Белая подсеть за белым IP

[electro777]

Всем доброго дня. Ребят прошу помощи, никак не могу логически понять, как смаршрутизировать подсеть. Изначально нужно несколько белых ip , но провайдер не может смаршрутизировать на одни порт несколько белых ip одновременно (биллинг у них не умеет считать). В итоге выделили один белый ip 225.xxx.xxx.xxx и смаршрутизированную подсеть 80.xxx.xxx.xxx. В итоге на микротике на wan надо поставить этот белый ip а на LAN эту подсеть 80.xxx.xxx.xxx. и смаршрутизировать без NAT на внещний Ip wan. Никак не допру как сделать. У меня идея сделать только через маркировку пакетов, по другому я пока не представляю как это решить. но опять же как правильно промаркировать пакеты или тупо весь трафик с одного порта гнать на порт внешнего адреса? Т.к по сути получается через один внешний ip необходимо пробросить подсеть внешних Ip без NAT

[Vlad-2]

Всем доброго дня. Ребят прошу помощи, никак не могу логически понять, как смаршрутизировать подсеть. Изначально нужно несколько белых ip , но провайдер не может смаршрутизировать на одни порт несколько белых ip одновременно (биллинг у них не умеет считать). В итоге выделили один белый ip 225.xxx.xxx.xxx и смаршрутизированную подсеть 80.xxx.xxx.xxx. В итоге на микротике на wan надо поставить этот белый ip а на LAN эту подсеть 80.xxx.xxx.xxx. и смаршрутизировать без NAT на внещний Ip wan. Никак не допру как сделать. У меня идея сделать только через маркировку пакетов, по другому я пока не представляю как это решить. но опять же как правильно промаркировать пакеты или тупо весь трафик с одного порта гнать на порт внешнего адреса? Т.к по сути получается через один внешний ip необходимо пробросить подсеть внешних Ip без NAT

Вроде всё просто. Ростелеком давно типа такова делает, правда там через статический IP на рррое, но сути не меняет.
Итак, НАТов тут пока нету. Вернее для описанной Ваши задачи НАТ не нужен.
А делается просто:

а) --- часть первая ----
1) ставите статический адрес на порту1 - то есть задаёте на порт1 адрес 225.xxx.xxx.xxx/хх
2) сразу же прописываете маршрут по-умолчанию (наверно типа 225.xxx.xxx.1)
3) проверяете с консоли (с терминала микротика) что можете пинговать 8.8.8.8
4) для удобства в настройках ДНС прописываете адрес ДНС-сервера провайдера или опять же, гугла.
5) можете работать после этого по имени (пинговать ya.ru)
6) временно на этом этапе не надо никаких файрволов (хотя бы на 5-10 минут)

б) --- часть вторая ----
1) создаёте бридж, даёте ему адрес из сети, например будет 80.xxx.xxx.55/хх (как пример просто)
2) в этот бридж добавляете порт 2 скажем, и в этот порт подключаете сервер (для примера)
3) серверу задаёте адрес 80.xxx.xxx.56, а шлюзом у него будет адрес микротика из этой же сети - 80.xxx.xxx.55
То есть задача Ваша - в выделенной сети чтобы всю уходило на микротик, а микротик будет
отдавать по-умолчанию уже провайдеру. У провайдера маршрутизация на сеть 80.xxx.xxx.xxx
уже описана на Ваш 225.xxx.xxx.xxx/хх и при внешних запросах она будет Вам отдаваться.
НАТа тут нету для решения задачи этой!!!!!

И маленькое дополнение:
Так как у нас на микротике стоит адрес 80.xxx.xxx.55 который внешний и который можно и нужно
использовать, вот уже локальных клиентов (то есть типа 192.168.х.х) и надо натить от адреса
80.xxx.xxx.55 (главное натить ТОЛЬКО локальных клиентов) поэтому правила НАТ должны быть
точными и явными.

Я описал логику, естественно у Вас может быть иначе или ещё какие-то
подводные камни, но схема в целом простая.

[electro777]

Добрый день, спасибо за ответ! До этого я вчера додумался, но только все же наверное в бридж надо поместить и внешний порт и порт с подсетью и на бридж настроить подсеть 80.xxx.xxx.xxx

[Vlad-2]

Добрый день, спасибо за ответ! До этого я вчера додумался, но только все же наверное в бридж надо поместить и внешний порт и порт с подсетью и на бридж настроить подсеть 80.xxx.xxx.xxx

НЕТ!!!!!!!

1) перечитайте ещё раз

2) у Вас две сети разные - Вам нужна маршрутизация,а в бридже трафик смешивается.
Разве в математике можно танки прибавлять к тараканам? Так и тут!

3) Вы чтобы получит 232 вольта на выходе будет брать 220+12? Я думаю вряд ли.

Читайте ещё раз.

[electro777]

Тогда я не понимаю, как будет происходить маршрутизация, если отдельно стоит WAN интерфейс и отдельно внешняя подсеть. Объясните, в микротике по умолчанию стоят маршруты, как он узнает что куда маршрутизировать?

[Vlad-2]

Тогда я не понимаю, как будет происходить маршрутизация, если отдельно стоит WAN интерфейс и отдельно внешняя подсеть. Объясните, в микротике по умолчанию стоят маршруты, как он узнает что куда маршрутизировать?

Ну я вроде очень подробно всё описал, также я показал что Вам надо сделать.
Попробуйте всё же с практики.
Ну и на счёт маршрутизации...у Вас да, две белые сети, но вторая сеть,
для микротика она локальная....так что представляйте её для себя так.
Вам будет так проще.

Ещё раз логика:
а) компьютер(сервер) со своим адресом хочет выйти в интернет - пакет ушёл на шлюз,
это микротик
б) у микротика тоже есть шлюз - ваш статический айпи на WAN'е, значит пакет уйдёт на провайдера
и дальше также по цепочке.

а) с внешней стороны запросы идут на IP-сервер, пакеты проходят и до доходят
до вашего провайдера, у провайдера стоит где искать Ваш роутер - через
отдельный статический айпи, пакет вошёл в микротик
б) микротик знает где искать сеть (которая за ним) и пакет перешлёт уже прямо на тот сервер с нужным айпи.

[electro777]

Я изначально тоже так думал, но когда сделал по такому варианту, то ничего не заработало. По сути сейчас есть белый wan и шлюз для wan с маршрутом 0.0.0.0/0 в него, есть bridgelan с подсетью белых ip и настроенным на бридж одним адресом, все машины за микротиком используют микротик как шлюз, и в итоге ничего не работает!

[Vlad-2]

Я изначально тоже так думал, но когда сделал по такому варианту, то ничего не заработало. По сути сейчас есть белый wan и шлюз для wan с маршрутом 0.0.0.0/0 в него, есть bridgelan с подсетью белых ip и настроенным на бридж одним адресом, все машины за микротиком используют микротик как шлюз, и в итоге ничего не работает!

1) ну покажите трасерт, посмотрите куда и как идут пакеты
2) отследите утилитой ТОРЧ где пакеты проходят.
3) что с настройками файрвола, с правилами НАТ
4) снаружи (с телефона через симку) если сделать трасерт до IP из вашей сетки,то как будет идти?
5) провайдер подтвердил со своей стороны что он маршрутизацию сделал?

[electro777]

Провайдер подтвердил настройки со своей стороны. Микротик полностью голый, правил нет, nat правил тоже нет. Все пакеты отследил, на интерфейс все приходит, а дальше тишина. Объединяю оба порта в бридж все начинает работать, но половина страниц не открывается и т.д, хотя пинги идут. В чем проблема пока вообще понять не могу

[Vlad-2]

1) какие именно Вы порты в бридж объединяете? Айпи на бридж навесили?
1.1) самая распространнёная ошибка - установка адресов на интерфейсы без масок. Маску надо писать
сразу после адреса в короткой нотации (/29 или /28)
2) пакет на какой именно интерфейс приходит?
3) трасерт/пинг как снаружи (через телефон, главное не с этого же подключения) и с компа на котором
установлен адрес внешний - тоже сделать до ya.ru например трасерт/пинг ?
4) если с самого микротика делать трасерты/пинги, но как с внешнего так и с внутреннего айпи ?
5) если микротик чистый, давайте конфиг.....:)