blackcatw Posted February 5, 2014 Posted February 5, 2014 День добрый. Есть публичный "белый" пул адресов. Зарезервировано 30 адресов под сервера и статику прочим абонентам выдаются остальные адреса. Хочется завести приватный пул 10.1.1.0/16 и чтобы эти абоненты ходили в интернет через динамически присваиваемый публичный ("белый") IP, но не один на всех, а группа адресов. Ну т.е. есть оставшиеся 220 публичных "белых" адресов делятся на "серый" пул приватных адресов. хотел сделать так создаём список приватных адресов /ip firewall address-list add list=privat_pool address=10.1.1.0/16 создаём список публичных адресов /ip firewall address-list add list=public_pool address=X.Y.Z.31-X.Y.Z.255 правило для исходящего трафика используя списки /ip firewall nat add chain=dstnat dst-address-list=public_pool action=netmap to-addresses-list=privat_pool правило для входящего трафика используя списки /ip firewall nat add chain=srcnat src-address-list=privat_pool action=netmap to-addresses-list=public_pool А те абоненты которым выделен публичный "белый" IP адрес мог бы спокойно связываться с приватными "серыми" адресами в пределах одного маршрутизатора. Обе сети и "белая" и "серая" сидят на одном маршрутизаторе. Мне сказали что такая настройка работать не будет. т.к. при netmap адреса должны быть один к одному. Но как тогда сделать динамический список адресов (будет пополнятся/удалятся) и адреса могут быть не по порядку. И использовать диапазон публичных ("белых") адресов? Вставить ник Quote
Saab95 Posted February 6, 2014 Posted February 6, 2014 Поставьте несколько микротиков, на которых заведены белые адреса, пусть они и делают НАТ. Далее уже роутингом будете отправлять часть по одному каналу, часть по другому. Вставить ник Quote
blackcatw Posted February 6, 2014 Author Posted February 6, 2014 Поставьте несколько микротиков, на которых заведены белые адреса, пусть они и делают НАТ. Далее уже роутингом будете отправлять часть по одному каналу, часть по другому. Нет, это не вариант. Мне кажется должно быть более элегантное решение... Вставить ник Quote
blackcatw Posted February 7, 2014 Author Posted February 7, 2014 Никто ничего больше не может предложить? Вставить ник Quote
micol Posted February 9, 2014 Posted February 9, 2014 (edited) /ip firewall nat add action=same chain=srcnat comment="NAT" out-interface=ether1 src-address=\ 172.16.0.0/20 to-addresses=1.2.3.16-1.2.3.128 dst вам не сделать подобное, либо так, либо адрес в адрес Нат Edited February 9, 2014 by micol Вставить ник Quote
sv-lex Posted February 11, 2014 Posted February 11, 2014 Есть ее один вариант, но придется создавать много правил. В принципе он не особо отличается от деления пула серых адресов на меньшие сети. /ip firewall nat add chain=srcnat action=src-nat to-addresses=1.2.3.1 src-address=10.1.1.0/16 per-connection-classifier=src-address:126/0 /ip firewall nat add chain=srcnat action=src-nat to-addresses=1.2.3.2 src-address=10.1.1.0/16 per-connection-classifier=src-address:126/1 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.