Разделение трафика по белым IP адресам

Обсуждение ПО и его настройки
Ответить
smy
Сообщения: 8
Зарегистрирован: 06 дек 2017, 19:03

Добрый день.
Есть несколько белых IP адресов на одном порту.
Необходимо, чтобы весь почтовый трафик ходил во вне по IP №1, интернет по IP №2 и т.д. согласно сервисам.
Каким образом я могу это сделать? Если можно то какой-нибудь примитивный пример.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Тема тут поднималась и совсем недавно.

В самом простом случаи и простой совет:
в НАТ правилах явно сделайте "точные" правила.

То есть в правиле НАТ явно укажите, что если пришёл пакет от адреса почтовика,
то его надо НАТить уже от такова интерфейса и от такова внешнего адреса (адрес вписать явно)
Во втором правиле описываете что если пришёл пакет с компа директора, то НАТить уже
от адреса2 внешнего. И так далее......
Эти правила идут первее....а потом.....

Ну и для страховки - внизу после всех уточняющих правил добавить обычное ранее у Вас было
правило, что всех(остальных) нужно натить и указать скажем внешний второй адрес по умолчанию.
Ну или наоборот, остальных вообще не НАТить (не делать доступ в Интернет).

Ну и всё, а потом это можно всё сделать на базе адрес-листов и будет ещё гибче краше и проще.
Но это уже "косметика" конфигурации....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
smy
Сообщения: 8
Зарегистрирован: 06 дек 2017, 19:03

Спасибо, с данной логикой вроде понятно.

А вот как в D-link, например, на физическом интерфейсе создается несколько виртуальных интерфейсов. Например: Wan1, Wan2, Wan3, потом после опрделенных манипуляции с публикацией и маршрутами, можно при создании правил просто указываешь их для нужных сервисов.
Тут такой вариант имеется? Или что-то похожее?


smy
Сообщения: 8
Зарегистрирован: 06 дек 2017, 19:03

Vlad-2 писал(а):Тема тут поднималась и совсем недавно.

В самом простом случаи и простой совет:
в НАТ правилах явно сделайте "точные" правила.

То есть в правиле НАТ явно укажите, что если пришёл пакет от адреса почтовика,
то его надо НАТить уже от такова интерфейса и от такова внешнего адреса (адрес вписать явно)
Во втором правиле описываете что если пришёл пакет с компа директора, то НАТить уже
от адреса2 внешнего. И так далее......
Эти правила идут первее....а потом.....

Ну и для страховки - внизу после всех уточняющих правил добавить обычное ранее у Вас было
правило, что всех(остальных) нужно натить и указать скажем внешний второй адрес по умолчанию.
Ну или наоборот, остальных вообще не НАТить (не делать доступ в Интернет).

Ну и всё, а потом это можно всё сделать на базе адрес-листов и будет ещё гибче краше и проще.
Но это уже "косметика" конфигурации....



Вот такое правило будет верным?


add action=src-nat chain=srcnat src-address=192.168.55.55 (адрес почтового сервера) to-addresses=172.16. 1.1 (конкретный внешний IP) out-interface=ether1_WAN1


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

smy писал(а):Вот такое правило будет верным?
add action=src-nat chain=srcnat src-address=192.168.55.55 (адрес почтового сервера) to-addresses=172.16. 1.1 (конкретный внешний IP) out-interface=ether1_WAN1

В целом правило корректное, главное чтобы адрес (в Вашем примере 172.16.1.1 стоял (был задан) на Вашем ether1_WAN1 интерфейсе).
Ну и данное правило должно быть первее/выше, чем более обобщённое правило НАТа для всех.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

172.16.1.1 HE белый IP.

Reserved IP Addresses for private internet use
10.0.0.0 ------ 10.255.255.255
169.254.0.0 ------ 169.254.255.255 (APIPA only)
172.16.0.0 ------ 172.31.255.255
192.168.0.0 ------ 192.168.255.255


smy
Сообщения: 8
Зарегистрирован: 06 дек 2017, 19:03

Vlad-2 писал(а):
smy писал(а):Вот такое правило будет верным?
add action=src-nat chain=srcnat src-address=192.168.55.55 (адрес почтового сервера) to-addresses=172.16. 1.1 (конкретный внешний IP) out-interface=ether1_WAN1

В целом правило корректное, главное чтобы адрес (в Вашем примере 172.16.1.1 стоял (был задан) на Вашем ether1_WAN1 интерфейсе).
Ну и данное правило должно быть первее/выше, чем более обобщённое правило НАТа для всех.


Спасибо, тему можно закрывать.


smy
Сообщения: 8
Зарегистрирован: 06 дек 2017, 19:03

smy писал(а):
Vlad-2 писал(а):
smy писал(а):Вот такое правило будет верным?
add action=src-nat chain=srcnat src-address=192.168.55.55 (адрес почтового сервера) to-addresses=172.16. 1.1 (конкретный внешний IP) out-interface=ether1_WAN1

В целом правило корректное, главное чтобы адрес (в Вашем примере 172.16.1.1 стоял (был задан) на Вашем ether1_WAN1 интерфейсе).
Ну и данное правило должно быть первее/выше, чем более обобщённое правило НАТа для всех.


Спасибо, тему можно закрывать.

Я поторопился с закрытием темы.
Данное правило работает только при одинаковой стоимости маршрута, ибо провайдера два. За счет стоимости идет переключение трафика.
Т.е. при включенном правиле NAT, как указывал выше, исходящий трафик все равно идет с IP адреса маршрута у которого стоимость ниже.
Или это уже из другой оперы?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

smy писал(а):Я поторопился с закрытием темы.
Данное правило работает только при одинаковой стоимости маршрута, ибо провайдера два. За счет стоимости идет переключение трафика.
Т.е. при включенном правиле NAT, как указывал выше, исходящий трафик все равно идет с IP адреса маршрута у которого стоимость ниже.
Или это уже из другой оперы?

Два адреса на микротике в рамках одного провайдера или два адреса и два провайдера = как бы разница есть.
С учётом двух провайдеров, мне кажется всё проще (даже).
У меня проблем нету при 4-5 каналов, всё работает. Естественно есть свои нюансы и приоритеты.

НАТ делается по двум провайдерам сразу, но правило НАТа будет срабатывать то,
что первее стоит у Вас, или более гибче и правильнее, это явно заворачивать трафик
нужных клиентов в нужного провайдера и через соответственно через НАТ этого провайдера.
То есть у меня НАТы прописаны для всех провайдеров, но если я Васю засунул во второй канал,
он и выйдет (проНАТиться) только через второй канал.

Всё логично, не сложно и обычное дело.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить