Jump to content
Калькуляторы

Настройка NAT: Symmetric, Full Cone, Address/Port Restricted

Как-то в лоб не гуглится ничего на эту тему в привязке к mikrotik.

Какая реализация NAT по умолчанию? Настраивается ли это?

Share this post


Link to post
Share on other sites

Реализаций несколько, унаследованных с iptables. Настраивается комбинацией chain и action. Некоторых вещей нет, например настоящего CGNAT

Share this post


Link to post
Share on other sites

2 часа назад, jffulcrum сказал:

Реализаций несколько, унаследованных с iptables. Настраивается комбинацией chain и action. Некоторых вещей нет, например настоящего CGNAT

А можете пояснить зачем нужен cgnat пожалуйста.

 

не могу уложить в голове эту концепцию  :(

Share this post


Link to post
Share on other sites

В 05.11.2022 в 17:46, sirmax сказал:

зачем нужен cgnat пожалуйста.

Концепция очень простая - "белых" адресов мало, на каждое домовладение/офис не хватает. Потому применяется двойная трансляция. Те, кому нужны публикации - стригутся дополнительно за статический IP.

Share this post


Link to post
Share on other sites

Но чем это лучше обычного нат? И зачем двойная?

 

 

классическая модель - кому надо дать реальные, при ip unnumbered нет проблем

 

тариф с реальником дороже

 

 

 

Share this post


Link to post
Share on other sites

В 05.11.2022 в 19:01, sirmax сказал:

Но чем это лучше обычного нат? И зачем двойная?

Скажем так, году в 2000-м, когда в доме провод втыкался напрямую в компьютер, или был модем DSL/DOCSIS, работавший как простой мост по велению оператора, можно было не заморачиваться. Однако, с появлением WiFi встала в полный рост проблема роутеров на стороне абонента, которые у себя внутри могут раздавать приватные сети, конфликтующие с приватной сетью на стороне провайдера. Ну и тогда у оборудования мощей было маловато, и логика часто была захардкожена, и если у оборудования снаружи оказывался приватный адрес, его могло тупо клинить. Из этого и вышли путем обьявления нового зарезервированного адресного пространства, которое не пересекается с приватными адресами, и для старого железа выглядит нормальным внешним адресом. 

 

У Mikrotika нет сколь-либо гибкого управления трансляцией, необходимого для CGNAT, как это у "взрослых" сделано (Сиська и конкуренты), и нет специальной поддержки Netflow для CGNAT, чтобы нормально логировать/считать тарфик/полицейскую функцию делать. Также, нет автоматических кое-каких еще обязательных вещей, предусмотренных стандартом, и надо обпиливать напильником, вроде запрета форварда и адвертайза CGNAT диапазона, запретов на уровне DNS и т.п. 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.