X адресов на внешнем интерфейсе

KARaS'b · 20 янв 2017, 21:19

Други, хотелось бы прояснить ситуацию, по мотивам темы http://forummikrotik.ru/viewtopic.php?f=15&t=7323(не стал там "гадить" :hi_hi_hi:

), если я ее правильно понял.
А если не правильно понял, то описание ситуевины, дано:
1) Один микрот в качестве GW.
2) 2 (и более) адреса на одном внешнем интерфейсе.
3) 2 (и более) сервера, которые должны откликаться на разные адреса при внешних обращениях к ним.
4) В нат правиле просто указан аут интерфейс. (допустим add action=masquerade chain=srcnat out-interface=ether1)
Допустим на обоих серверах какие-то сайты и нас интересует обращение к серверам по 80 порту.
Правильно ли я понимаю, что все что нам надо, это сделать пробросы в которых мы просто явно указываем нужный внешний адрес, порт и нужный внутренний адрес и все будет хорошо?
Т.е. допустим у нас есть два внешних адреса 1.1.1.1 с которого идет проброс на внутренний 192.168.0.1 и 2.2.2.2 с которого идет проброс на внутренний 192.168.0.2 и вот мы обращаемся к 1.1.1.1 и нам всегда и 100% ответит 192.168.0.1 и с адреса 1.1.1.1? Или я не прав и 192.168.0.1 может ответить и с 2.2.2.2?
Звеняйте за нубский вопрос, просто тему прочитал и стало интересно, а попробовать неначем :ny_tik:

DmNuts · 21 янв 2017, 10:28

Схему ещё не проверял, но сразу приходит в голову:
Когда на внешнем интерфейсе статика, IP и gateway не меняются, в NAT правиле лучше использовать action=src-nat и явно указать внешний IP.

21 янв 2017, 15:32

KARaS'b писал(а):Правильно ли я понимаю, что все что нам надо, это сделать пробросы в которых мы просто явно указываем нужный внешний адрес, порт и нужный внутренний адрес и все будет хорошо?
Т.е. допустим у нас есть два внешних адреса 1.1.1.1 с которого идет проброс на внутренний 192.168.0.1 и 2.2.2.2 с которого идет проброс на внутренний 192.168.0.2 и вот мы обращаемся к 1.1.1.1 и нам всегда и 100% ответит 192.168.0.1 и с адреса 1.1.1.1? Или я не прав и 192.168.0.1 может ответить и с 2.2.2.2?
Звеняйте за нубский вопрос, просто тему прочитал и стало интересно, а попробовать неначем

Вопрос с виду кажется нубский, а как говориться, дьявол кроется в мелочах, так и тут, в любом случаи я думаю Вы правы,
единственно что со своей стороны укажу лишь некоторые нюансы:
В вашем примере 192.168.0.1 и 0.2 - всё же должны быть разные машины, а не одна машина с двумя адресами, а то бывают глюки.
Ну и чтобы мои слова были в целом не многословны, примерно то что Вы озвучили в вопросе.

А именно то что Вы озвучили, у меня работает так на торрентах, а именно:
а) взят один порт(один и тот же) и сделаны 2 группы правила (каждая группа это соответственно ТСП и УДП)
б) первая группа - кроме проброса,(привязка к провайдеру №1) внутри правил я применил адрес-лист и в него привязал адресацию локальную провайдера через которую получаю хороший локальный траф + защита от внешнего трафика, то есть на этот порт и только на этот мой адреса ко мне могут подключиться клиенты этого провайдера в локальной адресации (безлимита нету на данному подключении поэтому и так ограничиваю жестко эти правила)
в) вторая группа - теже самые пробросы, но уже привязаны к провайдеру №2 (он у меня как дефолт идёт + безлимит) + нет привязки к адрес-листу, то есть через данные пробросы уже может мой торрент качать/отдавать всем желающим.
первая группа (привязанная к локальной сети прова стоит выше, чтобы она быстрее срабатывала, да и в рамках 100мбит всегда быстрее,чем по безлимиту 5-10мбит)
Вот как то так, вроде отрабатывается как надо.
(если условия были иные, не обессудьте)

P.S.
На работе делали ещё так: брали айпи белый, вешали на порт, и уже делали проброс в котором указывали этот айпи, порт и куда пробрасывать,
делали давно, но тоже красиво и как надо отработало правило.

algerka · 22 янв 2017, 11:13

KARaS'b писал(а):Правильно ли я понимаю, что все что нам надо, это сделать пробросы в которых мы просто явно указываем нужный внешний адрес, порт и нужный внутренний адрес и все будет хорошо?
Т.е. допустим у нас есть два внешних адреса 1.1.1.1 с которого идет проброс на внутренний 192.168.0.1 и 2.2.2.2 с которого идет проброс на внутренний 192.168.0.2 и вот мы обращаемся к 1.1.1.1 и нам всегда и 100% ответит 192.168.0.1 и с адреса 1.1.1.1? Или я не прав и 192.168.0.1 может ответить и с 2.2.2.2?
Звеняйте за нубский вопрос, просто тему прочитал и стало интересно, а попробовать неначем

Корректно работать не будет. Надо явно указывать с какого внешнего адреса отправлять ответ. В вашем примере это еще два разных шлюза, соответственно, в зависимости от настроек, ответ будет от первого провайдера или попеременно, если два шлюза в одном маршруте по умолчанию.

KARaS'b · 22 янв 2017, 13:40

algerka писал(а):Корректно работать не будет. Надо явно указывать с какого внешнего адреса отправлять ответ. В вашем примере это еще два разных шлюза, соответственно...

Шлюз один, просто провайдер выдал пул адресов и все они вывешены на wan. В правилах проброса внешние адреса указаны явно.

KARaS'b · 22 янв 2017, 13:44

Vlad-2 писал(а):P.S.
На работе делали ещё так: брали айпи белый, вешали на порт, и уже делали проброс в котором указывали этот айпи, порт и куда пробрасывать,
делали давно, но тоже красиво и как надо отработало правило.

Вот все тоже, только без указания порта, если мы говорим про физический порт, аля ether1, т.к wan один. Просто, как это вижу я, при обращении к тому или иному ресурсу, создается же соединение, так? И вроде в рамках этого соединения внутренний сервер ну ни как не сможет ответить с другого адреса. Но как уже сказал, не на чем потестить, потому и решил поинтересоваться, тем более, что как мне кажется, задача распространенная и наверняка много кто сталкивался.

algerka · 22 янв 2017, 15:27

KARaS'b писал(а):Шлюз один, просто провайдер выдал пул адресов и все они вывешены на wan.

Те адреса что вы указали не могут быть с одним шлюзом. Если адреса выбраны в качестве примера, то не удачно.

KARaS'b писал(а): В правилах проброса внешние адреса указаны явно.

Или мы говорим о разных вещах или в вашей задаче об этом не слова.
Вы описали только dst-nat c внешнего на внутренний, а этого мало !

KARaS'b · 22 янв 2017, 17:35

algerka писал(а):Те адреса что вы указали не могут быть с одним шлюзом. Если адреса выбраны в качестве примера, то не удачно.

Хорошо, специально для вас, внешние адреса 1.1.1.1 и 1.1.1.2, провайдер при этом один, шлюз так же один, если вам так нравится придираться и разводить пустой треп, не относящийся к вопросу.

algerka писал(а):Или мы говорим о разных вещах или в вашей задаче об этом не слова.
Вы описали только dst-nat c внешнего на внутренний, а этого мало !

Я даже не знаю как тут вам ответить без мата, чесслово... Будьте так любезны, прекратите флуд, если у вас нет ответа, или вы решили козырнуть каким-то знаниями, но потом, то я пожалуй подожду помощи от более адекватных форумчан, а вам говорю спасибо и до свидания.

22 янв 2017, 20:38

Так, ребятки. Брэк!
Не стоит из-за чего бы то ни было нагнетать. Никак. Давайте мерятся чем-нить другим.
Вот я например четвертый день на сервак почту ставлю и сношу сразу же, так как не выходит каменный цветок. Уж всю башку сломал, скоро спать перестану. Вот это проблема, так проблема. Потому как невыспаный я противный до нельзя. :-)

algerka · 23 янв 2017, 09:43

KARaS'b писал(а):Я даже не знаю как тут вам ответить без мата, чесслово...

Я обратил внимание,что приведенный вами пример ip адресов не некорректен, а вы в ответ хамите. Вы уж определитесь, вам нужна помощь или хвалебные оды.

Ps: позиция администраторов форума и модераторов огорчает.

X адресов на внешнем интерфейсе

Вход • Регистрация