Jump to content
Калькуляторы

Внешние адреса

Reply to this topic

haverlinkfor   

haverlinkfor
Posted

Сегодня наш вышестоящий провайдер смаршрутизировал сетку белых адресов с префиксом /27 на наш внешний адрес. В роутере (микротик) удается использовать эти выделенные адреса только с префикосом /24. Указав /24, все адреса с 225 по 254 работают корректно, но тогда вся сетка становится внутренней и невозможно достучаться до некторых ресурсов которые не в нашей сети. В чем может быть проблема?

Share this post

Link to post
Share on other sites

smile_2008   

smile_2008
Posted

Вы напишите сюда вывод

ip address print

ip route print

всеж маловероятно, что вышестоящий оператор косячит, на то он и вышестоящий

Share this post

Link to post
Share on other sites

haverlinkfor   

haverlinkfor
Posted

# ADDRESS NETWORK INTERFACE

0 192.168.1.1/24 192.168.1.0 ether2

1 192.168.0.1/24 192.168.0.0 ether2

2 192.168.2.1/24 192.168.2.0 ether2

3 192.168.3.1/24 192.168.3.0 ether2

4 192.168.77.1/24 192.168.77.0 ether2

5 192.168.78.1/24 192.168.78.0 ether2

6 82.151.100.134/30 82.151.100.132 ether1

7 192.168.5.1/24 192.168.5.0 ether2

8 D 10.0.0.1/32 10.0.0.2 <pppoe-linkfor_220781>

9 D 10.0.0.1/32 10.0.0.7 <pppoe-linkfor_220786>

10 D 10.0.0.1/32 10.0.0.11 <pppoe-linkfor_112001>

11 82.151.111.224/27 82.151.111.224 ether2

12 D 10.0.0.1/32 10.0.0.8 <pppoe-linkfor_220787>

Вот маршруты

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S 0.0.0.0/0 82.151.100.133 1

1 ADC 10.0.0.2/32 10.0.0.1 <pppoe-linkfor_... 0

2 ADC 10.0.0.7/32 10.0.0.1 <pppoe-linkfor_... 0

3 ADC 10.0.0.8/32 10.0.0.1 <pppoe-linkfor_... 0

4 ADC 10.0.0.11/32 10.0.0.1 <pppoe-linkfor_... 0

5 ADC 82.151.100.132/30 82.151.100.134 ether1 0

6 ADC 82.151.111.224/27 82.151.111.224 ether2 0

7 ADC 192.168.0.0/24 192.168.0.1 ether2 0

8 ADC 192.168.1.0/24 192.168.1.1 ether2 0

9 ADC 192.168.2.0/24 192.168.2.1 ether2 0

10 ADC 192.168.3.0/24 192.168.3.1 ether2 0

11 ADC 192.168.5.0/24 192.168.5.1 ether2 0

12 ADC 192.168.77.0/24 192.168.77.1 ether2 0

13 ADC 192.168.78.0/24 192.168.78.1 ether2 0

С такой схемой не работает. В Addresses изменяю префикс на 24 у внешних - все ок. Только вот всю сетку мне не надо

Share this post

Link to post
Share on other sites

haverlinkfor   

haverlinkfor
Posted

Выделили адреса 82.151.111.224/27 (82.151.111.225-82.151.111.254) Я указал это в addresses на локальный интерфейс в кучу к внутренним адресам, в правиле NAT указал !82.151.111.224/27 По такой схеме - не работает. Меняю префикс с 27 на 24, все отлично работает, но некоторые адреса не из моей сети, типа 82.151.111.187 - сервер налоговой , становятся моей внутренней сеткой, и достучаться до них естественно не могу.

Share this post

Link to post
Share on other sites

kosmich7   

kosmich7
Posted

бродкаст какой ?

так ?

 

Address: 82.151.111.224

Netmask: 255.255.255.224 = 27

Wildcard: 0.0.0.31

=>

Network: 82.151.111.224/27

HostMin: 82.151.111.225

HostMax: 82.151.111.254

Broadcast: 82.151.111.255

Hosts/Net: 30

Share this post

Link to post
Share on other sites

quarter   

quarter
Posted

непонятно что конкретно не работает. роутинг? нат? всё вместе?

на какой адрес апстрим валит вам входящие? на 82.151.100.134?

после установки маски /27 на локалку пинги с микротика идут и к апстриму и к локалке?

на машинах в локалке default указан из этой /27?

 

в правиле NAT указал !82.151.111.224/27

чего надо было добиться при помощи ната?

Share this post

Link to post
Share on other sites

martini   

martini
Posted

В посте с выводом с роутера все правильно, проверьте при такой конфигурации пинг на ИП провайдера с вашего нового ИП прямо с роутера. тоесть чтоб соурс был 82.151.111.224 , если пинг идет - ищите проблему у себя на роутере )

Share this post

Link to post
Share on other sites

haverlinkfor   

haverlinkfor
Posted

Может не совсем понятно обьяснил ситуацию, объясню еще раз. 82.151.100.134 внешний адрес, на котором у нас роутер. 2 интерфейса, на первом NAT так как все пользователи имеют внутренние адреса. Сначала пользователи были в сети 192.168.2.1/24, когда адреса закончились, в adresses добавляли еще одну подсеть 192.168.3.1/24 и т.д. Все работало - нас устраивало. Сейчас появилась необходимость выделить некоторым пользователям внешние адреса. Для этого, попросив вышестоящего провайдера, нам была смаршрутизирована сеть 82.151.111.224/27 на адрес 82.151.100.134 . Администратор вышестоящего провайдера напсиал мне следующее: Эта сетка у вас внутри. Если даете клиенту один из адресов, то шлюз из этой сетки должен быть гдето у вас в роутере. Или внутри (типа виртуальный интерфейс) или на одном из сетевых интерфейсов. И стоять маршрут по умолчанию на 82.151.100.133 - наш адрес в транспортной сети.. Я добавил в микротик в adresses подсеть, 82.151.111.224/27 - но ничего не заработало.(естественно пере этим в правиле NAT исключил выделенную нам подсеть) Решил провести эксперимент, убрал префикс 27 на 24 и все заработало на УРА, протестировал практически все выделенные адреса с 225 по 254. Но один из клиентов пожаловался, что у него перестал работать сервер 82.151.111.187, который закреплен за налоговой. Вот теперь стоит задача заставить работать именно через выделенный диапазон, а почему не работает - не хватает простейших знаний.

Share this post

Link to post
Share on other sites

quarter   

quarter
Posted

на ether2 вешаете как положено 82.151.111.224/27, плюс свои серые подсети.

в качестве default gw в локалке для тех, кому надо дать белый IP - указываете 82.151.111.224.

тем пользователям, кто в 192.168.0.0/16 и кому nat надо - указываете как обычно. 82.151.111.224/27 сюда замешивать не надо.

вроде как-то так...

Share this post

Link to post
Share on other sites

haverlinkfor   

haverlinkfor
Posted (edited)

На ether2 я сразу повесил 82.151.111.224/27 , а серые там и висели. Шлюз по умолчанию у машин выбирал как вы и советуете 82.151.111.224. Кто в 192.168.0.0/16 - все стоит как обычно.

Вот NAT

chain=dstnat action=dst-nat to-addresses=192.168.0.51 to-ports=21-80

protocol=tcp dst-address=82.151.100.134 dst-port=21-80

 

1 chain=srcnat action=masquerade to-addresses=82.151.100.134

src-address=!82.151.111.224/27 out-interface=ether1

 

2 chain=srcnat action=src-nat to-addresses=82.151.100.134 to-ports=21-80

protocol=tcp dst-address=192.168.0.51 dst-port=21-80

 

3 chain=dstnat action=redirect to-ports=8080 protocol=tcp

dst-address=!192.168.0.51 src-address-list=blocked_users dst-port=80

Edited by haverlinkfor

Share this post

Link to post
Share on other sites

smile_2008   

smile_2008
Posted

haverlinkfor

попробуйте на ether2 повесить 82.151.111.225/27 (всю сеть /27 уберите), сделайте всем правилам firewall в цепочке forwarding disable и добейтесь, чтобы .225/27 пинговался, например, с ping.eu. А версия микротика адекватная?

Share this post

Link to post
Share on other sites

haverlinkfor   

haverlinkfor
Posted

во вкладку adresses прописал 82.151.111.254/27 , на компах, кому нужен белый ИП шлюз 82.151.111.254, все стало на свои места.

Share this post

Link to post
Share on other sites

smile_2008   

smile_2008
Posted

haverlinkfor

ну да, только я говорил про

"попробуйте на ether2 повесить 82.151.111.225/27 (всю сеть /27 уберите", ну первый адрес в сети логичнее шлюзом делать))))

Share this post

Link to post
Share on other sites

haverlinkfor   

haverlinkfor
Posted

Смайл спасибо за помощь, до меня дошло и буквально через несколько минут увидел ваше сообщение, делал 225 шлюзом, ну чет остановился на последнем, так как ПУЛ в биллинге уже был забит.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...