Страница 1 из 1

NAT в PI-адреса

Добавлено: 06 ноя 2012, 09:20
achekalin
Добрый день!

"Исторически сложилось" вот какая схема:

На микротик приходят папа операторов, с ними поднят BGP, и на Микротике заведена PI-подсеть и адрес из этой подсети. Эта подсеть связана с одним из eth портов, устройства, воткнутые в него, работают через Микротик с адресами из PI-сети без проблем.

Нужно поднять на Микротике подсетку с приватными адресами и сделать NAT с этой подсети на адрес из PI-подсети, т.е. чтобы эта приватная сеть ходила в инет через адрес из PI-сети.

Как ни пытаюсь, не получается. Когда для проверки деляю NAT (маскарадинг, скажем) не на PI-адрес, а на адрес одного из провайдеров - все работает, прописываю на NAT на PI-адрес - все "встает". Что я мог подзабыть сделать?

Re: NAT в PI-адреса

Добавлено: 06 ноя 2012, 10:23
simpl3x
nat pi адресов не отличается от nat'a какого либо другова адреса. часть ответа уже есть в вашем вопросе.
http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
если кратко, то чтобы натить нужно ещё одну железку, которая будет этим заниматься, т.к. адреса которыми будет src-nat'иться должны быть на uplink'e, в случае с bgp запихивать ваши pi адреса в сетку между вами и вышестоящими бессмысленно.

Re: NAT в PI-адреса

Добавлено: 06 ноя 2012, 10:50
achekalin
Циска такое изощрение выдерживает :)

С другой стороны, почему нет?

Есть PI-сеть 1.1.1.0/24. На самом роутере делаем 1.1.1.1/24, на компах за ним в сети - 1.1.1.2..254 (/24), ставим на них шлюз 1.1.1.1 - работает, ибо роутер будет бросать "в мир" пакеты по маршрутам, подсказанным ему BGP-таблицей. Если на самом роутере написать ping 8.8.8.8, указав src-адресом 1.1.1.1, пинг также пойдет (а чего бы его не идти?)

И что мешает сделать маскарадинг адресов из сети 10.10.0.0/24 в адрес 1.1.1.1? Чем при этом путь пакета будет отличаться от пути пакета с src=1.1.1.1?

Re: NAT в PI-адреса

Добавлено: 06 ноя 2012, 12:17
simpl3x
Если на самом роутере написать ping 8.8.8.8, указав src-адресом 1.1.1.1, пинг также пойдет (а чего бы его не идти?)

ну да, а чего бы не идти. только это тут при чём?

С другой стороны, почему нет?

с другой стороны я, признаюсь честно, не знаком с цисками, в плане их изощерений, но подобные извращения с мтиком не прокатывают.
с еще одной стороны когда вы пишете в правиле:

Код: Выделить всё

ip firewall nat add chain=srcnat action=src-nat to-addresses=1.1.1.1 

то тем самым out-side интерфейс для nat у Вас будет тот, на котором этот адрес прописан. а при выборе маршрута, который происходит ДО решения маршрутизатора натить или не натить трафик, выходной интерфейс для трафика будет другим. соответственно решение натить трафик по вашему правилу принято не будет. как то так мне видится принцип работы nat.

Re: NAT в PI-адреса

Добавлено: 06 ноя 2012, 13:16
achekalin
А нет ли варианта завернуть трафик после NAT (src-nat-а) еще на один круг обработки? Через PBR, например? Я о Policy Based Routing-е, не очень уверен в названии его на микротике...

Re: NAT в PI-адреса

Добавлено: 08 ноя 2012, 11:18
achekalin
А ведь заработало все. Я поначалу маскарадинг настраивал, и он не работал. src-nat отлично сработал.

А я уж забеспокоился, как-то не верилось, что не сработает. %)

Re: NAT в PI-адреса

Добавлено: 08 ноя 2012, 17:01
simpl3x
век живи, век учись :geek: хотя специально попробывал на своём шлюзе, и как то не завелось