NAT в PI-адреса

Обсуждение ПО и его настройки
Ответить
achekalin
Сообщения: 40
Зарегистрирован: 12 сен 2012, 09:25

Добрый день!

"Исторически сложилось" вот какая схема:

На микротик приходят папа операторов, с ними поднят BGP, и на Микротике заведена PI-подсеть и адрес из этой подсети. Эта подсеть связана с одним из eth портов, устройства, воткнутые в него, работают через Микротик с адресами из PI-сети без проблем.

Нужно поднять на Микротике подсетку с приватными адресами и сделать NAT с этой подсети на адрес из PI-подсети, т.е. чтобы эта приватная сеть ходила в инет через адрес из PI-сети.

Как ни пытаюсь, не получается. Когда для проверки деляю NAT (маскарадинг, скажем) не на PI-адрес, а на адрес одного из провайдеров - все работает, прописываю на NAT на PI-адрес - все "встает". Что я мог подзабыть сделать?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

nat pi адресов не отличается от nat'a какого либо другова адреса. часть ответа уже есть в вашем вопросе.
http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
если кратко, то чтобы натить нужно ещё одну железку, которая будет этим заниматься, т.к. адреса которыми будет src-nat'иться должны быть на uplink'e, в случае с bgp запихивать ваши pi адреса в сетку между вами и вышестоящими бессмысленно.


achekalin
Сообщения: 40
Зарегистрирован: 12 сен 2012, 09:25

Циска такое изощрение выдерживает :)

С другой стороны, почему нет?

Есть PI-сеть 1.1.1.0/24. На самом роутере делаем 1.1.1.1/24, на компах за ним в сети - 1.1.1.2..254 (/24), ставим на них шлюз 1.1.1.1 - работает, ибо роутер будет бросать "в мир" пакеты по маршрутам, подсказанным ему BGP-таблицей. Если на самом роутере написать ping 8.8.8.8, указав src-адресом 1.1.1.1, пинг также пойдет (а чего бы его не идти?)

И что мешает сделать маскарадинг адресов из сети 10.10.0.0/24 в адрес 1.1.1.1? Чем при этом путь пакета будет отличаться от пути пакета с src=1.1.1.1?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Если на самом роутере написать ping 8.8.8.8, указав src-адресом 1.1.1.1, пинг также пойдет (а чего бы его не идти?)

ну да, а чего бы не идти. только это тут при чём?

С другой стороны, почему нет?

с другой стороны я, признаюсь честно, не знаком с цисками, в плане их изощерений, но подобные извращения с мтиком не прокатывают.
с еще одной стороны когда вы пишете в правиле:

Код: Выделить всё

ip firewall nat add chain=srcnat action=src-nat to-addresses=1.1.1.1 

то тем самым out-side интерфейс для nat у Вас будет тот, на котором этот адрес прописан. а при выборе маршрута, который происходит ДО решения маршрутизатора натить или не натить трафик, выходной интерфейс для трафика будет другим. соответственно решение натить трафик по вашему правилу принято не будет. как то так мне видится принцип работы nat.


achekalin
Сообщения: 40
Зарегистрирован: 12 сен 2012, 09:25

А нет ли варианта завернуть трафик после NAT (src-nat-а) еще на один круг обработки? Через PBR, например? Я о Policy Based Routing-е, не очень уверен в названии его на микротике...


achekalin
Сообщения: 40
Зарегистрирован: 12 сен 2012, 09:25

А ведь заработало все. Я поначалу маскарадинг настраивал, и он не работал. src-nat отлично сработал.

А я уж забеспокоился, как-то не верилось, что не сработает. %)


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

век живи, век учись :geek: хотя специально попробывал на своём шлюзе, и как то не завелось


Ответить