Пул белых адресов на WAN и публикация сервисов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

poppy писал(а):
enzain писал(а):Да просто ж, открываете интерфейс, там есть пунктик - арп - ставите прокси арп ... ну или почитайте что там за что отвечает ...

там два варианта local-proxy и просто proxy arp
надо проботанить..(


Вам нужно просто прокси, если я не ошибаюсь.
хотя поиграйтесь на каком нибудь интерфейсе, посмотрите, я что-то подзабыл, если честно ...

Но лучше таки попросите у провайдера сетку /30, так будет гораздо проще и менее заморочено.

Опять же кто вам мешает добавить ИП на интерфейс, сделать ырцнат адресом именно и нетмап на нужные адреса в локалку?


Вернуться к началу
poppy
Сообщения: 24
Зарегистрирован: 17 ноя 2017, 11:42

поботанил. сдается мне что микротиковский прокси-арп тут не при делах.

цисковский:

Код: Выделить всё

ip nat inside source static 192.168.1.N 85.*.*.* extendable


подразумевает, что в локалке есть хост 192.168.1.N который виден с наружи как 85.*.*.*
соответственно циска никакой запрос arp в локалку хосту не передаёт, смысл? хост не ответит что он 85,,, ибо на нем прописан естественно только 192,,,
тоже и для микротика. ну включу я proxy-arp на интерефейсе. кто ответит?

Поэтому для себя вопрос оставляю открытым. Как перенести данный конфиг циски на микротик, куда прописать на микротике 85,,, (на циске он на интерфейсе не прописан, а только в строке ната)
?
Последний раз редактировалось poppy 17 янв 2018, 15:19, всего редактировалось 1 раз.


Вернуться к началу
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

poppy писал(а):поботанил. сдается мне что микротиковский прокси-арп тут не при делах.

цисковский:

Код: Выделить всё

ip nat inside source static 192.168.1.N 85.*.*.* extendable


подразумевает, что в локалке есть хост 192.168.1.N который виден с наружи как 85.*.*.*
соответственно циска никакой запрос arp в локалку хосту не передаёт, смысл? хост не ответит что он 85,,, ибо на нем прописан естественно только 192,,,
тоже и для микротика. ну включу я proxy-arp на интерефейсе. кто

Поэтому для себя вопрос оставляю открытым. Как перенести данный конфиг циски на микротик, куда прописать на микротике 85,,, (на циске он на интерфейсе не прописан, а только в строке ната)
?


Естественно не передает.
Мы говорили о том, что у вас на интерфейсе циски не указан по факту IP 85.*.*.*, но на арп запрос этого адреса она отвечает
В микрротике или прописать на ВАН интерфейс, или включить на ВАН интерфейсе прокси фрп (или локал прокси арп, ну не помню .. )
Последний раз редактировалось enzain 17 янв 2018, 15:30, всего редактировалось 1 раз.


Вернуться к началу
poppy
Сообщения: 24
Зарегистрирован: 17 ноя 2017, 11:42

на интерфейсе циски не указан по факту IP 85.*.*.*, но на арп запрос этого адреса она отвечает

как такое нарисовать на микротике?
достаточно ли?

Код: Выделить всё

chain=dstnat action=dst-nat to-addresses=192.168.2.2 dst-address=85.х.х.х in-interface=pppoe-out1 log=no log-prefix=""


у меня сомнения, ведь 192,168,2,2 должен выходить в интернет с адреса 85,,, а не с адресом pppoe-out1


Вернуться к началу
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

poppy писал(а):
на интерфейсе циски не указан по факту IP 85.*.*.*, но на арп запрос этого адреса она отвечает

как такое нарисовать на микротике?
достаточно ли?

Код: Выделить всё

chain=dstnat action=dst-nat to-addresses=192.168.2.2 dst-address=85.х.х.х in-interface=pppoe-out1 log=no log-prefix=""


у меня сомнения, ведь 192,168,2,2 должен выходить в интернет с адреса 85,,, а не с адресом pppoe-out1



Да пропишите вы второй адрес на интерфейсе.

Только в интернет выход - придется делать два правила, именно для этого компа на который проброс - сделайте срцнат и именно на адрес 85....


Вернуться к началу
poppy
Сообщения: 24
Зарегистрирован: 17 ноя 2017, 11:42

enzain писал(а):
poppy писал(а):
на интерфейсе циски не указан по факту IP 85.*.*.*, но на арп запрос этого адреса она отвечает

как такое нарисовать на микротике?
достаточно ли?

Код: Выделить всё

chain=dstnat action=dst-nat to-addresses=192.168.2.2 dst-address=85.х.х.х in-interface=pppoe-out1 log=no log-prefix=""


у меня сомнения, ведь 192,168,2,2 должен выходить в интернет с адреса 85,,, а не с адресом pppoe-out1



Да пропишите вы второй адрес на интерфейсе.

Только в интернет выход - придется делать два правила, именно для этого компа на который проброс - сделайте срцнат и именно на адрес 85....

попробую, а как конкретно выглядит это правило? в out-interface что например писать?


Вернуться к началу
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

poppy писал(а):
enzain писал(а):
poppy писал(а):как такое нарисовать на микротике?
достаточно ли?

Код: Выделить всё

chain=dstnat action=dst-nat to-addresses=192.168.2.2 dst-address=85.х.х.х in-interface=pppoe-out1 log=no log-prefix=""


у меня сомнения, ведь 192,168,2,2 должен выходить в интернет с адреса 85,,, а не с адресом pppoe-out1



Да пропишите вы второй адрес на интерфейсе.

Только в интернет выход - придется делать два правила, именно для этого компа на который проброс - сделайте срцнат и именно на адрес 85....

попробую, а как конкретно выглядит это правило? в out-interface что например писать?


Интерфейс на котором у вас интернет работает и на котором собственно адрес белый.

Т.е. в общем случае два адреса выглядят так

Вешаем ИПы (считая что в локалку смотрит ether2):

Код: Выделить всё

/ip address
add address=85.85.85.82/28 interface=ether1 network=85.85.85.80
add address=85.85.85.83/28 interface=ether1 network=85.85.85.80
add address=192.168.2.1/24 interface=ether2 network=192.168.2.0


Делаем срц и дст нат
Первая строка, полностью весь траффик на внутренний хост, вторая только порты 80 и 443
Третья строка - выход в интернет с хоста на который пробрасываем порты - закрепляем за адресом через который пробрасываем порты.
Четвертая строка - всех остальных пускаем в интернет по адресу другому

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=85.85.85.83 to-addresses=192.168.2.2
add action=dst-nat chain=dstnat dst-address=85.85.85.83 dst-port=80,443 protocol=tcp to-addresses=192.168.2.2
add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.2.2 to-addresses=85.85.85.83
add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.2.0/24 to-addresses=85.85.85.82


И кстати если интернет интерфейс - PPPoE даже если не задавать адрес второй, пакеты прилетать будут все равно ... попробую потестировать при такой схеме поместить адрес внутри сети микротика на прямую ... если интересует.. сможете на ту машину прописать прямо белый ип :)

Только мне нужна маска которую вам выдали и какие адреса используются у вас .... сколько у вас их вообще


Вернуться к началу
poppy
Сообщения: 24
Зарегистрирован: 17 ноя 2017, 11:42

В целом понятно. только почему маска 28? . Надо проверять.
я сильно выше описывал:
от прова одна сетка на линк 217..1/30 (через неё все 192,168,2,0/24 работают, ну кроме 192,168,2,2) 217,,2 прописан на интерфейсе( там слаба богу не pppoe)
и "просто" адрес 85,,,,, который, как указано выше, просто прописан статическим натом на 192,168,2,2


Вернуться к началу
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

poppy писал(а):В целом понятно. только почему маска 28? . Надо проверять.
я сильно выше описывал:
от прова одна сетка на линк 217..1/30 (через неё все 192,168,2,0/24 работают, ну кроме 192,168,2,2) 217,,2 прописан на интерфейсе( там слаба богу не pppoe)
и "просто" адрес 85,,,,, который, как указано выше, просто прописан статическим натом на 192,168,2,2


Теперь мне не понятно ...
У вас бродкастный интерфейс?
А адрес вам 85... выдали /32?....

Тогда нужна схема маршрутизации, такое возможно, если этот адрес ваш провайдер маршрутизирует через ваш же 217...2

Покажите что-ли адреса нормальные я гляну как оно доходит до адреса вашего 85...
Можно в личку, смысла их скрывать не особо много :)


Вернуться к началу
poppy
Сообщения: 24
Зарегистрирован: 17 ноя 2017, 11:42

enzain писал(а): такое возможно, если этот адрес ваш провайдер маршрутизирует через ваш же 217...2


так так наверно он и сделал. я запросил услугу (дополнительный белый ip) и он мне его подал. на циске он толко в NATe прописан.

как оно доходит до адреса вашего 85...

да нормально доходит:
предпоследний хоп - 217...2
последний - он сам 85,,,

вот только, если я циску заменю на микртик, сконфигуренный как указано выше (85,,, вторым адресом на WAN интерефесе) то ИМХО tracerout будет другой. поэтому и дискутирую.
може эта строчка лишняя

Код: Выделить всё

add address=85.85.85.83/28 interface=ether1 network=85.85.85.80


надо стенд собирать((, в боевом режиме не попробовать.


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»