[kostas]

Коллеги, подскажите плиз, кто использует Mikrotik, каким образом сделать NAT на группу адресов. Маскарадинг прячет LAN за одним IP. Как включить НАТ на диаппазон адресов, который бы динамически перебирался? На cisco такое можно. На Mikrotik как это делается, подскажите пожалуйста.

Спасибо.

[a-tc]

... который бы динамически перебирался? ...

Поясните тут.

Если диапазон в диапазон, то src-address=192.168.0.0/24 + action=src-nat + to-addresses=192.168.1.0/24, и на выходе получим нат из срц-адрес в то-адрес. А если еще и обратное надо, то добавляем еще и dst-nat (дст-адрес 192.168.1.0/24, актион=дст-нат, то-адрес=192.168.0.0/24).

Можно еще красить трафик через nth и отправлять в разные наты на разные адреса...

Вообще, где-то на форуме у них читал, что если адреса исходные и адреса конечные имеют соотношение 4:1, то 4 исх. адреса будут трансл. в 1 конечный...

Edited July 19, 2009 by a-tc

[kostas]

Нужно примерно следующее:

 

192.168.0.0/16 -> NAT -> 1.1.1.1/28

 

Тобишь, спрятать LAN не за одним честным IP как в случаем с маскарадингом, а за небольшой чесной сеткой. Ибо народ хочет с рапиды например качать, а маскарадинг доставляет кучу неудобств :(

[disappointed]

так нарежьте /16 на блоки по /20 и натье каждый на свой ip из /28

[a-tc]

так нарежьте /16 на блоки по /20 и натье каждый на свой ip из /28

Статика - некрасиво... Красиво - покрасить трафик =).

А вообще - пишите в to-address подсеть белых адресов. Не выйдет - красить соединения и через nth их в нат кидать. Не выйдет красить - тогда уже резать блоками...

П.С. не могу уже отыскать топик на форуме про адреса..

[shoorickello]

Используйте action=same.

[kostas]

Используйте action=same.

А можно пример? В доке не нашел ничего, кроме пары строк из которых похоже что на то, что надо, но как применить не понял.

 

так нарежьте /16 на блоки по /20 и натье каждый на свой ip из /28

Статика - некрасиво... Красиво - покрасить трафик =).

А вообще - пишите в to-address подсеть белых адресов. Не выйдет - красить соединения и через nth их в нат кидать. Не выйдет красить - тогда уже резать блоками...

П.С. не могу уже отыскать топик на форуме про адреса..

Угумс, так уже думал. Не получится по другому, буду натить по кускам (резать или красить), как получится. А вот с прописью диаппазона адресов в to-address что-то не получилось. В документации вроде упоминаетсяч что можно диаппазоны указывать, но не работает srcnat с диаппазоном :(

[kostas]

Так кто нибудь применял action=same ?

[a-tc]

Так кто нибудь применял action=same ?

http://forum.mikrotik.com/viewtopic.php?f=2&t=28955

[sergiyko]

что-то вроде этого 

add chain=srcnat action=same to-addresses=192.168.0.0/16 same-not-by-dst=yes src-address=1.1.1.1/28 dst-address-list=!LAN 

[TeCHNoiD]

А не должно быть наоборот 

add chain=srcnat action=same to-addresses=1.1.1.1/28 same-not-by-dst=yes src-address=192.168.0.0/16 dst-address-list=!LAN

[swsn]

В 22.07.2009 в 13:04, kostas сказал:

Так кто нибудь применял action=same ?

я применяю

chain=srcnat action=same to-addresses=xxx.xxx.xxx.2-xxx.xxx.xxx.254 same-not-by-dst=yes src-address=172.16.0.0/16 dst-address=!192.168.0.0/16 out-interface=sfp-sfpplus1 log=no log-prefix="" 

[torm84]

Может я не правильно понял, но помоему надо настроить балансировщик нагрузки. У меня работает так.