Провайдер выделил /29 и отдельный IP для маршрутизации

Обсуждение ПО и его настройки
Alexgmail
Сообщения: 12
Зарегистрирован: 05 фев 2018, 08:03

Hi, All!
Увы, я не являюсь сетевым инженером. И не имею такого опыта. Но опыт в настройке микротик есть.
Помогите понять - как пойдет трафик, если у меня от провайдера в отдельный Mikrotik 2011. 2011UiAS-2HnD сейчас 6.41.1
Что для меня просто: провайдер выдал нам сетку IP (условно, разумеется имеются в виду настоящие маршрутизируемые белые статические IP) 22.22.22.128/29 _но_ я также должен обеспечить маршрутизацию и дал мне IP 3.3.3.133/24 (я не разу не работал ни в одном телекоме, и для меня "объявление маршрута", "обратная маршрутизация" и прочие - увы только теория)
Конечно оно работает, если сделать вот так:
Ether1 - 22.22.22.129/29
Ether10 - 3.3.3.133/24
сама создается таблица и "всё работает"
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 3.3.3.1 1
1 ADC 3.3.3.0/24 3.3.3.133 ether10 0
2 ADC 22.22.22.128/29 22.22.22.129 bridge-local (создавалась конфа на прошивке еще с Master портами) 0

Разумеется работает если в бридж прибегают пакеты с клиентов 22.22.22.130-134. Только это лаборатория, а не реальная жизнь.
Как включить NAT и чтобы клиенты из серой 192.168.0.0/24 сети ходили через маскарадинг используя шлюз 192.168.0.1
Линк от провайдера один, приходит как мы видим в 10 порт Mikrotika. Где создавать интерфейс для IP 3.3.3.133 ?
Если ты О. великий All! укажешь мне путь, я найду истину! Подай мне знак :-ok-:
PS - купил курс (2 курса) микротик и начал учиться. Но работу никто не останавливает.Работай!


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ничего не понял, а в чем проблемма то? Ну навешайте в src-nat нужный вам адрес для нужной вас сети и все.


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Alexgmail писал(а):Hi, All!

Приветствую, Вы мой клиент для ушей, присаживайтесь, хоть на Вас приятно оторвусь.
(напугал?) :-)
Alexgmail писал(а):Увы, я не являюсь сетевым инженером. И не имею такого опыта. Но опыт в настройке микротик есть.

Это отчасти радует.
Alexgmail писал(а):Помогите понять - как пойдет трафик, если у меня от провайдера в отдельный Mikrotik 2011. 2011UiAS-2HnD сейчас 6.41.1

Ответьте мне на главный вопрос: зачем Вы или Ваша организация запросила отдельную внешнюю сетку ?
Зачем? У Вас есть сервисы/сервера ?
Alexgmail писал(а):Что для меня просто: провайдер выдал нам сетку IP (условно, разумеется имеются в виду настоящие маршрутизируемые белые статические IP) 22.22.22.128/29 _но_ я также должен обеспечить маршрутизацию и дал мне IP 3.3.3.133/24 (я не разу не работал ни в одном телекоме, и для меня "объявление маршрута", "обратная маршрутизация" и прочие - увы только теория)
Конечно оно работает, если сделать вот так:
Ether1 - 22.22.22.129/29
Ether10 - 3.3.3.133/24
сама создается таблица и "всё работает"
Разумеется работает если в бридж прибегают пакеты с клиентов 22.22.22.130-134. Только это лаборатория, а не реальная жизнь.

То есть 130-134 это компы? В Глобале?
Alexgmail писал(а):Как включить NAT и чтобы клиенты из серой 192.168.0.0/24 сети ходили через маскарадинг используя шлюз 192.168.0.1

Просто:
но надо подготовить поле, чтобы я понимал и чтобы Вы понимали:
Теория:
1) 3.3.3.133/24 - адрес Ваш внешний для работы с провайдером, его надо иметь ввиду, и его можно использовать
для разных вещей, но мой совет - его надо воспринимать как шлюзовой-промежуточный (объясняюсь по простому)
2) второй внешний адрес это адрес из вашей сети взятой, это 22.22.22.128/29, вот её и будем основательно использовать
как внешний и основной. Ибо в пункте 1-ом провайдер в любой момент может промежуточный адрес забрать/поменять,
а уже Вашу сеть чтобы её отозвать/сменить уже процедура будет сложнее. Да и так правильнее, ибо всё равно
адрес 22.22.22.128/29 будет на микротике, его юзать и надо.
3) и третьей частью будет наша уже локальная сеть. Ваша 192.168.0.0/24. Обычная сеть, её будем выпускать в Интернет
через Ваш 22.22.22.128/29 адрес (НАТИТЬ). И они будут в интернете.
Alexgmail писал(а):Линк от провайдера один, приходит как мы видим в 10 порт Mikrotika. Где создавать интерфейс для IP 3.3.3.133 ?

Меня опять скорее всего один завсегдатый точно поправит снова, но советую так сделать и так это проще для начинающих:
часть 1:
а) создаёте bridge0-LAN-Grey и даёте ему адрес 192.168.0.1/24
б) создаёте bridge1-WAN и даёте адрес 22.22.22.128/29
в) на порту 10м оставляете адрес 3.3.3.133 и оставляете шлюз на 3.3.3.1
часть 2:
теперь после создания бриджей, надо в них засунуть порты и чтобы это сделать надо понимать что
куда будет подключено.
а) в bridge0-LAN-Grey предлагаю засунуть с 1 по 5й порты, в РБ2011 они гигабитные, локалка должна быть
на гигабите сидеть.
б) во второй бридж (это - bridge1-WAN) где будет "бегать" Ваша арендованая сетка - надо засунуть скажем
порт 6, и 7 (пусть будут два порта, туда будете подключать компы с адресами 22.22.22.130-134 и проверять/тестировать)
что они видять 22.22.22.128 и видят и глобал
часть 3:
НАТ - надо разрешить только сети 192.168.0.0/24 натиться через бридж bridge1-WAN
тогда клиенты с 192.168.0.0/24 будут прятаться за адрес 22.22.22.128 и если
дальше провайдер и у Вас всё настроено - увидите в трассировке 3.3.3.1 и потом
всё остальное.
НАТить компы 22.22.22.130-134 надеюсь итак понятно что НЕ-НУЖНО!!!! Они работают
с реальными адресами и у них будет чистая маршрутизация.
Вот и всё.
Alexgmail писал(а):Если ты О. великий All! укажешь мне путь, я найду истину! Подай мне знак :-ok-:

Прочитать два раза, попытаться понять, на бумажке всё сделать/начертить, проверить и меня, я мог
где-то адресацию не так скопировать, но по словам моим скорректируете. И уже потом делать.
Alexgmail писал(а):PS - купил курс (2 курса) микротик и начал учиться. Но работу никто не останавливает.Работай!

Без знания сетей основ и прочего, и создания простейшей маршрутизации - сразу два курса бесполезны.
Надо руку набить..понять...и уже в бой.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Alexgmail
Сообщения: 12
Зарегистрирован: 05 фев 2018, 08:03

"Меня опять скорее всего один завсегдатый точно поправит снова" Правильнее (рассово) в таблице mangle помечать пакеты (именно пакеты, а не соеденения!) и делать роутинг на routing-mark ? Вы про это?
Если вы прочитаете мой пост, то увидете один вопрос - Где создавать интерфейс для IP 3.3.3.133 ?
Если чувак спрашивате - как же ему сделать маскарадинг, потому что не понимает - ведь маршрутизация нужна между 22.22.22.128/29 <-> 3.3.3.133 видит разницу между Ethernet и IP что то понимает в маршрутизации и смотрит на неё не только как потребитель, но и со стороны провайдера... Говорит что настроил много микротиков? Впервые, тем не менее, столкнулся с тем, что должен настроить не только свою сетку но и подскок к ней... Ну если он не телеком, то... кто же он такой. Может он сисадмин?
Руку набил понял В бой!
Зачем всё это... задача намного сложнее, чем я описал. Но наружу я никакие компы - сервисы выставлять не планирую. Я просто затупил, как сука сделать маршрутизацию если у тебя есть 1 линк, а нужно 2 интерфейса 22.22.22.128/29 <-> 3.3.3.133 и еще один бридж для LAN (серого, немаршрутизируемого)
А задача намного сложнее но всю сразу неправильно спрашивать. На текущем этапе я хочу маскарадинг.... знаете, был такой лет 30 назад.... 1:1 Маскарадинг - это не NAT..


Alexgmail
Сообщения: 12
Зарегистрирован: 05 фев 2018, 08:03

Пошел в 7-Eleven за пивом


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Alexgmail писал(а):"
Меня опять скорее всего один завсегдатый точно поправит снова" Правильнее (рассово) в таблице mangle помечать пакеты (именно пакеты, а не соеденения!) и делать роутинг на routing-mark ? Вы про это?

Нет, не про это, и это фраза была заранее для другого человека написана.
Alexgmail писал(а):"
Если вы прочитаете мой пост, то увидете один вопрос - Где создавать интерфейс для IP 3.3.3.133 ?

Не формально или формально я ответил, как Вы делали на 10м порту этот адрес устанавливали, так пусть и будет.
Интерфейсы не всегда надо создавать, по Вашим примером, адресация у Вас статическая.
Поэтому если всё так как я вижу, Вы на 10-м порту явно задаёте адрес и в таблице маршрутов указываете шлюз основной.
Ничего более не надо!
Alexgmail писал(а):"
Если чувак спрашивате - как же ему сделать маскарадинг, потому что не понимает - ведь маршрутизация нужна между 22.22.22.128/29 <-> 3.3.3.133 видит разницу между Ethernet и IP что то понимает в маршрутизации и смотрит на неё не только как потребитель, но и со стороны провайдера... Говорит что настроил много микротиков? Впервые, тем не менее, столкнулся с тем, что должен настроить не только свою сетку но и подскок к ней... Ну если он не телеком, то... кто же он такой. Может он сисадмин?
Руку набил понял В бой!
Зачем всё это... задача намного сложнее, чем я описал. Но наружу я никакие компы - сервисы выставлять не планирую. Я просто затупил, как сука сделать маршрутизацию если у тебя есть 1 линк, а нужно 2 интерфейса 22.22.22.128/29 <-> 3.3.3.133 и еще один бридж для LAN (серого, немаршрутизируемого)
А задача намного сложнее но всю сразу неправильно спрашивать. На текущем этапе я хочу маскарадинг.... знаете, был такой лет 30 назад.... 1:1 Маскарадинг - это не NAT..

Увы, вышенаписанное не понял по смыслу я никак!!!
и Вы тоже не ответили на мой вопрос, зачем Вам сетка /29.
Дополню, что по такому методу у меня подключены две организации (сетка /29 и в другой /28 и всё это сделано через один стат-адрес + некоторые нюансы)
Всё это работает.

На счёт НАТа и Маскарадинга, для начинающих это одно и тоже, слово НАТ пишется быстрее, как делать НАТ - я описал, если ещё подробно,
то идём в IP-Firewalls закладка NAT и там создаём правило, что если запросы идут с 192.168.0.0/24, выбираем внешний физический интерфейс через
который и будет идти НАТ(маскарадинг)(это может быть и порт №10 и может быть и бридж-wan) и в закладке Action выбираем Маскарадинг(или SRCNAT)
Если у Вас статика, то да, лучше SRCNAT выбрать и явно задать адрес внешний.

Если у Вас сетка своя, зачем Вам система 1:1, хотя и такое можно в микротике. Делается с помощью netmap (там же в файрволе, в закладке НАТ).

Всё.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Alexgmail
Сообщения: 12
Зарегистрирован: 05 фев 2018, 08:03

я вернулся... с вами я согласен и конечно спасибо! Маскарадинг нужен, чтобы 4 компа в сетке представлялись на определенных сайтах вот так... каждый своим IP ну так нужно - начальство сказало "Сделай!" - сисадмин ответил "Есть!". Только сисадмин думал, что пров даст ему /29 и он как нить разрулит... Пров дал еще и промежуточный IP и сказал - "Маршрутизируй сам... давай, расти!"
Вы несомненно помогли, только стало понятно что пора учиться по настоящему - а не решать кейсы.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Alexgmail писал(а):я вернулся... с вами я согласен и конечно спасибо! Маскарадинг нужен, чтобы 4 компа в сетке представлялись на определенных сайтах вот так... каждый своим IP ну так нужно - начальство сказало "Сделай!" - сисадмин ответил "Есть!". Только сисадмин думал, что пров даст ему /29 и он как нить разрулит... Пров дал еще и промежуточный IP и сказал - "Маршрутизируй сам... давай, расти!"
Вы несомненно помогли, только стало понятно что пора учиться по настоящему - а не решать кейсы.

1) я рад что смог помочь
2) да не обращайте Вы на промежуточный 3.3.3.ххх адрес, представьте что таковы условия подключения
3) у Вас своя сетка /29, ставьте на роутер все 4 адреса на интерфейс один и тот же, и уже
в НАТе делайте логику, что если пришёл пакет с 192.168.0.1 то натить через 22.22.22.130 адрес, пришёл пакет от
192.168.0.2 натить уже от 22.22.22.131 и так далее...
То есть тут гибко можно сделать
4) мега-извращённый вариант: подключайте к Вашему микротику другие роутеры (каждый роутер - это будет отдельный
адрес Ваш из сети /29) и уже через отдельный роутер работает отдельный клиент....
5) опасный вариант: ставьте на комп адрес из сети /29, ставьте защиту и всё....комп напрямую будет в интернете, роутер тут будет
как свитч - пропускать трафик только, но при таком подходе сами понимаете, безопасность компьютера с
реальным публичным адресом - на совести админа этого компа.

Вариаций масса, главное найти свой вариант! :co_ol:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Alexgmail
Сообщения: 12
Зарегистрирован: 05 фев 2018, 08:03

пока не взлетает...
В bridge-local ether1 и в нем линк в локалку В bridge_WAN -Ether9 и в его порту ничего нет

# ADDRESS NETWORK INTERFACE
0 192.168.0.1/24 192.168.0.0 bridge-local
1 22.22.22.129/29 22.22.22.128 bridge_WAN
2 D 3.3.3.133/24 3.3.3.0 ether10

chain=srcnat action=masquerade out-interface=bridge_WAN log=no log-prefix=""

Итак - если комп 192.168.0.4/24 со шлюзом 192.168.0.1/24
то от него нормально проходят эхо запросы 22.22.22.129 3.3.3.133/24
на 8.8.8.8 увы нет в мир короче не достучаться....

меняем chain=srcnat action=masquerade log=no log-prefix=""
и пошё наиться трафик.... но через 3.3.3.133/24
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 3.3.3.1 1
1 ADC 3.3.3.0/24 3.3.3.133 ether10 0
2 ADC 22.22.22.128/29 22.22.22.129 bridge_WAN 0
3 ADC 192.168.0.0/24 192.168.0.1 bridge-local 0


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Давайте немного иначе будем делать траблешутинг:

1)
воткните в порт 9 какой то комп и дайте ему адрес из вашей /29, скажем 22.22.22.134,
а шлюзом будет 22.22.22.129 (адрес микротика на бридже bridge_WAN) и проверьте,
работаете Вы с этого компа в глобальном интернете и есть пинги, трасерты.
(также не забудьте проверить, доступны ли локальные ресурсы провайдера, так будет легче понять).
Забегая вперёд, могу грубо предположить, что провайдер адресацию внешнюю Вам дал,
(я о сети /29), но не описал у себя на маршрутизаторе?

1.2)
Попробуйте со смартфона (предварительно поставив какую то утилитку пинга/трасерта)
и будучи покдючённым к сотовому оператору (не у своему ВиФи), сделайте
пинг/трасерт на 22.22.22.129 или 134. Проверьте, знает ли "мир" куда и где их искать?

И кстати, адреса 22.22.22.xxx - это тут они такие, в роутере надеюсь настоящие прописаны?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить