amper Posted November 5, 2022 · Report post Как-то в лоб не гуглится ничего на эту тему в привязке к mikrotik. Какая реализация NAT по умолчанию? Настраивается ли это? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted November 5, 2022 · Report post Реализаций несколько, унаследованных с iptables. Настраивается комбинацией chain и action. Некоторых вещей нет, например настоящего CGNAT Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted November 5, 2022 · Report post 2 часа назад, jffulcrum сказал: Реализаций несколько, унаследованных с iptables. Настраивается комбинацией chain и action. Некоторых вещей нет, например настоящего CGNAT А можете пояснить зачем нужен cgnat пожалуйста. не могу уложить в голове эту концепцию :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted November 5, 2022 · Report post В 05.11.2022 в 17:46, sirmax сказал: зачем нужен cgnat пожалуйста. Концепция очень простая - "белых" адресов мало, на каждое домовладение/офис не хватает. Потому применяется двойная трансляция. Те, кому нужны публикации - стригутся дополнительно за статический IP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted November 5, 2022 · Report post Но чем это лучше обычного нат? И зачем двойная? классическая модель - кому надо дать реальные, при ip unnumbered нет проблем тариф с реальником дороже Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted November 5, 2022 · Report post В 05.11.2022 в 19:01, sirmax сказал: Но чем это лучше обычного нат? И зачем двойная? Скажем так, году в 2000-м, когда в доме провод втыкался напрямую в компьютер, или был модем DSL/DOCSIS, работавший как простой мост по велению оператора, можно было не заморачиваться. Однако, с появлением WiFi встала в полный рост проблема роутеров на стороне абонента, которые у себя внутри могут раздавать приватные сети, конфликтующие с приватной сетью на стороне провайдера. Ну и тогда у оборудования мощей было маловато, и логика часто была захардкожена, и если у оборудования снаружи оказывался приватный адрес, его могло тупо клинить. Из этого и вышли путем обьявления нового зарезервированного адресного пространства, которое не пересекается с приватными адресами, и для старого железа выглядит нормальным внешним адресом. У Mikrotika нет сколь-либо гибкого управления трансляцией, необходимого для CGNAT, как это у "взрослых" сделано (Сиська и конкуренты), и нет специальной поддержки Netflow для CGNAT, чтобы нормально логировать/считать тарфик/полицейскую функцию делать. Также, нет автоматических кое-каких еще обязательных вещей, предусмотренных стандартом, и надо обпиливать напильником, вроде запрета форварда и адвертайза CGNAT диапазона, запретов на уровне DNS и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...