Прошу извинить если подобная тема уже была.
Решил заменить линуксовый шлюз в офисе на RB750Gr3
Пров дает несколько белых IP на WAN и один шлюз.
Некоторые сервера в офисе(почтовый например и voip) выходят в инет с отдельными адресами.
Сейчас занимаюсь преднастройкой и возникло недопонимание:
Я хочу пропустить локалку 192.168.1.0/24 через XX.XX.XX.XX
VOIP через YY.YY.YY.YY
MAIL через ZZ.ZZ.ZZ.ZZ
Сначала прописываю маскарадинг, роутинг, DNS, все стандартно.
И тут возникает первый вопрос, какой адрес выберет Mikrotik для маскарадинга всего офиса по умолчанию(нужно XX.XX.XX.XX), если на WAN их уже указано 3 штуки?
Или их тупо не указывать и микрот сам все поймет?
Далее, редирект снаружи, с белых IP на внутренние сервера понятен:
ip firewall nat add chain=dstnat dst-address=YY.YY.YY.YY action=dst-nat to-addresses=192.168.1.10 comment=VOIP-in
ip firewall nat add chain=dstnat dst-address=ZZ.ZZ.ZZ.ZZ action=dst-nat to-addresses=192.168.1.20 comment=MAIL-in
А вот чтобы изнутри сервера(MAIL и VOIP) шли в инет с определенного IP нужно делать так?
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.10 to-addresses=YY.YY.YY.YY out-interface=eth1-wan comment=VOIP-out
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.20 to-addresses=ZZ.ZZ.ZZ.ZZ out-interface=eth1-wan comment=MAIL-out
Или использовать механизм mangle?
Пул белых адресов на WAN и публикация сервисов
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
sarge писал(а):Прошу извинить если подобная тема уже была.
Была.
sarge писал(а):Некоторые сервера в офисе(почтовый например и voip) выходят в инет с отдельными адресами.
Но Вы их всё равно прячите за НАТом да?
Слегка поворчу: но зачем брать IP-внешние и потом их не давать сервисам,
а делать пробросы? Неа, с одной стороны это повышенная чуть безопасность,
с другой - как-то не логично. Таким успехом можно и одним обходиться.
sarge писал(а):И тут возникает первый вопрос, какой адрес выберет Mikrotik для маскарадинга всего офиса по умолчанию(нужно XX.XX.XX.XX), если на WAN их уже указано 3 штуки?
Или их тупо не указывать и микрот сам все поймет?
Какой явно задатите тот и будет
sarge писал(а):А вот чтобы изнутри сервера(MAIL и VOIP) шли в инет с определенного IP нужно делать так?
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.10 to-addresses=YY.YY.YY.YY out-interface=eth1-wan comment=VOIP-out
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.20 to-addresses=ZZ.ZZ.ZZ.ZZ out-interface=eth1-wan comment=MAIL-out
НУ правильно мыслите, если у нас один WAN и один адрес, понятно что адрес задавать не надо, если адресов много,
то обязательно надо задать в условиях НАТ адрес внешний, чтобы правило НАТ было более "точным".
Поэтому создайте пару адрес-листов (сеть голоса, адрес мэйла, сеть компов) и эти адрес-листы привяжите к НАТУ (голос к айпи такому, компы к такому)
Ну и наверно НАТ компов сделать самым последним, внизу и может быть даже без адрес-листа, тогда всё что будет по условиям адрес-листов уйдёт,
а всё остальное пойдёт по последнему НАТ-правилу.
sarge писал(а):Или использовать механизм mangle?
Можно, но зачем когда (на практике было проверено) можно и без
-
sarge
- Сообщения: 23
- Зарегистрирован: 30 сен 2017, 19:05
- Откуда: Москва
Vlad-2 писал(а):Но Вы их всё равно прячите за НАТом да?
Слегка поворчу: но зачем брать IP-внешние и потом их не давать сервисам,
а делать пробросы? Неа, с одной стороны это повышенная чуть безопасность,
с другой - как-то не логично. Таким успехом можно и одним обходиться.
Изначально, на WAN один адрес был, поэтому так и обходились.
Непонятно только, если я буду прописывать некоторым серверам в сетевом интерфейсе внешний адрес, то зачем тогда роутер?
Тогда надо свитч для прова покупать, сервера втыкать в него, а роутер отдельно, ибо его портов тупо не хватит.
Или я вас не так понял?
Vlad-2 писал(а):НУ правильно мыслите, если у нас один WAN и один адрес, понятно что адрес задавать не надо, если адресов много,
то обязательно надо задать в условиях НАТ адрес внешний, чтобы правило НАТ было более "точным".
Поэтому создайте пару адрес-листов (сеть голоса, адрес мэйла, сеть компов) и эти адрес-листы привяжите к НАТУ (голос к айпи такому, компы к такому)
Ну и наверно НАТ компов сделать самым последним, внизу и может быть даже без адрес-листа, тогда всё что будет по условиям адрес-листов уйдёт,
а всё остальное пойдёт по последнему НАТ-правилу.
Чтобы было понятнее, правила в порядке очередности будут выглядеть вот так:
ip firewall nat add chain=dstnat dst-address=YY.YY.YY.YY action=dst-nat to-addresses=192.168.1.10 comment=VOIP-in
ip firewall nat add chain=dstnat dst-address=ZZ.ZZ.ZZ.ZZ action=dst-nat to-addresses=192.168.1.20 comment=MAIL-in
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.10 to-addresses=YY.YY.YY.YY out-interface=eth1-wan comment=VOIP-out
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.20 to-addresses=ZZ.ZZ.ZZ.ZZ out-interface=eth1-wan comment=MAIL-out
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.0/24 to-addresses=XX.XX.XX.XX out-interface=eth1-wan comment=LOCAL-net
Маскарадинг вначале убираем(там кстати не задашь исходящий адрес), вместо него ставим последнее правило NAT для локалки.
Потом можно играться с адрес-листами, но мне кажется не нужно.
Так правильно?
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
sarge писал(а):Изначально, на WAN один адрес был, поэтому так и обходились.
Непонятно только, если я буду прописывать некоторым серверам в сетевом интерфейсе внешний адрес, то зачем тогда роутер?
Тогда надо свитч для прова покупать, сервера втыкать в него, а роутер отдельно, ибо его портов тупо не хватит.
Или я вас не так понял?
Скорее не до конца понимаете в общем, но пытаетесь понять сразу все мелочи
1) в Вашем случаи у Вас две сети и маршрутизация нужна, без неё никак(не будет работать), поэтому роутер должен быть.
2) свитч можно использовать если так необходимо, но не вместо роутера (ибо пункт 1), а в контексте с роутером,
а если ещё точнее, после роутера, если Вам вдруг не хватит портов
3) по портам, у Вас 750 моделька, в ней 5-ть портов, 1й на WAN, 5-й на LAN, 2,3 и 4 свободны.
Так что формально у Вас будет 3 порта/адреса(сервера) в роутере и работать независимо +1 адрес
внешний на самом роутере. Я не знаю какую подсеть Вам выдали, но если вдруг Вы превысите то,
что я описал, тогда уже можно воспользоваться свитчом. Но чем меньше оборудования, меньше
точек отказа.
sarge писал(а):Чтобы было понятнее, правила в порядке очередности будут выглядеть вот так:
ip firewall nat add chain=dstnat dst-address=YY.YY.YY.YY action=dst-nat to-addresses=192.168.1.10 comment=VOIP-in
ip firewall nat add chain=dstnat dst-address=ZZ.ZZ.ZZ.ZZ action=dst-nat to-addresses=192.168.1.20 comment=MAIL-in
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.10 to-addresses=YY.YY.YY.YY out-interface=eth1-wan comment=VOIP-out
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.20 to-addresses=ZZ.ZZ.ZZ.ZZ out-interface=eth1-wan comment=MAIL-out
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.0/24 to-addresses=XX.XX.XX.XX out-interface=eth1-wan comment=LOCAL-net
Маскарадинг вначале убираем(там кстати не задашь исходящий адрес), вместо него ставим последнее правило NAT для локалки.
Потом можно играться с адрес-листами, но мне кажется не нужно.
Так правильно?
Формально Вы правы, но опять же, мелочи. Если надо добавить какой то адрес в какой НАТ - придётся делать ещё правило,
а каждое правило это чуть чуть уменьшения производительности. Поэтому чтобы не допускать ошибок, не трогать лишний
раз правила, проще один раз сделать и уже манипулировать доступами на уровне адрес-листов.
Также, в будущем, с помощью адрес-листов проще будет защищать/открывать/и делать другие действия сразу для всех айпи
что входят в тот или иной адрес-лист.
-
sarge
- Сообщения: 23
- Зарегистрирован: 30 сен 2017, 19:05
- Откуда: Москва
Vlad-2 писал(а):3) по портам, у Вас 750 моделька, в ней 5-ть портов, 1й на WAN, 5-й на LAN, 2,3 и 4 свободны.
Так что формально у Вас будет 3 порта/адреса(сервера) в роутере и работать независимо +1 адрес
внешний на самом роутере. Я не знаю какую подсеть Вам выдали, но если вдруг Вы превысите то,
что я описал, тогда уже можно воспользоваться свитчом. Но чем меньше оборудования, меньше
точек отказа.
Это да, тоже об этом думал. Но сервисов у меня немного больше(белых адресов 6шт.), те что описаны, взяты для примера.
К тому же у меня 2 провайдера(настраиваю по схеме failover)+LAN, так что остается всего 2 порта. Не стОит.
Сейчас возник вопрос, как будет работать VPN(site-to-site) при аварийном переключении с основного провайдера на Yota и будет ли работать вообще, но это уже другая тема
Спасибо!
-
poppy
- Сообщения: 24
- Зарегистрирован: 17 ноя 2017, 11:42
Слегка поворчу: но зачем брать IP-внешние и потом их не давать сервисам,
а делать пробросы? Неа, с одной стороны это повышенная чуть безопасность,
с другой - как-то не логично. Таким успехом можно и одним обходиться.
прошу прощения что вклиниваюсь. Планирую заменить циску на микротик))
так вот, у меня 2 белых ip:
через один все сервисы работают.. пробросы портов, все дела, и клиенты выходят в инет.
а вот другой, какбэ тоже за натом, но чисто под телефонию без проброса портов, чисто белый IP 85...<=>192.168.1.N
на циске это так:
Код: Выделить всё
ip nat inside source list 100 interface Vlan2 overload
ip nat inside source static tcp 192.168.1.Х 8000 *.*.*.* 8000 extendable
....
ip nat inside source static 192.168.1.N 85.*.*.* extendable
access-list 100 permit ip 192.168.1.0 0.0.0.255 anyестественно адрес 85.*.*.* не назначен ни одному интерфейсу рутера)
может у ТС что-то похожее? тоже продумываю будущую конфигурацию микротика...
-
enzain
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
poppy писал(а):Слегка поворчу: но зачем брать IP-внешние и потом их не давать сервисам,
а делать пробросы? Неа, с одной стороны это повышенная чуть безопасность,
с другой - как-то не логично. Таким успехом можно и одним обходиться.
прошу прощения что вклиниваюсь. Планирую заменить циску на микротик))
так вот, у меня 2 белых ip:
через один все сервисы работают.. пробросы портов, все дела, и клиенты выходят в инет.
а вот другой, какбэ тоже за натом, но чисто под телефонию без проброса портов, чисто белый IP 85...<=>192.168.1.N
на циске это так:Код: Выделить всё
ip nat inside source list 100 interface Vlan2 overload
ip nat inside source static tcp 192.168.1.Х 8000 *.*.*.* 8000 extendable
....
ip nat inside source static 192.168.1.N 85.*.*.* extendable
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
естественно адрес 85.*.*.* не назначен ни одному интерфейсу рутера)
может у ТС что-то похожее? тоже продумываю будущую конфигурацию микротика...
У циски - по умолчанию включен прокси арп на интерфейсах.
Потому даже если ИП не назначен - на запрос адреса она отвечает и пакетики получает.
ПС: по мне так возьмите вы у прова две сетки, одну /30 для роутинга, на микр, а вторую внутрь /28, и имейте счастье
-
poppy
- Сообщения: 24
- Зарегистрирован: 17 ноя 2017, 11:42
enzain писал(а):У циски - по умолчанию включен прокси арп на интерфейсах.
Потому даже если ИП не назначен - на запрос адреса она отвечает и пакетики получает.
А как такое настраивается на mikrotik?
-
enzain
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
poppy писал(а):enzain писал(а):У циски - по умолчанию включен прокси арп на интерфейсах.
Потому даже если ИП не назначен - на запрос адреса она отвечает и пакетики получает.
А как такое настраивается на mikrotik?
Да просто ж, открываете интерфейс, там есть пунктик - арп - ставите прокси арп ... ну или почитайте что там за что отвечает ...
Хотя я у себя сделал не так, взял сетку /28 и к ней /30 и вся 28ая за 30ой.
Так проще
-
poppy
- Сообщения: 24
- Зарегистрирован: 17 ноя 2017, 11:42
enzain писал(а):Да просто ж, открываете интерфейс, там есть пунктик - арп - ставите прокси арп ... ну или почитайте что там за что отвечает ...
там два варианта local-proxy и просто proxy arp
надо проботанить..(