Jump to content
Калькуляторы

Микротик, связка диапазона публичных и приватных диапазонов. NAT и mikrotik

День добрый. Есть публичный "белый" пул адресов. Зарезервировано 30 адресов под сервера и статику прочим абонентам выдаются остальные адреса.

 

Хочется завести приватный пул 10.1.1.0/16 и чтобы эти абоненты ходили в интернет через динамически присваиваемый публичный ("белый") IP, но не один на всех, а группа адресов.

Ну т.е. есть оставшиеся 220 публичных "белых" адресов делятся на "серый" пул приватных адресов.

хотел сделать так

создаём список приватных адресов

/ip firewall address-list add list=privat_pool address=10.1.1.0/16

создаём список публичных адресов

/ip firewall address-list add list=public_pool address=X.Y.Z.31-X.Y.Z.255

 

правило для исходящего трафика используя списки

/ip firewall nat add chain=dstnat dst-address-list=public_pool action=netmap to-addresses-list=privat_pool

правило для входящего трафика используя списки

/ip firewall nat add chain=srcnat src-address-list=privat_pool action=netmap to-addresses-list=public_pool

А те абоненты которым выделен публичный "белый" IP адрес мог бы спокойно связываться с приватными "серыми" адресами в пределах одного маршрутизатора.

Обе сети и "белая" и "серая" сидят на одном маршрутизаторе.

 

Мне сказали что такая настройка работать не будет. т.к. при netmap адреса должны быть один к одному.

 

Но как тогда сделать динамический список адресов (будет пополнятся/удалятся) и адреса могут быть не по порядку. И использовать диапазон публичных ("белых") адресов?

Share this post


Link to post
Share on other sites

Поставьте несколько микротиков, на которых заведены белые адреса, пусть они и делают НАТ. Далее уже роутингом будете отправлять часть по одному каналу, часть по другому.

Share this post


Link to post
Share on other sites

Поставьте несколько микротиков, на которых заведены белые адреса, пусть они и делают НАТ. Далее уже роутингом будете отправлять часть по одному каналу, часть по другому.

Нет, это не вариант. Мне кажется должно быть более элегантное решение...

Share this post


Link to post
Share on other sites

/ip firewall nat add action=same chain=srcnat comment="NAT" out-interface=ether1 src-address=\

172.16.0.0/20 to-addresses=1.2.3.16-1.2.3.128

 

dst вам не сделать подобное, либо так, либо адрес в адрес Нат

Edited by micol

Share this post


Link to post
Share on other sites

Есть ее один вариант, но придется создавать много правил. В принципе он не особо отличается от деления пула серых адресов на меньшие сети.

/ip firewall nat add chain=srcnat action=src-nat to-addresses=1.2.3.1 
    src-address=10.1.1.0/16 per-connection-classifier=src-address:126/0
/ip firewall nat add chain=srcnat action=src-nat to-addresses=1.2.3.2 
    src-address=10.1.1.0/16 per-connection-classifier=src-address:126/1  

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this