Проброс белых адресов с сервисами во внешку

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Nithberg
Сообщения: 3
Зарегистрирован: 18 сен 2019, 11:13

Уважаемые камрады, помогите нубу нубскому ламеру ламовскому:)
Оборудование: MikroTik CRS125-24G-1S-RM
Имеется: 1 порт wan - статика
2-24 lan - объединены в bridge1
Далее настроили интернет статику
адрес лист скажем 71.*.*.18/30
маршрут - 0.0.0.0/0 - шлюз 71.*.*.17
адрес лист лан 192.168.1.249/16
днс заданны, по нат инет идет, все хорошо интернет все получают все рады

казалось бы что еще нужно для счастья?
Ан нет:( отсюда и начинается нубство, есть веб сервера, сервисы, для этого всего дела есть пул белых адресов скажем 71.*.*.168-175/29 (ставил интерфейс wan 1 порт)
Вопрос как веб мордочку сделать доступной в интернет и чтобы заходили на сайт из внешки, объединить wan и lan в одном бридже не вариант.
Курение манов гугла формув с похожей задачей результатов не дало (руки кривые не спорю), бьюсь головой, уже разбил почти))
Из проделанного была попытка добавить в адрес лист все адреса с 71.*.*.168-71.*.*.175
прокинуть это барохло в нат через нетмап, но и это результата не дало, наверное я безнадежен:)

Прошу сильно не злиться на нуба, опыта совсем нет, подсказкам буду рад.
Спасибо, камрады!


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Вот буквально только что была аналогичная тема на офф. форуме, там много вариантов того, как можно в итоге сделать, в зависимости от того, готовы ли вы смириться с естественной потерей нескольких адресов на network/gateway/broadcast или нет:

https://forum.mikrotik.com/viewtopic.php?f=13&t=152089


Telegram: @thexvo
Nithberg
Сообщения: 3
Зарегистрирован: 18 сен 2019, 11:13

xvo писал(а): 18 сен 2019, 11:52 Вот буквально только что была аналогичная тема на офф. форуме, там много вариантов того, как можно в итоге сделать, в зависимости от того, готовы ли вы смириться с естественной потерей нескольких адресов на network/gateway/broadcast или нет:

https://forum.mikrotik.com/viewtopic.php?f=13&t=152089
Спасибо, но понял в очередной раз что я бестолковый:)

То есть скажем из этого пула забираем 1 адрес на шлюз 71.*.*.169, далее статику интернета 71.*.*.18 перенаправляем на 71.*.*.169, и дальше уже раскидываем его по ресурсам которым нужно смотреть в мир


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Nithberg писал(а): 18 сен 2019, 12:52 То есть скажем из этого пула забираем 1 адрес на шлюз 71.*.*.169, далее статику интернета 71.*.*.18 перенаправляем на 71.*.*.169, и дальше уже раскидываем его по ресурсам которым нужно смотреть в мир
Не надо ничего никуда перенаправлять.
Вы просто назначаете .169 на какой-то внутренний интерфейс роутера (порт, бридж, что угодно) и к этому интерфейсу подключаете свои ресурсы. В этом случае у вас будет 5 адресов, остальные три тратятся на роутер, адрес подсети и броадкаст, то есть впустую. :)
И в посте как раз описаны несколько вариантов, как использовать все 8, если оно вдруг надо.


Telegram: @thexvo
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) уточните у провайдера нюанс:
а) Вам дали сетку /29 полную и для маршрутизации Вам надо один адрес
использовать какой-то уже на своём роутере (то есть через роутер маршрутизировать),
ИЛИ
б) Вам дали сетку /29 и уже какой-то адрес из этой сети есть на стороне провайдера и занят?
Разные схемы подключения бывают, надо всё уточнять, что куда и как.

Ну а потом логика проста:

2) берёте и создаёте бридж, скажем bridge0-WAN
3) помещаете в бридж этот порт1 и порт2,
3.1) Ваш текущий IP 71.*.*.18/30 с порта1 перемещаете на этот бридж.
3.2) если в правилах НАТ было где-то явно указан интерфейс (порт1) надо поправить и поставить бридж (bridge0-WAN)
3.3) после того как узнаете у провайдера нужен айпи или не нужен, то задаёте айпи на этом же бридже из пула сети /29 (если он нужен),
а если не нужен, то ничего не делаете и значит, что какой-то адрес из пула будет уже занят самим провайдером для маршрутизации.

4) в порт2 подключаете отдельный свитч, и уже в него подключаете сервера.
4.1) если нет свитча, тогда можете в бридж bridge0-WAN засунуть те порты,
которые будут использоваться для подключения только серверов.

5) на сервере(ах) задаёте руками адрес из пула /29 указывая шлюз из пула
(который будет либо у Вас на роутер, или на стороне провайдера).

Всё.

Внимание:
а) все действия производить локально у роутера
б) при добавлении портов в бридж, создании бриджа -
сессия с роутером может прерваться, не пугаться и перезайти.
в) может не работать Интернет (какое-то время или пока не поправите конфигурацию)
г) не бояться, думать, анализировать. И сохранять спокойствие.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Vlad-2 писал(а): 18 сен 2019, 15:08 1) уточните у провайдера нюанс:
а) Вам дали сетку /29 полную и для маршрутизации Вам надо один адрес
использовать какой-то уже на своём роутере (то есть через роутер маршрутизировать),
ИЛИ
б) Вам дали сетку /29 и уже какой-то адрес из этой сети есть на стороне провайдера и занят?
Разные схемы подключения бывают, надо всё уточнять, что куда и как.

Ну а потом логика проста:

2) берёте и создаёте бридж, скажем bridge0-WAN
3) помещаете в бридж этот порт1 и порт2,
3.1) Ваш текущий IP 71.*.*.18/30 с порта1 перемещаете на этот бридж.
3.2) если в правилах НАТ было где-то явно указан интерфейс (порт1) надо поправить и поставить бридж (bridge0-WAN)
Вот это вот все 2) - 3.2) нужно было бы, только если вариант б), то есть если провайдер не подсеть отдал, а просто несколько адресов из более крупной подсети.
А учитывая, что там отдельный адрес 71.*.*.18/30 есть, то очевидно, что это не тот вариант.


Telegram: @thexvo
Nithberg
Сообщения: 3
Зарегистрирован: 18 сен 2019, 11:13

Уважаемые камрады, значит отчитываюсь о проделанной работе, может кому и пригодится:)
Едем по порядку:
1. IP - Addresses
WAN - ether1 - 71.*.*.18/30
WEB - ether2 (задаем для работы пула адресов, но теряем 3 адреса на сеть, шлюз, широковещалку (как подсказал уважаемый XVO - спасибо)) - 71.*.*.170/29
LAN - ether3 - 192.168.1.249/16
2. IP - Routes
Здесь он у нас только один - Gateway 71.*.*.17/30 dstadd 0.0.0.0/0
3. IP - DNS
С этим все ясно пишем то что дал провайдер
4. Bridge
4.1 - Добавляем Bridge, в моем случае bridge1
4.2 - Ports назначаем bridge всем портам с ether2 - ether24
5. IP - Firewall
5.1 - В NAT запилил srcnat - ether1 - masquerade
5.2 - В NAT запили srcnat - bridge1 - masquerade

И о чудо, все заработало! :ya_hoo_oo:
Ну и правила фаервола это уже описывать не буду, там кому что.
Спасибо, друзья, за рекомендации, XVO, Vlad-2, мужики, человеческий респект вам! :co_ol:


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Nithberg писал(а): 21 сен 2019, 13:57 WEB - ether2 (задаем для работы пула адресов, но теряем 3 адреса на сеть, шлюз, широковещалку (как подсказал уважаемый XVO - спасибо)) - 71.*.*.170/29
Не за что.
Кстати, эти три "потерянных" адреса все-таки можно использовать, хоть и с небольшим ограничением.
Настройте для них dst-nat при обращении снаружи - и вуаля :)


Telegram: @thexvo
Ответить