haverlinkfor Posted October 31, 2012 Posted October 31, 2012 Сегодня наш вышестоящий провайдер смаршрутизировал сетку белых адресов с префиксом /27 на наш внешний адрес. В роутере (микротик) удается использовать эти выделенные адреса только с префикосом /24. Указав /24, все адреса с 225 по 254 работают корректно, но тогда вся сетка становится внутренней и невозможно достучаться до некторых ресурсов которые не в нашей сети. В чем может быть проблема? Вставить ник Quote
smile_2008 Posted October 31, 2012 Posted October 31, 2012 Вы напишите сюда вывод ip address print ip route print всеж маловероятно, что вышестоящий оператор косячит, на то он и вышестоящий Вставить ник Quote
haverlinkfor Posted October 31, 2012 Author Posted October 31, 2012 # ADDRESS NETWORK INTERFACE 0 192.168.1.1/24 192.168.1.0 ether2 1 192.168.0.1/24 192.168.0.0 ether2 2 192.168.2.1/24 192.168.2.0 ether2 3 192.168.3.1/24 192.168.3.0 ether2 4 192.168.77.1/24 192.168.77.0 ether2 5 192.168.78.1/24 192.168.78.0 ether2 6 82.151.100.134/30 82.151.100.132 ether1 7 192.168.5.1/24 192.168.5.0 ether2 8 D 10.0.0.1/32 10.0.0.2 <pppoe-linkfor_220781> 9 D 10.0.0.1/32 10.0.0.7 <pppoe-linkfor_220786> 10 D 10.0.0.1/32 10.0.0.11 <pppoe-linkfor_112001> 11 82.151.111.224/27 82.151.111.224 ether2 12 D 10.0.0.1/32 10.0.0.8 <pppoe-linkfor_220787> Вот маршруты # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 82.151.100.133 1 1 ADC 10.0.0.2/32 10.0.0.1 <pppoe-linkfor_... 0 2 ADC 10.0.0.7/32 10.0.0.1 <pppoe-linkfor_... 0 3 ADC 10.0.0.8/32 10.0.0.1 <pppoe-linkfor_... 0 4 ADC 10.0.0.11/32 10.0.0.1 <pppoe-linkfor_... 0 5 ADC 82.151.100.132/30 82.151.100.134 ether1 0 6 ADC 82.151.111.224/27 82.151.111.224 ether2 0 7 ADC 192.168.0.0/24 192.168.0.1 ether2 0 8 ADC 192.168.1.0/24 192.168.1.1 ether2 0 9 ADC 192.168.2.0/24 192.168.2.1 ether2 0 10 ADC 192.168.3.0/24 192.168.3.1 ether2 0 11 ADC 192.168.5.0/24 192.168.5.1 ether2 0 12 ADC 192.168.77.0/24 192.168.77.1 ether2 0 13 ADC 192.168.78.0/24 192.168.78.1 ether2 0 С такой схемой не работает. В Addresses изменяю префикс на 24 у внешних - все ок. Только вот всю сетку мне не надо Вставить ник Quote
martin74 Posted October 31, 2012 Posted October 31, 2012 а вы именно адрес сети на интерфейс повесили? это в микротике точно работает? Вставить ник Quote
haverlinkfor Posted October 31, 2012 Author Posted October 31, 2012 Выделили адреса 82.151.111.224/27 (82.151.111.225-82.151.111.254) Я указал это в addresses на локальный интерфейс в кучу к внутренним адресам, в правиле NAT указал !82.151.111.224/27 По такой схеме - не работает. Меняю префикс с 27 на 24, все отлично работает, но некоторые адреса не из моей сети, типа 82.151.111.187 - сервер налоговой , становятся моей внутренней сеткой, и достучаться до них естественно не могу. Вставить ник Quote
kosmich7 Posted October 31, 2012 Posted October 31, 2012 бродкаст какой ? так ? Address: 82.151.111.224 Netmask: 255.255.255.224 = 27 Wildcard: 0.0.0.31 => Network: 82.151.111.224/27 HostMin: 82.151.111.225 HostMax: 82.151.111.254 Broadcast: 82.151.111.255 Hosts/Net: 30 Вставить ник Quote
kosmich7 Posted October 31, 2012 Posted October 31, 2012 Покажите это верно в картинках. После этого можно думать а может вышестоящий ;) Вставить ник Quote
quarter Posted October 31, 2012 Posted October 31, 2012 непонятно что конкретно не работает. роутинг? нат? всё вместе? на какой адрес апстрим валит вам входящие? на 82.151.100.134? после установки маски /27 на локалку пинги с микротика идут и к апстриму и к локалке? на машинах в локалке default указан из этой /27? в правиле NAT указал !82.151.111.224/27 чего надо было добиться при помощи ната? Вставить ник Quote
martini Posted October 31, 2012 Posted October 31, 2012 В посте с выводом с роутера все правильно, проверьте при такой конфигурации пинг на ИП провайдера с вашего нового ИП прямо с роутера. тоесть чтоб соурс был 82.151.111.224 , если пинг идет - ищите проблему у себя на роутере ) Вставить ник Quote
haverlinkfor Posted October 31, 2012 Author Posted October 31, 2012 C роутера на 82.151.100.134 от 82.151.111.224 пинг идет, вот ищу проблему, пока не могу найти Вставить ник Quote
haverlinkfor Posted October 31, 2012 Author Posted October 31, 2012 Может не совсем понятно обьяснил ситуацию, объясню еще раз. 82.151.100.134 внешний адрес, на котором у нас роутер. 2 интерфейса, на первом NAT так как все пользователи имеют внутренние адреса. Сначала пользователи были в сети 192.168.2.1/24, когда адреса закончились, в adresses добавляли еще одну подсеть 192.168.3.1/24 и т.д. Все работало - нас устраивало. Сейчас появилась необходимость выделить некоторым пользователям внешние адреса. Для этого, попросив вышестоящего провайдера, нам была смаршрутизирована сеть 82.151.111.224/27 на адрес 82.151.100.134 . Администратор вышестоящего провайдера напсиал мне следующее: Эта сетка у вас внутри. Если даете клиенту один из адресов, то шлюз из этой сетки должен быть гдето у вас в роутере. Или внутри (типа виртуальный интерфейс) или на одном из сетевых интерфейсов. И стоять маршрут по умолчанию на 82.151.100.133 - наш адрес в транспортной сети.. Я добавил в микротик в adresses подсеть, 82.151.111.224/27 - но ничего не заработало.(естественно пере этим в правиле NAT исключил выделенную нам подсеть) Решил провести эксперимент, убрал префикс 27 на 24 и все заработало на УРА, протестировал практически все выделенные адреса с 225 по 254. Но один из клиентов пожаловался, что у него перестал работать сервер 82.151.111.187, который закреплен за налоговой. Вот теперь стоит задача заставить работать именно через выделенный диапазон, а почему не работает - не хватает простейших знаний. Вставить ник Quote
kosmich7 Posted October 31, 2012 Posted October 31, 2012 Так сколько раз вам есче сказать ? NAT покажите Вставить ник Quote
quarter Posted October 31, 2012 Posted October 31, 2012 на ether2 вешаете как положено 82.151.111.224/27, плюс свои серые подсети. в качестве default gw в локалке для тех, кому надо дать белый IP - указываете 82.151.111.224. тем пользователям, кто в 192.168.0.0/16 и кому nat надо - указываете как обычно. 82.151.111.224/27 сюда замешивать не надо. вроде как-то так... Вставить ник Quote
haverlinkfor Posted October 31, 2012 Author Posted October 31, 2012 (edited) На ether2 я сразу повесил 82.151.111.224/27 , а серые там и висели. Шлюз по умолчанию у машин выбирал как вы и советуете 82.151.111.224. Кто в 192.168.0.0/16 - все стоит как обычно. Вот NAT chain=dstnat action=dst-nat to-addresses=192.168.0.51 to-ports=21-80 protocol=tcp dst-address=82.151.100.134 dst-port=21-80 1 chain=srcnat action=masquerade to-addresses=82.151.100.134 src-address=!82.151.111.224/27 out-interface=ether1 2 chain=srcnat action=src-nat to-addresses=82.151.100.134 to-ports=21-80 protocol=tcp dst-address=192.168.0.51 dst-port=21-80 3 chain=dstnat action=redirect to-ports=8080 protocol=tcp dst-address=!192.168.0.51 src-address-list=blocked_users dst-port=80 Edited October 31, 2012 by haverlinkfor Вставить ник Quote
smile_2008 Posted October 31, 2012 Posted October 31, 2012 haverlinkfor попробуйте на ether2 повесить 82.151.111.225/27 (всю сеть /27 уберите), сделайте всем правилам firewall в цепочке forwarding disable и добейтесь, чтобы .225/27 пинговался, например, с ping.eu. А версия микротика адекватная? Вставить ник Quote
Sonneandsky Posted November 1, 2012 Posted November 1, 2012 Вопрос решен. если не трудно объясните как. Вставить ник Quote
haverlinkfor Posted November 1, 2012 Author Posted November 1, 2012 во вкладку adresses прописал 82.151.111.254/27 , на компах, кому нужен белый ИП шлюз 82.151.111.254, все стало на свои места. Вставить ник Quote
smile_2008 Posted November 1, 2012 Posted November 1, 2012 haverlinkfor ну да, только я говорил про "попробуйте на ether2 повесить 82.151.111.225/27 (всю сеть /27 уберите", ну первый адрес в сети логичнее шлюзом делать)))) Вставить ник Quote
haverlinkfor Posted November 1, 2012 Author Posted November 1, 2012 Смайл спасибо за помощь, до меня дошло и буквально через несколько минут увидел ваше сообщение, делал 225 шлюзом, ну чет остановился на последнем, так как ПУЛ в биллинге уже был забит. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.