amper Posted November 5, 2022 Posted November 5, 2022 Как-то в лоб не гуглится ничего на эту тему в привязке к mikrotik. Какая реализация NAT по умолчанию? Настраивается ли это? Вставить ник Quote
jffulcrum Posted November 5, 2022 Posted November 5, 2022 Реализаций несколько, унаследованных с iptables. Настраивается комбинацией chain и action. Некоторых вещей нет, например настоящего CGNAT Вставить ник Quote
sirmax Posted November 5, 2022 Posted November 5, 2022 2 часа назад, jffulcrum сказал: Реализаций несколько, унаследованных с iptables. Настраивается комбинацией chain и action. Некоторых вещей нет, например настоящего CGNAT А можете пояснить зачем нужен cgnat пожалуйста. не могу уложить в голове эту концепцию :( Вставить ник Quote
jffulcrum Posted November 5, 2022 Posted November 5, 2022 В 05.11.2022 в 17:46, sirmax сказал: зачем нужен cgnat пожалуйста. Концепция очень простая - "белых" адресов мало, на каждое домовладение/офис не хватает. Потому применяется двойная трансляция. Те, кому нужны публикации - стригутся дополнительно за статический IP. Вставить ник Quote
sirmax Posted November 5, 2022 Posted November 5, 2022 Но чем это лучше обычного нат? И зачем двойная? классическая модель - кому надо дать реальные, при ip unnumbered нет проблем тариф с реальником дороже Вставить ник Quote
jffulcrum Posted November 5, 2022 Posted November 5, 2022 В 05.11.2022 в 19:01, sirmax сказал: Но чем это лучше обычного нат? И зачем двойная? Скажем так, году в 2000-м, когда в доме провод втыкался напрямую в компьютер, или был модем DSL/DOCSIS, работавший как простой мост по велению оператора, можно было не заморачиваться. Однако, с появлением WiFi встала в полный рост проблема роутеров на стороне абонента, которые у себя внутри могут раздавать приватные сети, конфликтующие с приватной сетью на стороне провайдера. Ну и тогда у оборудования мощей было маловато, и логика часто была захардкожена, и если у оборудования снаружи оказывался приватный адрес, его могло тупо клинить. Из этого и вышли путем обьявления нового зарезервированного адресного пространства, которое не пересекается с приватными адресами, и для старого железа выглядит нормальным внешним адресом. У Mikrotika нет сколь-либо гибкого управления трансляцией, необходимого для CGNAT, как это у "взрослых" сделано (Сиська и конкуренты), и нет специальной поддержки Netflow для CGNAT, чтобы нормально логировать/считать тарфик/полицейскую функцию делать. Также, нет автоматических кое-каких еще обязательных вещей, предусмотренных стандартом, и надо обпиливать напильником, вроде запрета форварда и адвертайза CGNAT диапазона, запретов на уровне DNS и т.п. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.