Всем здравствуйте, спасибо за проявленный интерес и прошу помощи в конфиге
У провайдера подключена услуга 4 белых ip
Вот такое они мне выдали (дословно из бумажки):
Белый IP(получаемый по DHCP): 222.33.80.38/23,
выделенная подсеть: 222.33.82.80/29
Линия поддержки максимум чем помогла это "перегрузите роутер" и "с нашей стороны проблем не выялено".
Когда только подлючил услугу планировал вообще раскинуть тупым свичем и подключить по отдельности устройства но не тут то было.
Потом вот такую инструкцию прислали
Схема организации связи (адресация выбрана для примера).
1. На WAN-порту роутера адрес 134.17.25.219/22-статический IP, получаемый по DHCP.
2. На LAN-порту устанавливается вручную 46.216.180.153/29 – выделенная подсеть.
3. Компьютерам в локальной сети назначаются адреса:
46.216.180.154/26
46.216.180.155/26
...
46.216.180.158/26
Для них шлюзом будет 46.216.180.153.
4. NAT должен быть отключён.
5. На роутере должен присутствовать маршрут по умолчанию 0.0.0.0/0 на 134.17.24.1. Обычно он должен устанавливаться автоматически при получении основного адреса по DHCP. В зависимости от региона и адреса подсети адрес назначения для маршрута по умолчанию может быть другим.
Вот такие у меня маршруты
Создал отдельный бридж туда вставлены сервера на которые нужен проброс белых адресов
Дал бриджу IP
DHCP на этот бридж
выдаются адреса 222.33.82.82 - 222.33.82.85
шлюзом для них 222.33.82.81
DNS 1.1.1.1
NAT
Дополнительно докинул диапазон в LAN
/ip firewall address-list
add address=192.168.0.0/24 comment=LAN list=LAN
add address=222.33.82.80/29 comment=LAN list=LAN
Вся эта кухня работает только если включен маскарадинг srcnat на WAN, но и адресация тогда теряется вся. Как заставить это все работать?
Большое спасибо за уделенное вами время.
Проброс пула белых IP мимо NAT
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
Зачем на бридже с серверами dhcp?
Объедините в бридж ether от провайдера и ether в который будут смотреть серверы.
Все, на серверах назначьте IP адреса и шлюз, которые дал провайдер. Все, все заработало.
Если нужны дополнительные маршруты, то пропишите их на серверах вручную.
В этой схеме микротик-то не очень нужен.
Я не совсем понял про ваши IP адреса. Вы ничего не напутали с масками и IP? Или это для примера?
Объедините в бридж ether от провайдера и ether в который будут смотреть серверы.
Все, на серверах назначьте IP адреса и шлюз, которые дал провайдер. Все, все заработало.
Если нужны дополнительные маршруты, то пропишите их на серверах вручную.
В этой схеме микротик-то не очень нужен.
Я не совсем понял про ваши IP адреса. Вы ничего не напутали с масками и IP? Или это для примера?
-
- Сообщения: 9
- Зарегистрирован: 06 окт 2022, 21:47
Просто получается бридж будет выступать dhcp клиентом для провайдера и адрес этого бриджа и будет шлюзом для серверов?
Адреса я только заменил начало адресов на 222.33, окончания и маски так как они дали(на картинке с роутами замылил начала адресов). Пинг на сеть за первым ip приходит внутрь микротика и видны в соединениях, но на пинг в мир не уходит ответ (пинг разрешен и на сервере и на firewall). Tracert ом с мира пакеты теряются и находятся за ip 222.33.80.38.
Получается шлюзом для серверов должен быть не шлюз провайдера, а мой первый ip должен быть как шлюз для подсети. И все, что уходит к провайдеру должно идти через него. (По крайней мере и в их инструкции это так), а если будет общий бридж и у серверов будет шлюз провайдера то не работает, проверял, единсвенное не пробовал серверу давать шлюзом адрес бриджа (из wan + eth на сервер).
Адреса я только заменил начало адресов на 222.33, окончания и маски так как они дали(на картинке с роутами замылил начала адресов). Пинг на сеть за первым ip приходит внутрь микротика и видны в соединениях, но на пинг в мир не уходит ответ (пинг разрешен и на сервере и на firewall). Tracert ом с мира пакеты теряются и находятся за ip 222.33.80.38.
Получается шлюзом для серверов должен быть не шлюз провайдера, а мой первый ip должен быть как шлюз для подсети. И все, что уходит к провайдеру должно идти через него. (По крайней мере и в их инструкции это так), а если будет общий бридж и у серверов будет шлюз провайдера то не работает, проверял, единсвенное не пробовал серверу давать шлюзом адрес бриджа (из wan + eth на сервер).
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
Я с трудом могу понять, что вы пишите. Очень запутанно.
Микротик вообще не причем. Он даже и не нужен.
Поставьте вместо него коммутатор.
Включите в него сервера и вручную пропишите нужные IP и шлюз. Шлюз провайдера (как правило, первый IP адрес подсети, но нужно уточнить).
Все. Все будет работать.
А дальше, вы втыкаете в коммутатор микротик и настраиваете, так как сказал провайдер, уже порт wan, nat и выпускаете через него остальные компы.
Почти тоже самое - бридж в микротике. Это обычный коммутатор.
Микротик вообще не причем. Он даже и не нужен.
Поставьте вместо него коммутатор.
Включите в него сервера и вручную пропишите нужные IP и шлюз. Шлюз провайдера (как правило, первый IP адрес подсети, но нужно уточнить).
Все. Все будет работать.
А дальше, вы втыкаете в коммутатор микротик и настраиваете, так как сказал провайдер, уже порт wan, nat и выпускаете через него остальные компы.
Почти тоже самое - бридж в микротике. Это обычный коммутатор.
-
- Сообщения: 9
- Зарегистрирован: 06 окт 2022, 21:47
Пробовал, делал так сразу, ставил коммутатор и ip серверам не выдается, выдается только микротику, который так же вставлен в этот коммутатор. Если на серверах вручную прописать ip (из выданного диапазона) и шлюз прописать такой же как у микротика (первый у оператора), DNS глобальные - нет ни пингов ни интернета на серверах (на микротике работает). Такое думаю происходит так как операторский шлюз (*.*.80.1) ждет пакеты только с *.*.80.38\23 и с адресов *.*.82.80\29 не принимает ничего напрямую.
Вот трасерт с мира
Вот трасерт с мира
-
- Сообщения: 189
- Зарегистрирован: 13 окт 2018, 20:53
- Откуда: Беларусь
Вообще-то - вам не мешало бы подучить матчасть - IP-адрес хоста и IP-адрес шлюза должны принадлежать одной сети (широковещательному домену)...
Поэтому то ничего у вас и не работает - что ваши сервера не знают куда отправлять пакеты которые предназначены шлюзу... на серверах шлюзом должен быть указан микротик (адрес из сети *.*.82.80/29) и пакеты, предназначенные для Интернета, пойдут сначала на микротик и уже с него пойдут провайдерскому шлюзу (*.*.80.1), потому как адрес микротика в сети прровайдера и адрес шлюза принадлежат одной сети (широковещательному домену). Аналогично из Интернета пакеты, предназначенные вашим серверам сначала придут на микротик на адрес в проваайдерской сети, потому как у провайдера до вашей подсети *.*.82.80/29 прописан такой маршрут и уже ваш микротик отправит пакеты дальше вашим серверам...
RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
-
- Сообщения: 9
- Зарегистрирован: 06 окт 2022, 21:47
ДА, я так и делаю, спасибо что поняли меня, вот поэтому у меня и такой конфиг (а не так как советовали выше) сейчас у меня шлюзом для серверов указан адрес bridge2 *.*.82.81 который в одной сети с серверами, маршрут (скрин в первом посту) к этому бриджу прописан на микротике, в firewall этот bridge2 allow во всех цепочках. но не работает... из NAT bridge исключен (вроде)...bst-botsman писал(а): ↑24 ноя 2022, 12:28на серверах шлюзом должен быть указан микротик (адрес из сети *.*.82.80/29) и пакеты, предназначенные для Интернета,
Я этот вопрос мучаю с прошлой пятницы, скоро неделя, что только не пытался...
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
Вам надо пообщаться с провайдером. Возможно вам выдали какие-то ошибочные данные. Ещё раз: вам выдали (должны были выдать) ip адрес, маску и шлюз. С этими значениями все должно работать с компьютера, который подключен напрямую в шнурок провайдера. Вот как только вы этого добьётесь, все проблемы рассосутся сами.
-
- Сообщения: 9
- Зарегистрирован: 06 окт 2022, 21:47
Оно и работает, и даже портами на сервер проброшено,gmx писал(а): ↑24 ноя 2022, 13:55 Вам надо пообщаться с провайдером. Возможно вам выдали какие-то ошибочные данные. Ещё раз: вам выдали (должны были выдать) ip адрес, маску и шлюз. С этими значениями все должно работать с компьютера, который подключен напрямую в шнурок провайдера. Вот как только вы этого добьётесь, все проблемы рассосутся сами.
и внутри микротике коннекшен есть, но ответа нет, и интернет на микротике есть и шлюз операторский 80.1 работает, но этот выданный именно мне ip (80.38\23) должен стать шлюзом для подсети 82.80\29 за ним...
пакет должен идти с мира 80.1 (шлюз оператора)> 80.38\23 (мой шлюз) > 82.81 (мой адрес бриджа2) > 82.82 (белый ip сервера вставленный в этот бридж)
на сервере настройки
ip 82.82
шлюз 82.81
dns 1.1.1.1
маршрут в микротике на 80.38 порт от оператора
82.80 в бридже2
шлюз оператора 80.1
может натить как-то нужно специфически?
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
Рисуйте схему. Только ip адреса по человечески пишите, измените из немного, но близко к реальности.