[belokuriha]

День добрый . Есть подключение к провайдеру , с небольшой кучкой белых адресов . Подключение идет через микротик в первый Eth порт , далее как обычно нат и клиенты на eth2 через оптический терминал BDCOM на 2 влан , один из клиентов захотел белый адрес , встал вопрос как ему отдать его не меняя схемы подключения.

Прилетел совет сделать это через proxy-arp , хорошо  делаю . Прописываю один из белый адресов на vlan2  (он же будет шлюзом для того клиента) , включаю на ETH1 proxy-arp , прописываю у клиента адрес из белой подсети , где в шлюз пишу адрес повешенный на vlan2. 

По итогам клиент не работает , пинга по его адресу нет , но есть пинг по адресу шлюза. После я перезагружаю микротик и теряю интернет на нем , а вот если удалить адрес что вешал как шлюз интернет возвращается .

 

отсюда вопрос , как же правильно мне настроить проброс белого адреса клиенту ?

[jffulcrum]

Красивого метода туn пожалуй нет. Из кривых методов есть еще мост с публичным интерфейсом и туннелем до абона EOIP или PPPOE по внутренней сети, но там будут проблемы с фрагментацией.

[belokuriha]

а какие методы вообще есть ?

[sheft]

я на микроте реализовал nat 1:1, адрес на железке у клиента серый, клиенту де факто пофигу, у него всё равно роутер обычно стоит и портмаппинг на нём до видеорегистратора или наса, или ещё чего

[belokuriha]

Как?

[sheft]

6 часов назад, belokuriha сказал:

с небольшой кучкой белых адресов . Подключение идет через микротик в первый Eth пор

а как у вас реализовано?

на микроте на первом eth какие адреса, кучка белых? нат в правилах ната на интерфейс настроен или определенный IP? клиенты как получают серые адреса? рандомно или статикой?

 

у меня серая статика, нат пул с пачкой адресов, в настройках ната можно или доп правилом указать, до общего ната клиентский нат,  или портмаппинг если клиент уже использует (натится) в статичный белый IP

 

давным давно просто пробрасывал роутингом адреса провайдера во внутреннюю сеть, но это геморрой и с управлением и статистикой и иутилизацией IP адресов, не понравилось

[jffulcrum]

1 час назад, belokuriha сказал:

Как?

How to link Public addresses to Local ones - MikroTik Wiki

[sheft]

3 часа назад, jffulcrum сказал:

How to link Public addresses to Local ones - MikroTik Wiki

да, у меня почти так, за исключения что сурснат не адрес-в-адрес, а сеть в сеть (нетмап), точнее несколько серых сетей в 1 белую

а, для тех кому нужен белый IP добавочные правила dst-nat включаются, уже с конкретными IP

[belokuriha]

Цитата

а как у вас реализовано?

на микроте на первом eth какие адреса, кучка белых? нат в правилах ната на интерфейс настроен или определенный IP? клиенты как получают серые адреса? рандомно или статикой?

Да на первый eth приходит сеть провайдера  /24 , из нее нам предоставлено 12 адресов . Один адрес прописан в микротик , настроен нат на этот интерфейс ,остальные пока не используются . Все клиенты потом подключаются по серой сетки статикой , DHCP не используется .

 

Вот так еще пробовал 

Цитата

add action=netmap chain=srcnat comment="SRC NAT FOR WHITE IP" \
    src-address=серый адрес src-address-list=Users to-addresses=\
    белый адрес
add action=dst-nat chain=dstnat comment="DST NAT FOR WHITE IP" \
    dst-address=белый адрес dst-address-list=Users to-addresses=\
    серый адрес

не работает , у клиента так и остается тот адрес что прописан на микротике .

[weedman]

17 часов назад, belokuriha сказал:

Да на первый eth приходит сеть провайдера  /24 , из нее нам предоставлено 12 адресов . Один адрес прописан в микротик , настроен нат на этот интерфейс ,остальные пока не используются . Все клиенты потом подключаются по серой сетки статикой , DHCP не используется .

 

Вот так еще пробовал 

не работает , у клиента так и остается тот адрес что прописан на микротике .

Если я не ошибаюсь, так и должно быть. просто он натится через нужный белый адрес, все запросы на его серый идут

 

[belokuriha]

Цитата

Если я не ошибаюсь, так и должно быть. просто он натится через нужный белый адрес, все запросы на его серый идут

Так в этом то и проблема что в 2ip и спидтест у него светит адрес общий .

[jffulcrum]

Конфиг выложите. Предположу, что добавленное правило NAT не выше в списке основного правила src-nat, а значит трафик до него не доходит.

[belokuriha]

Цитата

добавленное правило NAT не выше в списке основного правила src-nat, а значит трафик до него не доходит

т.е это правило должно быть выше маскарада ?

[jffulcrum]

Да, выше основного (для всех прочих)