Russian Users MikroTik | Форум пользователей MikroTik

Доброго времени суток всем!
Опыта конфигурирования Mikrotik пока маловато, поэтому прошу помощи у опытных гуру.
На ether1 нетегированный аплинк от провайдера, на нём три IP. Все остальные порты в bridge1.
Надо чтоб нетегированным трафиком с бриджа всё натилось на первый провайдерский IP, а второй и третий IP пробросить в тот-же бридж в VLAN-10 и VLAN-20.
Поиском решения не нашёл. Подскажите, пожалуйста, или ткните носом в подобную задачу.

Уточняю задачу: два VLAN на бридж добавил. На ether1 прописал 3 провайдерских IP. NAT настроил. Всё работает, но через один провайдерский IP. Как сделать чтоб с VLAN-10 трафик шёл через второй адрес, а с VLAN-20 через третий?

Dima_polis писал(а): ↑13 фев 2019, 09:35 Уточняю задачу: два VLAN на бридж добавил. На ether1 прописал 3 провайдерских IP. NAT настроил. Всё работает, но через один провайдерский IP. Как сделать чтоб с VLAN-10 трафик шёл через второй адрес, а с VLAN-20 через третий?

Уточнили, но плохо.
1) у Виланов 20 и 10 = сети есть? Мы же о маршрутизации говорим?
2) если есть виланы, то сети разные точно (ну всяком случаи должны быть)
3) На вилан-интерфейсах адресация стоит (IP я имею ввиду) ?

Ну и хотелось бы деталей, бридж , что за бридж? Какие порты, какие адреса?
Маленькую схемку, от руки и скриншот бы....

1) Сети есть: на бридже нетегированная 192.168.0.0/24, на этом же бридже VLAN-10 - 192.168.2.0/24 и VLAN-20 - 192.168.3.0/24
2) ether1 - аплинк к провайдеру, все остальные порты в бридже. В sfp1 воткнут гибридный порт коммутатора SNR с теми-же виланами, который отправляет тегированный трафик на выбранные на нём порты.
3) Соответственно адреса на сетях 192.168.0.10 - для нетегированного, VLAN-10 - 192.168.2.10 и VLAN-20 - 192.168.3.10
на ether1 прописано три адреса от провайдера: условно 1.1.1.2, 1.1.1.3, 1.1.1.4 и общий шлюз 1.1.1.1
сейчас весь трафик (и нетегированный и с обоих виланов) идёт через 1.1.1.2, а хочу чтоб с VLAN-10 шёл через 1.1.1.3, а с VLAN-20 через 1.1.1.4

Если я правильно все понял, то всеми своими замысловатыми словами топикстартер хотел сказать, что за его микротом есть 3 сети и каждую из них он хочет выпускать в мир со своего адреса и для всех трех сетей микрот является шлюзом. Если это действительно так, если при этом шлюз для всех 3х адресов один и тот же, то никаких вланов прокидываний и прочих сложностей не нужно. Достаточно повесить эти адреса на внеш. интерфейс микротика и написать три отдельных правила маскарада, где будет указано что сеть такая-то выходит с адреса такого-то и будет все так, как хочет топикстартер.

Дополню:

а) если виланы уже есть, уже работают, и они нужны = то пусть будут
б) если внешние адреса работают через один шлюз, то это вообще просто и даже очень хорошо.
в) так как микротик и виланы-на-микротике(интерфейсы) имеет адресацию, то задача простая,
странно что Вы не сделали.

Вы должны создать как правильно сказали - 3 разных правила маскарада, но правила должны быть
точными, так как интерфейс у Вас один, а нам надо разделять и властвовать, Вы должны
в каждом правиле описывать:
а) что если пришла сеть А, то выпускать её явно через 1.1.1.1 и интерфейс eher1 (то есть Вам надо SRC-NAT использовать)
б) если пришла сеть Б , то выпускать от адреса 2.2.2.2 и через ether1
в) ну и так далее...
то есть в каждом правиле будет два значения которые меняются, это кого выпускать и через что (адрес внешний).

Где-то такая тема с полгода назад пробегала, там человек делал на маркировках, я показывал пример,
что в рамках одной сети и с одним шлюзом, можно всё проще, ставится второй, третий адрес на роутере (как у Вас),
и уже руками комбинируем, или потом, можно сделать через адрес-листы, и уже гибче
направлять тот или иной отдельный комп в тот или иной внешний адрес.

Всё, спасибо, разобрался!!!
Action: src-nat
To Addresses: 1.1.1.3

Ну хотя бы чуть-чуть погуглили, для вида хотя бы...
Оф. вики:

Source nat to specific address
If you have multiple public IP addresses, source nat can be changed to specific IP, for example, one local subnet can be hidden behind first IP and second local subnet is masqueraded behind second IP.

/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 action=src-nat to-addresses=1.1.1.1 out-interface=Public
add chain=srcnat src-address=192.168.2.0/24 action=src-nat to-addresses=1.1.1.2 out-interface=Public