекращают ходить. Как настроить NAT в такой связке, подскажите пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 25 сентября, 2019 · Жалоба А конфиг можно? Как у вас сейчас настроено? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 25 сентября, 2019 · Жалоба 1 minute ago, VolanD666 said: А конфиг можно? Как у вас сейчас настроено? Да конечно. /routing bgp instance set default as=XXX92 redistribute-connected=yes redistribute-static=yes \ router-id=91.XXX.XX7.1 /routing bgp network add network=91.XXX.XX6.0/24 synchronize=no add network=91.XXX.XX7.0/24 synchronize=no /routing bgp peer add in-filter=ASXXX92-bgp-in name=CISCO-ASR-1001X out-filter=ASXXX92-bgp-out \ remote-address=91.XXX.XX7.2 remote-as=XXX92 ttl=default /routing filter add action=discard chain=ASXXX92-bgp-in disabled=yes prefix=10.0.0.0/8 add action=discard chain=ASXXX92-bgp-in prefix=192.168.0.0/16 add action=discard chain=ASXXX92-bgp-in prefix=172.16.0.0/12 add action=discard chain=ASXXX92-bgp-in prefix=169.254.0.0/16 add action=discard chain=ASXXX92-bgp-in prefix=224.0.0.0/4 add action=discard chain=ASXXX92-bgp-in prefix=127.0.0.0/8 add action=discard chain=ASXXX92-bgp-in prefix=240.0.0.0/4 add action=discard chain=ASXXX92-bgp-in prefix=91.XXX.XX7.0/24 add action=discard chain=ASXXX92-bgp-in prefix=91.XXX.XX6.0/24 add action=accept chain=ASXXX92-bgp-in add action=accept chain=ASXXX92-bgp-out prefix=91.XXX.XX7.0/24 add action=accept chain=ASXXX92-bgp-out prefix=91.XXX.XX6.0/24 add action=discard chain=ASXXX92-bgp-out /ip firewall nat add action=same chain=srcnat same-not-by-dst=no src-address=10.2.0.0/24 \ to-addresses=91.XXX.XXX.100 /ip route add distance=1 dst-address=91.XXX.XX6.0/24 type=blackhole add distance=1 dst-address=91.XXX.XX7.0/24 type=blackhole Еще нужны какие то ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 25 сентября, 2019 (изменено) · Жалоба Может попробовать в правиле задать выходной интерфейс? Изменено 25 сентября, 2019 пользователем VolanD666 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 25 сентября, 2019 (изменено) · Жалоба 4 минуты назад VolanD666 сказал: Может попробовать в правиле задать выходной инт-с? / ip firewall nat add action = та же цепочка = внешний интерфейс srcnat = vlan14 то же не по dst = нет \ src-address = 10.2.0.0 / 24 to-address = 91.XXX.XX7.100 Сделал без результата. Не могу понять как натить в собственные белый Ip адресса. Изменено 25 сентября, 2019 пользователем 7sergeynazarov7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 25 сентября, 2019 · Жалоба Ну дык НАТ точно не срабатывает? Вы можете сниффером посмотреть? Он в сторону аплинка отНАЧенный уходит или нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 25 сентября, 2019 (изменено) · Жалоба On 9/25/2019 at 3:18 PM, VolanD666 said: Точно не срабатывает? Вы можете сниффером посмотреть? Он в сторону аплинка отНАЧенный уходит или нет? Чего то не хватает, маршрута или, вроде пытается но не уходит,? Есть предположения куда копать ? Изменено 8 октября, 2019 пользователем 7sergeynazarov7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 25 сентября, 2019 (изменено) · Жалоба Внешний интерфейс, это sfp который? На нем же входящие и выходящие вланы? Изменено 25 сентября, 2019 пользователем VolanD666 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 25 сентября, 2019 · Жалоба Just now, VolanD666 said: Внешний интерфейс, это sfp который? На нем же входящие и выходящие вланы? Картина на данный момент такая, внешний интерфейс на котором висит bgp VLAN 14 На котором абонент в QinQ верхняя метка VLAN3800 и нижняя VLAN624 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 25 сентября, 2019 · Жалоба А если aaction тоже src-nat поставить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 25 сентября, 2019 · Жалоба 2 minutes ago, VolanD666 said: А если aaction тоже src-nat поставить? Тоже не хочет, тут понять куда копать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 25 сентября, 2019 · Жалоба Ну судя по снифферу у вас нат не отрабатывает и пакеты улетают с серым адресом прямо в аплинк. Попробуйте так: /ip firewall natadd action=src-nat chain=srcnat same-not-by-dst=no src-address=10.2.0.14/32 \ to-addresses=91.XXX.XXX.100 И самое главное сделайте: /ip firewall connection rem [find] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 25 сентября, 2019 · Жалоба Все равно не хочет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 25 сентября, 2019 · Жалоба Странно, может потому что у него роуты в блекхолл. Попробуйте сделать лупбек и на него повесить /24 подсеть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 25 сентября, 2019 · Жалоба При этом пытается делать запрос на ДНС, когда начинаю пинговать разные ресурсы но в интернет не выпускает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 25 сентября, 2019 · Жалоба 18 minutes ago, VolanD666 said: Странно, может потому что у него роуты в блекхолл. Попробуйте сделать лупбек и на него повесить /24 подсеть Подскажите пожалуйста как это сделать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 25 сентября, 2019 · Жалоба Сделайте бридж интерфейс и на него повешайте ствою /24 подсеть в котороую хотите натить. А роут в блекхол пока потушите. Я думаю что дело в этом Просто бридж без интерфейсов в нем Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 25 сентября, 2019 · Жалоба Сделал так, пока все так же тихо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
7sergeynazarov7 Опубликовано 26 сентября, 2019 (изменено) · Жалоба Может из за того, что на EBGP приходит только 2 маршрута с Микротика ? Изменено 26 сентября, 2019 пользователем 7sergeynazarov7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ace63 Опубликовано 30 сентября, 2019 (изменено) · Жалоба Если я правильно помню то важно включить вот это: same-not-by-dst=yes Изменено 30 сентября, 2019 пользователем Ace63 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...