ВОпрос по NAT

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
somewell
Сообщения: 10
Зарегистрирован: 31 июл 2018, 16:42

Всем доброго времени суток!
Не получается настроить NAT

имеется пограничник 1016 - ip 100.100.100.194(interface=2325)
от провайдера получаю 100.100.100.192/28
за ним стоит программный роутер(carbon) его ip 192.168.102.1, за ним PPPoE
отдному из клиентов выдал белый ip (100.100.100.205) - Инет работает, но в 2ip отображается как 100.100.100.194

до до того как выдал белый ip, NAT
chain=srcnat action=masquerade out-interface=2325 log=no log-prefix=""

после того как выдал белый ip
пробывал вот такой
chain=srcnat action=src-nat to-addresses=100.100.100.194/28 src-address-list=!public-addr out-interface=2325 log=no log-prefix=""

подскажите в чем ошибаюсь??

Заранее спасибо!


Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Дать клиенту адрес и чтобы он работал = мало, надо адрес про-маршрутизировать.
Схему привели, но а как же с инженерным подходом и анализом?

1) Трассировка с компа 100.100.100.205 - как идёт ?
1.1) берите скажем IP яндекса или теже 8.8.8.8, запускайте трассировку и смотрите
2) Если Вы хотите чтобы компьютер работал с реальным адресом, значит его вообще НАТить нельзя,
значит Вы на основном роутере должны убрать НАТ для этого адреса точно (вернее он не должен
срабатывать, но я пишу обобщённо)
3) ну и промежуточный-программный роутер = он должен быть как "труба" для данного клиента.
Поэтому я и прошу Вас сделать трассерт и посмотреть как всё это работает.

Главная задача Ваша:
с компа 100.100.100.205 свободно без изменения заголовков дойти до основного роутера,
и уйти дальше на провайдера, тоже без сменя/подмены заголовкой.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
somewell
Сообщения: 10
Зарегистрирован: 31 июл 2018, 16:42

трасировка до ya.ru
1 1 ms 1 ms 1 ms 192.168.1.1
2 2 ms 2 ms 1 ms 10.128.0.1 - програмный роутер
3 2 ms 3 ms 3 ms 192.168.102.2
4 36 ms 4 ms 4 ms 100.100.100.193 - шлюз провайдера
5 34 ms 35 ms 34 ms 10.222.23.57
6 * * * Превышен интервал ожидания для запроса.
7 33 ms 38 ms 34 ms 10.222.36.78
8 34 ms 34 ms 34 ms 10.222.36.133
9 33 ms 33 ms 33 ms 83.169.204.131
10 43 ms 54 ms 45 ms 83.149.16.202
11 40 ms 40 ms 40 ms 87.250.250.242

разве правило
chain=srcnat action=src-nat to-addresses=100.100.100.194/28 src-address-list=!public-addr out-interface=2325 log=no log-prefix=""

не говорит от том что натить все кроме пула 100.100.100.192/28??
или я не понимаю смысл данного правила?


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

PPPoE - туннельный протокол.
На клиенте поднимается виртуальный интерфейс, котороый сквозь всю вашу инфраструктуру пробрасывается туннельным PPP. И только на уровне PPPoE сервера (у оператора) туннель терминируется на белый IP адрес.

Вам ничего пробрасывать не нужно, и в вашем правиле исключение никогда не заработает, т.к. на этапе вашего микротика этого адреса еще нет.

Проблема, я подозреваю, в другом.

Кроме виртуального PPPoE интерфейса у компьютера есть и сетевой адаптер, на который назначен IP адрес, с которого в том числе имеется и подключение к интернету, через нат на 100.100.100.194.
Он работает, он и отображается.

Разберитесь с маршрутами на клиенте.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Erik_U прав, надо разобраться с маршрутами.

Да и трассировка, сразу первый хоп = 192.168.1.1
по схеме я его не вижу. ЧТо за узел.

Либо Вы даёте отдельную сеть для клиентов РРРоЕ и уже на самом роутере
её НАТите (не совсем то, что Вы хотели), или доводите так, чтобы РРРоЕ клиенты
терминировались (подключались) уже к Вашему основному роутеру.

Ооо, 3й вариант, подсетка реальных адресов, выведите её в виде вилана,
отдайте на программный роутер и там её затерминируйте.
То есть програмный роутер будет у Вас шлюзом для РРРоЕ клиентов с реальными адресами.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
somewell
Сообщения: 10
Зарегистрирован: 31 июл 2018, 16:42

из сети 10.100.20.0/24 вижу адрес 100.100.100.205

т.е роутер 192.168.102.1 - прозрачен для данного адреса, как я понимаю.


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Изображение

роутер 192.168.102.1 ничего не знает про IP 100.100.100.205.
Он считает, что этот адрес где-то в интернете.


somewell
Сообщения: 10
Зарегистрирован: 31 июл 2018, 16:42

Изображение


PPPoE крутится на нижнем роутере


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

не верю.

:)

Если PPPoE сервер на 102.1, то либо он натится на 102.2, либо маршрутизируется до белоадресного интернета через 192.168.х.х сетку, что невозможно в принципе.


somewell
Сообщения: 10
Зарегистрирован: 31 июл 2018, 16:42

1. 1016
11 A S 100.100.100.205/32 192.168.102.1 1

2 carbon
route
100.100.100.205 * 255.255.255.255 UH 0 0 0 ppp346
ip route
100.100.100.205 dev ppp346 proto kernel scope link src 10.128.0.1


вот такие маршруты на железках


Ответить