Сеть белых IP за WAN

[kpp]

Добрый день.
Имеется RB3011UIAS-RM
Настроено подключение по PPPoE, в наличии 1 белый IP на WAN порту - 91.хxх.хxх.21
Провайдер выдал пул белых IP адресов
78.xx.xx.72/29
И написал: Выделенная сеть должна быть исключена из NAT на маршрутизаторе клиента.
Сеть будет маршрутизироваться в существующий IP адрес клиента 91.хxх.хxх.21
Взял собственно эту тему
viewtopic.php?f=1&t=8263
На eth3 порт - локалку с сотрудниками.
На eth6 порты повесил сеть 78.xx.xx.72/29 - для серверов
Сервер в интернет вышел, ресурсы пингует.
Из eth3 в eth6 ходит.
Пробовал подключатся с другой точки интернет: естественно нет доступа до сервака.
Я понимаю что надо сеть 78.xx.xx.72/29 выкинуть из правила

Код: Выделить всё

add action=masquerade chain=srcnat out-interface=tap-1wan

Но как не понимаю, опыта мало
И дополнительный вопрос: что с точки зрения безопасности необходимо добавить в правила firewall (конфиг прилагаю)

Код: Выделить всё

/ip firewall filter
add action=accept chain=input in-interface=tap-1wan
add action=accept chain=input connection-state=established,related
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=tap-1wan

[Vlad-2]

Увы, но нужен конфиг.
А уже потом правила НАТ и файрвол.

[kpp]

Недавно купили, только поставил.
Сразу скажу: ранее с микротиком работал, но просто прокидывал правила NAT по портам определенным

Код: Выделить всё

# mar/14/2019 15:43:38 by RouterOS 6.40
# software id = 5X0M-J0M8
#
# model = RouterBOARD 3011UiAS
# serial number = 000000000000
/interface ethernet
set [ find default-name=ether1 ] name=eth1-WAN speed=1Gbps
set [ find default-name=ether3 ] name=eth3-Lan speed=1Gbps
set [ find default-name=ether4 ] speed=1Gbps
set [ find default-name=ether5 ] speed=1Gbps
set [ find default-name=ether6 ] name=eth6_White speed=1Gbps
set [ find default-name=ether8 ] speed=1Gbps
set [ find default-name=ether2 ] speed=1Gbps
set [ find default-name=ether7 ] speed=1Gbps
set [ find default-name=ether9 ] speed=1Gbps
set [ find default-name=ether10 ] speed=1Gbps
set [ find default-name=sfp1 ] advertise=""
/interface pppoe-client
add add-default-route=yes disabled=no interface=eth1-WAN name=tap-1wan password=rt use-peer-dns=yes user=rt
/interface bridge port
add
/ip address
add address=192.168.1.1/24 interface=eth3-Lan network=192.168.1.0
add address=78.xx.xxx.73/29 interface=eth6_White network=78.xxx.xxx.72
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input in-interface=tap-1wan
add action=accept chain=input connection-state=established,related
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=tap-1wan
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.0/24
set ssh address=192.168.1.0/24
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system leds
add

[Vlad-2]

1) Спасибо за конфиг
2) Вы читали всю тему, на которую Вы сами дали ссылку в первом сообщении?

Советы:
1) делаете бридж, скажем bridge0-WAN.
2) в этот новый бридж - помещаете порт1(приходящий провод от провайдера) и порт6 (Ваша сеть белых IP)
3) с порта6 перемещаете белую адресацию на этот бридж (bridge0-WAN)
4) РРРоЕ-клиент, в нём (в свойствах) меняете работу, с порта1 на bridge0-WAN
Проверяем что рррое запустился. Для клиентов работающих через РРРоЕ ничего не должно поменяться,
адрес на РРРоЕ, как был так и есть, работаете (НАТ) делается через РРРоЕ.

Резюмируем:
а) сделали бридж, на базе его сделали что реальная адресация сразу видна/доступна провайдеру.
(и естественно не НАТиться)
б) так как порты вместе, они уже подчинённые, значит уже не самостоятельные, поэтому
для работы рррое - меняем, что оно работает теперь на бридже (где и виден МАК BRAS сервера провайдера).
в) проверяем пул (подсетку) белых адресов (с другого Интернета, с телефонов).

P.S.
a) Файрвол временно выключить (закладка Filtres)
б) Для уменьшения атак, в IP-Services отключить всё лишнее.

[algerka]

1) делаете бридж, скажем bridge0-WAN.

Думаю бридж тут не нужен.

[algerka]

/ip firewall nat add action=masquerade chain=srcnat out-interface=tap-1wan

Попробуйте вместо этого сделать так:

Код: Выделить всё

/ip firewall nat add action=masquerade chain=srcnat out-interface=tap-1wan src-address= 192.168.1.0/24

Не забудьте навести порядок с правилами файервола, а то они совсем не полноценные.
И, надеюсь, вы понимаете как работает правило fasttrack, раз его используете?

[Vlad-2]

Думаю бридж тут не нужен.

Не знаю, думаю на бридже гибче, лучше, понятнее.

И ещё для ТС:
обратите внимание на эту информацию:
https://i.mt.lv/cdn/rb_files/RB3011UiAS ... 123613.png
(надеюсь намёк поймёте).

[kpp]

Сделаны были следующие манипуляции по Вашим советам
СОВЕТ 1
1. Перекинул на eth2
2. Создал бридж eth1 и eth2
3. В подключении по PPPoE выбрал бридж
ИТОГО: сеть работает, сервер ходит в инет, но так же доступ из вне (пинг/webморда) отсутствует.
Сломал все на место
Совет 2
Правила NAT, все равно тишина.

Кстати сделал трассировку с машины, что то мне совсем не понятно.

[kpp]

А это трассировка до сервера


Я не великий специалист, но мне кажется, что Ростелеком не сделал маршрутизацию

[Vlad-2]

Надо было оставлять всё сделанное Вами в рамках Совет 1,
и уже звонить Ростелекому.
Оставлять включенный сервер, на белом адресе.
Ну и комп в локальной сети и идущий в Интернет через рррое (через НАТ).

А также спросить у Ростелекома, видят не видят мак(и), и прочее...
Думаю что да, скорее всего Вам не сделали....ещё...