2 белых ip в одной подсети, 1 шлюз на одном интерфейсе. Маршрутизация.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Hukuta
Сообщения: 0
Зарегистрирован: 11 окт 2017, 05:13

Добрый день.
Возник следующий вопрос: провайдер дает 2 ip адреса в одной подсети,! с одним шлюзом, !на одном интерфейсе IP 1.1.1.174;1.1.1.175 шлюз 1.1.1.161
Необходимо, что бы с одного локального ip 192.168.10.58 машина выходила в мир через 1.1.1.175

Прописываю второй адрес на тот же интерфейс:
add address=1.1.1.174/27 interface=ether1 network=1.1.1.160
add address=1.1.1.175/27 interface=ether1 network=1.1.1.160

/Красим трафик с нужного IP:
add action=mark-routing chain=prerouting new-routing-mark=3cx1 passthrough=no src-address=192.168.10.58

Добавляю правило NAT:
/при обращение не в локальную сеть, с ip 192.168.10.58, маркированный траффик отправлять на 1.1.1.175
add action=src-nat chain=srcnat dst-address=!192.168.10.0/24 out-interface=ether1 routing-mark=3cx1 src-address=192.168.10.58 to-addresses=1.1.1.175

/входящий траффик на 1.1.1.175 отправлять на локальный ip 192.168.10.58
add action=netmap chain=dstnat dst-address=1.1.1.175 to-addresses=192.168.10.58

/ip route
add distance=1 gateway=1.1.1.161
add distance=1 dst-address=1.1.1.160/27 gateway=ether1 pref-src= 1.1.1.175 scope=10

На сколько понимаю, при выходе с 192.168.10.58 на myip.ru, должен отображаться адрес 1.1.1.175, но при включении всех правли пинг в мир на 192.168.10.58 пропадает.
Что я сделал не так? Что нужно добавить?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Этот вопрос совсем недавно возникал. Я предложил решение, но воспрошающий не ответил, получилось у него или нет.
Я проверить на реально интернете не могу.
Будьте добры, проверьте и отпишитесь.


Вот статья:
2 IP на одном WAN

Данный вопрос возникает на форуме с завидным постоянством, поэтому решил написать небольшую статью и даже для этого собрал небольшой стенд у себя на рабочем столе.

Итак, схема следующая:
Изображение

Простейшие настройки просто опишу без скринов:

1. Удаление текущей конфигурации (если необходимо).
2. Создание бриджа и добавление в него Ether2, Ether3, Ether4.
3. Назначим IP на бридж микротика из диапазона локальной сети. То есть он будет шлюзом для локальной сети.
Изображение

Все как на схеме выше.

4. Назначаем IP адреса на порт WAN, он же Ether1.
Изображение

5. Теперь основной маршрут.
Изображение
Проверяем пинг с Микротика
Изображение


6. Проверяем IP компьютера, как в схеме.
Изображение
Проверям пинг с компьютера до Googla (его естественно быть не должно)
Изображение


6. Начинается самое интересное. Просто маскарадинг нам не подходит.
Нужно, компьютер с IP адресом 192.168.1.19 выпустить в мир с IP адреса WAN 192.168.77.20.

Добавляем правило:
Изображение
Изображение

А теперь можно проверить инет:
Изображение

Вы можете посетить сайт, например, 2ip.ru, где можно проверить ваш IP адрес. В моем случае все сложнее. У меня это четвертый уровень NAT, поэтому я могу проверить только через Torch на вышестоящем микротике.

Обратите внимание, на вышестоящем микротике (192.168.77.1) в таблице ARP появились оба IP адреса, которые WAN для второго микротика.
Изображение

Запущу Torh на адресе 192.168.77.20:
Изображение

и в это же время по другому IP:
Изображение

Переключим в правило SCRNAT на другой IP
Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Hukuta писал(а):Добрый день.
Добавляю правило NAT:
/при обращение не в локальную сеть, с ip 192.168.10.58, маркированный траффик отправлять на 1.1.1.175
add action=src-nat chain=srcnat dst-address=!192.168.10.0/24 out-interface=ether1 routing-mark=3cx1 src-address=192.168.10.58 to-addresses=1.1.1.175

Мне кажется Вы усложнили процесс.

Попробуйте без маркировки, просто явно пронатить адрес локальный через нужный интерфейс и явно через адрес второй-внешний.
(или даже попробуйте сначала более "грубое правило", без интерфейса, нат и от какова адреса)
То есть уберите явную маркировку (признак маркировки).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Hukuta
Сообщения: 0
Зарегистрирован: 11 окт 2017, 05:13

gmx
По сути у меня почти так и настроено. По вашей версии: убрал лишнее в виде mangle, оставил простое правило src_nat. У меня так же, с правилом через первый IP адрес все работает, если менять action src_nat To Adresses на второй IP то пинг наружу пропадает, в локалке есть. Я думаю тут проблема в маршрутах.


Hukuta
Сообщения: 0
Зарегистрирован: 11 окт 2017, 05:13

Vlad-2
Пробовал - не работает(


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Hukuta писал(а):Vlad-2
Пробовал - не работает(

Итак, Основная картина:
Взял соседний реальный адрес, он как и первый на одном интерфейсе, у меня это вилан. Маска и название интерфейса говорит само
за себя. Они (адреса) на одном интерфейсе. Шлюз тоже один. Провайдер даёт обычную статику.

Также в файрволле создал два правила, где выпускаю комп 25-74 наружу, и одно правило - это когда комп идёт во внешку
с адреса 185, и уже второе правило когда выпускаю во внешку уже от 186.
Внизу картинки с примерами и итогами.

НАТ правила у меня не маркируются. Маркируются у меня только каналы.
Такую подстановку я сейчас сделал дома сам, но один раз делал уже и в конторе,
всё работает.

Минус один небольшой есть: я когда сейчас делал переключения, в Коннекшен-таблице
оставались коннекшены, поэтому быстрая проверка тут не канает, либо ждать либо коннекшены руками очищать.
Но задача была показать, что имея второй адрес, можно зарулить трафик отдельной взятой машину, через
второй адрес.

Изображение

----------------
Изображение

Изображение



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Hukuta
Сообщения: 0
Зарегистрирован: 11 окт 2017, 05:13

Всем спасибо. Конфигурация рабочая. Можно трафик и не красить. Ларчик открывался просто: у провайдера все же была привязка к мак адресу одного айпишника, хотя при прошлых звонках уверял, что все норм.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Hukuta писал(а):Всем спасибо. Конфигурация рабочая. Можно трафик и не красить. Ларчик открывался просто: у провайдера все же была привязка к мак адресу одного айпишника, хотя при прошлых звонках уверял, что все норм.

Я ж говорил!

Кстати, пришлось сегодня же своей же идеей воспользоваться...
ГосУслуги почему то в блок поставили адрес, по разным каналам сказали,
что если много запросов, то адрес в анти-дос ставят.
Сделал НАТ от соседнего адреса в конторе - доступ пошёл.
Так что вовремя с Вами сделали повторение.. :mi_ga_et:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
maerty
Сообщения: 1
Зарегистрирован: 27 июн 2018, 21:59

Приветствую.
Нужен совет, настроил примерно в такой же конфигурации как и описано ранее.

На данный момент наблюдаю что прохождение трафика идет как нужно, но скорость передачи очень мала (~1.2kb/s)

Помогите кто чем может :-)


chumaty
Сообщения: 7
Зарегистрирован: 09 янв 2017, 14:55

Товарищи, приветствую.
Помогите кто чем может :)

Задача именно такая же, выпустит из локалки один из айпи адресов во внешку через второй айпи привязанный к внешнему интерфейсу.

Но правило в src-nat как будто не работает, все счетчики по нулям. :-(
Изображение


Ответить