5exi Опубликовано 16 октября, 2013 · Жалоба Есть mikrotik c os6. Есть клиент которому нужны белые ip адреса. Для этого я объединил 1 порт провайдера с 3-м портом клиента в Bridge. Клиент смог прописать у себя свои белые ip и выйти в интернет. Я же со своей стороны прописал на mikrotik свои белые адреса на 1 порту. И хожу в инет через NAT со 2-го порта. Проблема возникла когда он попытался написать мне. Мой почтовый сервер не отвечает по telnet на 25 порт с его стороны. При это я могу отправить письма клиенту и любому в сети интернет. И письма ко мне тоже ходят из интернета. Когда начал смотреть снифером на mikrotik что происходит, то увидел, что mikrotik маршрутизирует пакеты с его внешних ip ко мне во внутренную сеть, хотя я предполагал NAT. И такое только с этим несчастным клиентом который сидит со мной на одном mikrotik. Внешние подсети разные. Что необходимо изменить в конфигурации, чтобы это всё заработало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
5exi Опубликовано 16 октября, 2013 · Жалоба Ещё по статистике бегающих пакетов вижу, что когда ко мне приходит почта. В Reply src. address указывается мой внутренний ip адрес почтового сервера. Это нормально? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ermak_ Опубликовано 16 октября, 2013 · Жалоба Для этого я объединил 1 порт провайдера с 3-м портом клиента в Bridge. Я же со своей стороны прописал на mikrotik свои белые адреса на 1 порту. И хожу в инет через NAT со 2-го порта. Хм, свои белые пиши не на первый порт, а на тот самый бридж первого с третим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
5exi Опубликовано 17 октября, 2013 · Жалоба Поставил, ситуацию не разрешило. Если вместо mikrotik ставить обынчый свитч, то всё прекрасно работает. Как сэмулировать на mikrotik работу этого механизма? Видимо mikrotik маршрутизирует трафик там где это не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ermak_ Опубликовано 17 октября, 2013 (изменено) · Жалоба Поставил, ситуацию не разрешило. Если вместо mikrotik ставить обынчый свитч, то всё прекрасно работает. Как сэмулировать на mikrotik работу этого механизма? Видимо mikrotik маршрутизирует трафик там где это не надо. Мда, похоже на гадание по кофейной гуще. Чего с АРП в этом бридже? Чего у Вас в роутах? В других местах везде интерфейс указан не порт 1 а этот самый бридж? Судя по описанию гдето заворачиваете трафик не туда, на стенде с микротом я такую конфу как у Вас делал, все прекрасно работает. Так как Вы это решили вообще самый простой путь, я бы по другому решал эту же задачу,c роутами и ***ми и без бриджей :) Изменено 17 октября, 2013 пользователем Ermak_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
5exi Опубликовано 17 октября, 2013 (изменено) · Жалоба Вот часть конфигурации. /interface bridge add l2mtu=1598 mtu=1514 name=ntc /interface ethernet set 0 mtu=1514 name=ether1-provider set 1 name=ether2-local speed=1Gbps set 2 mtu=1514 name=ether3-NTC1 speed=10Mbps /interface bridge port add bridge=ntc interface=ether1-provider add bridge=ntc interface=ether3-NTC1 /interface bridge settings set use-ip-firewall=yes /ip address add address=xxx.xxx.87.130/29 interface=ntc network=xxx.xxx.87.128 add address=10.0.4.254/23 interface=ether2-local network=10.0.4.0 add address=xxx.xxx.87.131/29 interface=ether1-provider network=xxx.xxx.87.128 add address=xxx.xxx.87.132/29 interface=ether1-provider network=xxx.xxx.87.128 add address=xxx.xxx.87.133/29 interface=ether1-provider network=xxx.xxx.87.128 add address=xxx.xxx.87.134/29 interface=ether1-provider network=xxx.xxx.87.128 /ip firewall filter add chain=forward src-address=10.0.4.253 /ip firewall nat add action=dst-nat chain=dstnat dst-address=xxx.xxx.87.130 dst-port=25 \ protocol=tcp to-addresses=10.0.4.253 to-ports=25 add action=src-nat chain=srcnat dst-address=0.0.0.0/0 out-interface=ntc \ src-address=10.0.4.253 to-addresses=xxx.xxx.87.130 /ip route add distance=10 gateway=xxx.xxx.87.129 Также в роутах висит то, что во вложенном файле. В ARP таблице только адреса из внутренней сети и на bridge висит mac шлюза провайдера. А как бы Вы решили эту задачу, с выдачей белых адресов соседу? Подскажите как правильней. Изменено 17 октября, 2013 пользователем 5exi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 октября, 2013 · Жалоба Попросить оператора, что бы он смаршрутизировал на адрес вашего устройства сеть с определенным количеством адресов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
5exi Опубликовано 17 октября, 2013 · Жалоба Это как? Попросить оператора прописать что сеть соседа находится за моим внешним адресом. Не понимаю как это мне поможет. Если только не присвоить адрес шлюза их подсети себе. Правильно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ermak_ Опубликовано 17 октября, 2013 (изменено) · Жалоба Спрашивал же, везде ли указан бридж :( /ip address add address=xxx.xxx.87.130/29 interface=ntc network=xxx.xxx.87.128 add address=10.0.4.254/23 interface=ether2-local network=10.0.4.0 add address=xxx.xxx.87.131/29 interface=ether1-provider network=xxx.xxx.87.128 add address=xxx.xxx.87.132/29 interface=ether1-provider network=xxx.xxx.87.128 add address=xxx.xxx.87.133/29 interface=ether1-provider network=xxx.xxx.87.128 add address=xxx.xxx.87.134/29 interface=ether1-provider network=xxx.xxx.87.128 Если Вы порт ввели в бридж, все, алес, нет у вас больше порта, забудте о нем, нигде нельзя его указывать. А пробрасываемый адресс какой? Шлюз xxx.xxx.87.129/29 Всего адресов я так понимаю 130-134 так они у Вас все здесь, в адресах прописаны. Или у соседа вообще другой блок? Изменено 17 октября, 2013 пользователем Ermak_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
5exi2 Опубликовано 17 октября, 2013 · Жалоба Закончился лимит на сообщения в день, новый ник завёл. Извините за интерфейс. Всё переделал на bridge. Но не пошло. Подсети с соседом разные, не пересекаются. Пробрасываю 25 порт 130 адреса add action=dst-nat chain=dstnat dst-address=xxx.xxx.87.130 dst-port=25 \ protocol=tcp to-addresses=10.0.4.253 to-ports=25 add action=src-nat chain=srcnat dst-address=0.0.0.0/0 out-interface=ntc \ src-address=10.0.4.253 to-addresses=xxx.xxx.87.130 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ermak_ Опубликовано 17 октября, 2013 · Жалоба Закончился лимит на сообщения в день, новый ник завёл. Извините за интерфейс. Всё переделал на bridge. Но не пошло. Подсети с соседом разные, не пересекаются. Пробрасываю 25 порт 130 адреса add action=dst-nat chain=dstnat dst-address=xxx.xxx.87.130 dst-port=25 \ protocol=tcp to-addresses=10.0.4.253 to-ports=25 add action=src-nat chain=srcnat dst-address=0.0.0.0/0 out-interface=ntc \ src-address=10.0.4.253 to-addresses=xxx.xxx.87.130 Если оно с внешним миром работает, то все пучком. Роут только 1? Перезагрузите микрот на всякий случай, и/или нат на маскарад поменяйте временно. Странно, если верить тому конфигу который здесь то все должно работать, какбудто вы тупой свич между провайдером собой и соседом воткнули, но вы говорите что со свичем все работает :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ermak_ Опубликовано 17 октября, 2013 · Жалоба Давайте еще раз, выведете себе экспорт настроек, и поищите не указанно ли гдето кроме /interface bridge порты ether1-provider и ether3-NTC1 в чистом виде, если встречаються, поменяйте на ntc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
5exi2 Опубликовано 17 октября, 2013 · Жалоба Маршрут во внешку только 1. Проверил, эти порты встречаются у меня только в правилах маркирования трафика. Чтобы пинги быстрее бегали, а то претензии со стороны соседа и по этому поводу были. маскарадинг не помог. Перезагрузить сейчас не могу. А объединение портов в свитч группу с мастер портом на 1-ом порту провайдера будет работать должным образом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ermak_ Опубликовано 17 октября, 2013 · Жалоба Если Вы порт ввели в бридж, все, алес, нет у вас больше порта, забудте о нем, нигде нельзя его указывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
5exi2 Опубликовано 18 октября, 2013 (изменено) · Жалоба Все упоминания портов в bridge убрал. Но суть не в этом. Проверил с помощью Wireshark на стороне почтового сервера. Приходят 3 пакета устанавливающие связь и даже высылает приглашение. Дальше, почему-то идёт пакет RST со стороны соседской машины. На соседской же машине тоже вижу 3 пакета устанавлиающие соединение с моим сервером и ... пакета приглашения нет. Уже надо было срочно делать. Сделал просто ... отвратительно, ибо не знаю как лучше. Так как Mikrotik в моём распоряжении это RB1100AHx2, то у меня в наличии в общем 2 полноценные свитч группы. На одной я сделал свитч группу из 4 портов с мастер портом. На один порт я повесил провайдера, на другой соседа и на 3-ий себя... соеденив проводом на 1-ий порт и занатив себя. Получилось крайне криво, но всё заработало. Можно ли как-то избавиться от провода соединяющего 1-ый порт и порт в свитч группе, например сделав bridge с мастер-портом? Изменено 18 октября, 2013 пользователем 5exi2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
