7sergeynazarov7 Posted September 28, 2020 Posted September 28, 2020 (edited) Как поделить поровну две подсети между абонентами есть ПУЛ №1 и ПУЛ №2 есть ли аналог команды ip nat settings pap limit 60 chain=srcnat action=same to-addresses=XX.XXX.XX6.8-XX.XXX.XX6.30 same-not-by-dst=yes src-address-list=crb_auth_list out-interface=vlan1213 log=no log-prefix="" chain=srcnat action=same to-addresses=XX.XXX.XX7.8-XX.XXX.XX7.30 same-not-by-dst=yes src-address-list=crb_auth_list out-interface=vlan1003 log=no log-prefix="" Как будет просходить забивка Ip адресов в таком случае ? Edited September 28, 2020 by 7sergeynazarov7 Вставить ник Quote
Saab95 Posted September 28, 2020 Posted September 28, 2020 Наверное надо делать так, как обсуждается вот в этой теме - https://forum.nag.ru/index.php?/topic/109649-mikrotik-ccr-nat-best-practices/ Вставить ник Quote
7sergeynazarov7 Posted September 28, 2020 Author Posted September 28, 2020 (edited) 3 minutes ago, Saab95 said: Наверное надо делать так, как обсуждается вот в этой теме - https://forum.nag.ru/index.php?/topic/109649-mikrotik-ccr-nat-best-practices/ Спасибо за ответ, почему Same нельзя использовать ? Проблема возникала слишком большой таймаут соединений стоял для не очень большого пула, уменьшим таймаут вроде проблема ушла. Просто удобней вроде Same всего два правила. Просто как это будет работать ? Грубо говоря как указать 60 серых в 1 белый ? Edited September 28, 2020 by 7sergeynazarov7 Вставить ник Quote
Saab95 Posted September 28, 2020 Posted September 28, 2020 По ссылке просто делите абонентов так что бы на один белый приходилось не более 60 абонентов. Тот режим разделения по ссылке нужно дополнить первым правилом в манглах, который делает accept для всех established соединений, что бы по 10 раз не проверять одно и то же. Так можно снизить нагрузку на процессор. Вставить ник Quote
7sergeynazarov7 Posted September 28, 2020 Author Posted September 28, 2020 2 hours ago, Saab95 said: По ссылке просто делите абонентов так что бы на один белый приходилось не более 60 абонентов. Тот режим разделения по ссылке нужно дополнить первым правилом в манглах, который делает accept для всех established соединений, что бы по 10 раз не проверять одно и то же. Так можно снизить нагрузку на процессор. Спасибо за ответы уважаемый Sabb95, но чем этот вариант лучше Same ? Кроме более повышенной управляемости. Вставить ник Quote
Saab95 Posted September 29, 2020 Posted September 29, 2020 Не лучше и не хуже, просто он работает по другой технологии, позволяет управлять кто через какой канал идет. Каждый метод подходит для своей задачи. Вставить ник Quote
7sergeynazarov7 Posted September 29, 2020 Author Posted September 29, 2020 2 hours ago, Saab95 said: Не лучше и не хуже, просто он работает по другой технологии, позволяет управлять кто через какой канал идет. Каждый метод подходит для своей задачи. Спасибо, что отвечаети на вопросы. Если предположим, что есть пул xx.xxx.xx7.65-xx.xxx.xx.126 установлен same c галочкой no by Dst - которая запрещает менять IP в пределах одного абонента, что будет происходить если к примеру на 1 Ip займут все 65532 порта, перебросится ли абонент на другой IP которому не будет хватать портов ? Вставить ник Quote
Saab95 Posted September 29, 2020 Posted September 29, 2020 Нет никуда не перебросится. Тут можно привести аналогию, если same делает то же самое, что и маркировка в манглах - адрес листы - нат, и это требует создания кучи правил в манглах, кучи правил в нате, да еще и адрес листы (допустим по 1000 абонентов) тянуть, а тут какой-то same одним правилом решает все проблемы - явно есть какой-то подвох=) Вставить ник Quote
Jora_1 Posted September 29, 2020 Posted September 29, 2020 Жаль что для to-address в same нельзя назначить адрес-лист, приходится несколько правел делать, так как не у всех выделенные ip в одном диапазоне ( Вставить ник Quote
7sergeynazarov7 Posted September 30, 2020 Author Posted September 30, 2020 10 hours ago, Saab95 said: Нет никуда не перебросится. Тут можно привести аналогию, если same делает то же самое, что и маркировка в манглах - адрес листы - нат, и это требует создания кучи правил в манглах, кучи правил в нате, да еще и адрес листы (допустим по 1000 абонентов) тянуть, а тут какой-то same одним правилом решает все проблемы - явно есть какой-то подвох=) 1) Получается, что если забьются порты на одном IP-адресе, а в пуле будут свободные IP или не полностью заняты порты, то переброса не будет ? Получается, абонент(ы) не сможет(гут) создавать новые NAT сессии, значит интернет не будет работать ? Тогда интересно как осуществляется выборка Ip адресов из пула ? Вставить ник Quote
Saab95 Posted September 30, 2020 Posted September 30, 2020 Да, если количество портов для трансляций закончится, то у абонента будет эффект - зашел в браузер, ввел имя сайта и он не открывается, а после открылся. Или вылезет ошибка ngnix. Если вы сделаете через адрес листы, то сами сможете контролировать количество абонентов, которые в них находятся. Обычно там 100-150 человек, больше на один адрес лучше не вешать - будут капчи вылезать да и другие проблемы. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.