Перейти к содержимому
Калькуляторы

Микротик, связка диапазона публичных и приватных диапазонов. NAT и mikrotik

День добрый. Есть публичный "белый" пул адресов. Зарезервировано 30 адресов под сервера и статику прочим абонентам выдаются остальные адреса.

 

Хочется завести приватный пул 10.1.1.0/16 и чтобы эти абоненты ходили в интернет через динамически присваиваемый публичный ("белый") IP, но не один на всех, а группа адресов.

Ну т.е. есть оставшиеся 220 публичных "белых" адресов делятся на "серый" пул приватных адресов.

хотел сделать так

создаём список приватных адресов

/ip firewall address-list add list=privat_pool address=10.1.1.0/16

создаём список публичных адресов

/ip firewall address-list add list=public_pool address=X.Y.Z.31-X.Y.Z.255

 

правило для исходящего трафика используя списки

/ip firewall nat add chain=dstnat dst-address-list=public_pool action=netmap to-addresses-list=privat_pool

правило для входящего трафика используя списки

/ip firewall nat add chain=srcnat src-address-list=privat_pool action=netmap to-addresses-list=public_pool

А те абоненты которым выделен публичный "белый" IP адрес мог бы спокойно связываться с приватными "серыми" адресами в пределах одного маршрутизатора.

Обе сети и "белая" и "серая" сидят на одном маршрутизаторе.

 

Мне сказали что такая настройка работать не будет. т.к. при netmap адреса должны быть один к одному.

 

Но как тогда сделать динамический список адресов (будет пополнятся/удалятся) и адреса могут быть не по порядку. И использовать диапазон публичных ("белых") адресов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставьте несколько микротиков, на которых заведены белые адреса, пусть они и делают НАТ. Далее уже роутингом будете отправлять часть по одному каналу, часть по другому.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставьте несколько микротиков, на которых заведены белые адреса, пусть они и делают НАТ. Далее уже роутингом будете отправлять часть по одному каналу, часть по другому.

Нет, это не вариант. Мне кажется должно быть более элегантное решение...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Никто ничего больше не может предложить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip firewall nat add action=same chain=srcnat comment="NAT" out-interface=ether1 src-address=\

172.16.0.0/20 to-addresses=1.2.3.16-1.2.3.128

 

dst вам не сделать подобное, либо так, либо адрес в адрес Нат

Изменено пользователем micol

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть ее один вариант, но придется создавать много правил. В принципе он не особо отличается от деления пула серых адресов на меньшие сети.

/ip firewall nat add chain=srcnat action=src-nat to-addresses=1.2.3.1 
    src-address=10.1.1.0/16 per-connection-classifier=src-address:126/0
/ip firewall nat add chain=srcnat action=src-nat to-addresses=1.2.3.2 
    src-address=10.1.1.0/16 per-connection-classifier=src-address:126/1  

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.