Сервера с реальными IP на одном порту с NAT

Обсуждение ПО и его настройки
Ответить
sergey.ivanovich
Сообщения: 2
Зарегистрирован: 30 янв 2019, 22:38

Здравствуйте уважаемые форумчане, я новичок и первый раз держу микротик в руках. Не могу разобраться со следующей задачей:

Дано:
- провайдер выдает подсеть 195.55.110.0/24 с шлюзом 195.55.110.1 (например)
- есть несколько серверов с реальными IP в нашей подсети, которые подключены к главному свичу (195.55.110.10 и 195.55.110.11)
- к этому же свичу подключен микротик CCR1009-7G-1C-1S+PC с адресом 195.55.110.2 и шлюзом 195.55.110.1 на WAN интерфейсе (combo1)
- остальные порты объединены в бридж (bridge1) к которому подключены пользователи и другие сервера с реальными IP (195.55.110.20 и 195.55.110.21)
- на микротике настроен DHCP и NAT (masquerade) но только для подсети 192.168.0.0/23


К сожалению нет возможности подключить сервера, которые висят на бридже в отдельный порт. Получается что к бриджу подсоединены свичи в которые в свою очередь вперемешку подключены пользователи с серыми IP (192.168.0.0/23) и сервера (195.55.110.*)

Не получается разобраться как сделать так, чтобы сервера, которые подключены к бриджу были доступны из внешнего мира. То есть как бы прозрачно проходили сквозь микротик (извините, не знаю как правильно сформулировать). Возможно нужно добавить какое то правило в фаервол?
Читал что есть возможность присвоить WAN интерфейсу несколько реальных IP, серверам выдать серые адреса и перенаправлять порты с реальных адресов на серые адреса серверов, но хотелось бы чтобы у серверов были именно реальные IP.

Извините если сумбурно, для наглядности прикладываю схему как все подключено.
Заранее спасибо за советы, хорошего дня.

P.S. Подскажите сколько примерно офисных пользователей (браузер, почта) может выдержать такой микротик (CCR1009-7G-1C-1S+PC)

Изображение


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Мда, ну на вскидку

Все кидайте в бридж, дальше галку в настройках бриджа use firewall и настраивайте src-nat для вашей серой сети

Соответственно на микротик вешаете адрес из 192.168.0.0/23 который будет являться шлюзом для серого сегмента. Ну и для приличия еще бы фильтровать трафик в сторону провайдера что бы 192.168.0.0/23 не светилась

адский костыль конечно

Если физически сеть пересобрать не получается то хотя бы управляемые коммутаторы поставьте и ими нарежьте сеть на ВЛАНы


сср1009 тянет от 1 до много юзеров. У меня висит порядка 500 на таком, все от трафика зависит и от того что вы там по накрутите


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) Очень желательно разделять разные сети, вернее отделять внешнее подключение и внутреннее

2) За такое подключение обычно провайдеры очень ругаются. На порту провайдера куча МАКов (не его клиентов)

3) Роутер у Вас хороший, из профессиональной линейки. Жалко что Вы не описали сколько портов задействовали всего
3.1) Выражать сколько пользователей роутер потянет не правильно, есть понятие ресурсов, такой роутер и 500 обычных
компьютеров могут не прокачать, а можно и 2-я компьютерами "положить", поэтому тут надо исходить:
а) каков у Вас канал от провайдера? Есть иные лимиты (время/день/ночь)
б) какова средняя скорость локальной сети (свитчи, сервера, клиенты?)

4) На схеме у Вас свитчи не подписаны, но левый свитч, который соединяет интернет и роутер и ещё два сервера,
его можно убрать? То есть завести два сервера в роутер, и провайдера(кабель) тоже в роутер. Зачем лишняя точка
отказа? А роутер это сможет потянуть.
4.1) Чтобы компьютеры (которые с внешними адресами были между собой видны и работали)
надо на роутере сделать бридж отдельный, скажем bridge-WAN куда поместить порт сомбо (я так понял,
туда интернет будет входить или в принципе он туда сейчас и входит), а в 1,2 порты уже сервера 110.10 и 110.11

5) Вообще возможно вместо второго свитча, который держит сервер3 и сервер4 + локальную сеть = поставить
другой, но обязательно управляемый свитч? Такая сеть, да и организация должна иметь хотя бы 1-2 свитча умных,
или управляемых, с поддержкой VLAN
5.1) Если да (свитч можно заменить), то делаете на роутере вилан (для WAN) сети, и подаёте их на управляемый свитч,
на управляемом свитче вилан встречаете, снимаете тег, и уже отдаёте трафик WAN-овский на те порты свитча,
в которые подключены только сервер3 и сервер4.
Остальная локальная сеть будет работать в обычном режиме, и так и безопасно и так положено.

В любом случаи у Вас из-за такой большой внешней адресации должна быть отдельная сеть,
или сервера должны быть скоммутированы отдельно. Решений (под-решений) тут масса,
но физически объединять так сети = и нельзя, и даже плохой тон.

P.S.
Провайдер у Вас крутой, целую сеть выдал, вот где резвиться и кучу серверов
можно запускать....
:-ok-:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
sergey.ivanovich
Сообщения: 2
Зарегистрирован: 30 янв 2019, 22:38

Большое спасибо за оперативный ответ!
vqd, сделал как Вы посоветовали, магическая галка use firewall сработала и хосты с реальными IP стали доступны. Так же добавил бридж фильтр для аплинк порта запрещающий 67 udp порт, чтобы микротик не раздавал адреса тем кто выше аплинка. Буду дальше читать про фильтрацию трафика.

По поводу сети: сеть не коммерческая а образовательная, денег на управляемые свичи к сожалению нет (с трудом выбили бюджет на этот микротик). Физически сеть пересобрать не получится, это несколько корпусов. На схеме обобщенная ситуация, на самом деле в один из портов микротика запросто может быть подключен каскад из 4х мыльниц и на последней висеть например какая то система видеоконференцсвязи с реальным IP (и подобная ситуация повсеместна). Да к сожалению адский костыль и плохой тон, но на данном этапе я рад что заработало, надеюсь в будущем будут положительные изменения и место для маневра.

Загрузка внешнего канала максимум мегабит 500 в часы пик, сеть везде 100 мб/с, активных пользователей около 300 с небольшим траффиком. Будем поэтапно наращивать нагрузку, паралельно мониторя загрузку ЦПУ и памяти.

Еще раз большое спасибо всем кто отписался,
удачи и всех благ!


Ответить