Доступ из локальной сети в сеть провайдера

[riwer]

Здравствуйте!

Есть роутер RB951G-2HnD. На интерфейсе провайдера настроил vlan для доступа к хосту в сети провайдера, добавил ip-адрес на интерфейс бриджа (все локальные интерфейсы у меня в одном бридже). Доступ с роутера к нужному хосту в сети провайдера появился, пинг идет.
После, добавил vlan в бридж - теперь доступ есть и из локалки.
Очевидно, что такой вариант не подходит в плане безопасности. Убираю vlan провайдера из бриджа, перевешиваю ip-адрес с бриджа на vlan. Подскажите пожалуйста, как настроить маршрутизацию между этим vlan и локальным бриджом? Пробовал поднимать NAT на интерфейс vlan, но доступа в локалку провайдера почему-то нет.

[Vlad-2]

Здравствуйте!

Есть роутер RB951G-2HnD. На интерфейсе провайдера настроил vlan для доступа к хосту в сети провайдера, добавил ip-адрес на интерфейс бриджа (все локальные интерфейсы у меня в одном бридже). Доступ с роутера к нужному хосту в сети провайдера появился, пинг идет.
После, добавил vlan в бридж - теперь доступ есть и из локалки.
Очевидно, что такой вариант не подходит в плане безопасности. Убираю vlan провайдера из бриджа, перевешиваю ip-адрес с бриджа на vlan. Подскажите пожалуйста, как настроить маршрутизацию между этим vlan и локальным бриджом? Пробовал поднимать NAT на интерфейс vlan, но доступа в локалку провайдера почему-то нет.

Честно, читаю и не могу понять...Как сочинение, ни деталей, не примеров адресов, нет
номера вилана, и так далее....И лишь по последним словам (о локалке у провайдера) частично
понимаю что хотите Вы.

Итак:
1) надо воспринимать локалку провайдерскую и вообще другую сеть - как отдельную сущность.
2) да, не правильно чужую сеть вводить/объединять в общий бридж, не только из-за безопасности,
но и другой сети такое действие не очень понравиться
3) формально Вы почти всё правильно сделали, но я повторюсь местами:
а) Вы принимаете вилан нужный на нужном Вам WAN порту
б) задаёте(устанавливаете) и/или получаете автоматом по DHCP на вилане адресацию (адресацию,маску, шлюз)
в) всё, у Вас вилан это и есть путь/канал в ту локалку. Бриджевать с локальными компами не надо, делать отдельный
бридж не нужно, и так далее.

Дальше лёгкая логика:
а) если нужен доступ в локальную сеть провайдера, то надо делать НАТ так, чтобы явно было
видно куда машина локальная хочет обратиться и если она обращается в локальную сеть
провайдера, то только в этом случаи пакеты от компа НАТить от адреса вилана и выпускать
через интерфейс вилана.
б) если компы Вашей сети идут в интернет, то НАТ делают от внешнего адреса и всё, на выход.

То есть правила НАТ должны быть уточнёнными, а не общими, и порядок их расположения Важен!

[riwer]

Здравствуйте!

Есть роутер RB951G-2HnD. На интерфейсе провайдера настроил vlan для доступа к хосту в сети провайдера, добавил ip-адрес на интерфейс бриджа (все локальные интерфейсы у меня в одном бридже). Доступ с роутера к нужному хосту в сети провайдера появился, пинг идет.
После, добавил vlan в бридж - теперь доступ есть и из локалки.
Очевидно, что такой вариант не подходит в плане безопасности. Убираю vlan провайдера из бриджа, перевешиваю ip-адрес с бриджа на vlan. Подскажите пожалуйста, как настроить маршрутизацию между этим vlan и локальным бриджом? Пробовал поднимать NAT на интерфейс vlan, но доступа в локалку провайдера почему-то нет.

Честно, читаю и не могу понять...Как сочинение, ни деталей, не примеров адресов, нет
номера вилана, и так далее....И лишь по последним словам (о локалке у провайдера) частично
понимаю что хотите Вы.

Итак:
1) надо воспринимать локалку провайдерскую и вообще другую сеть - как отдельную сущность.
2) да, не правильно чужую сеть вводить/объединять в общий бридж, не только из-за безопасности,
но и другой сети такое действие не очень понравиться
3) формально Вы почти всё правильно сделали, но я повторюсь местами:
а) Вы принимаете вилан нужный на нужном Вам WAN порту
б) задаёте(устанавливаете) и/или получаете автоматом по DHCP на вилане адресацию (адресацию,маску, шлюз)
в) всё, у Вас вилан это и есть путь/канал в ту локалку. Бриджевать с локальными компами не надо, делать отдельный
бридж не нужно, и так далее.

Дальше лёгкая логика:
а) если нужен доступ в локальную сеть провайдера, то надо делать НАТ так, чтобы явно было
видно куда машина локальная хочет обратиться и если она обращается в локальную сеть
провайдера, то только в этом случаи пакеты от компа НАТить от адреса вилана и выпускать
через интерфейс вилана.
б) если компы Вашей сети идут в интернет, то НАТ делают от внешнего адреса и всё, на выход.

То есть правила НАТ должны быть уточнёнными, а не общими, и порядок их расположения Важен!

Спасибо большое за развернутый ответ!

Как таковой доступ в локалку провайдера мне не нужен, нужен доступ только к одному хосту. Опишу ситуацию конкретнее - провайдер предоставляет доступ к хосту в своей сети, сообщает мне vlan id=10, на хосте адрес 172.16.1.100/24, шлюз 172.16.1.1. На моем Mikrotik eth1 - это интерфейс провайдера, на него я добавляю vlan интерфейс с vlan id=10 - vlan10. На интерфейс vlan10 вешаю адрес 172.16.1.1/24. Также на Mikrotik у меня создан bridge в который включены все остальные физические порты (кроме eth1), на интерфейсе bridge адресация 192.168.1.1/24.

Так вот, при таких настройках из своей локалки (192.168.1.0/24), я могу пинговать только 172.16.1.1 (интерфейс vlan10), но не 172.16.1.100. С Мироктика же 172.16.1.100 пигуется. Маршрутизации между сетями 192.168.1.0/24 и 172.16.1.0/24 почему то нет, хотя, как мне кажется, Микротик должен маршрутизировать их по умолчанию. В правилах Firewall форвардинг через интерфейс vlan10 полностью разрешен.

А вот с NAT-ом на интерфейсе vlan10 у меня все получилось!

Код: Выделить всё

chain=srcnat action=masquerade dst-address=172.16.1.0/24 out-interface=vlan10 log=no log-prefix="" 

Но все же не понимаю, почему нет маршрутизации по умолчанию и так ли необходим в моей ситуации NAT?

[KARaS'b]

Если вы не опечатались, и провайдер вам сказал, что

шлюз 172.16.1.1

то после

На интерфейс vlan10 вешаю адрес 172.16.1.1/24

вы не только гадите себе, но еще и провайдеру.
Т.ч. либо вы опечатались, либо не совсем верно понимаете какие настройки вам выдали, либо вообще не понимаете основ сетей и назначаете своему оборудованию точно такой же адрес, что и у шлюза вашего провайдера, тем самым подгаживая еще и провайдеру своими экспериментами.
З.Ы. Судя по

Но все же не понимаю, почему нет маршрутизации по умолчанию и так ли необходим в моей ситуации NAT?

Вы скорее всего подгаживаете, бо нат вам нужен хотя бы по той причине, что для маршрутизации маршруты необходимы с обеих сторон и провайдер, будучи в здравом уме, вряд ли напишет со своей стороны маршрут в сторону вашего оборудования, с типичной для домашних сетей подсетью 192.168.1.0/24 хотя бы по той причине, что данные адреса могут использоваться и в его "хозяйстве", а поскольку нет маршрутизации, то независимо от того, что вы имеет адрес из провайдерской подсети, вам все равно необходим нат, что бы обрабатывать обращения из вашей сети в его сеть, иначе его хосты и шлюз просто не будут знать кому отвечать, или будут отвечать устройствам с аналогичными вашим адресам, но находящимися в его сети.

[Vlad-2]

Так вот, при таких настройках из своей локалки (192.168.1.0/24), я могу пинговать только 172.16.1.1 (интерфейс vlan10), но не 172.16.1.100. С Мироктика же 172.16.1.100 пигуется. Маршрутизации между сетями 192.168.1.0/24 и 172.16.1.0/24 почему то нет, хотя, как мне кажется, Микротик должен маршрутизировать их по умолчанию. В правилах Firewall форвардинг через интерфейс vlan10 полностью разрешен.

Ну если микротик пингует удалённый узел, то хотя бы связь есть с этим узлом, это уже плюс.
Посмотрите как идёт обращение с компов локальной сети, то есть сделайте
трасерт до 172.16.1.100 с компа локальной сети и смотрите (а лучше и нам покажите результат
команды tracert -d 172.16.1.100)
Если трассировка будет сразу уходить в глобал, значит не правильно расставлены приоритеты
НАТ правил, про которые я говорил в первом сообщении.

А вот с NAT-ом на интерфейсе vlan10 у меня все получилось!

Это радует, но нужна полностью "картина", пока я её не вижу!

Но все же не понимаю, почему нет маршрутизации по умолчанию и так ли необходим в моей ситуации NAT?

Давайте не путать одно с другим.

Есть сеть 172, Ваш микротик там находиться и там есть узел, всё. Это сеть.
Есть другая сеть, Ваша домашняя 192.ххх - тоже отдельная сеть, Микротик и там тоже есть.
Так как микротик находиться в каждой сети,то сам микротик спокойно может общаться к этим
сетям и к её узлам, роутер знает что у него и где прописано.

Теперь смотрите, когда идёт пакет с Вашей домашней машины, скажем со 192.168.1.50 до
узла 172.16.1.100, то:
а) (вариант №1, без НАТ), пакет с адреса 192.168.1.50 уйдёт в сеть вилана10, и дойдёт до 172.16.1.100,
машина получит пакет, но она не знает где искать сеть 192? И таких сетей может быть
много и разных, (как раз про это и писал Вам KARaS'b ), поэтому чтобы связь
на нашем уровне работала нужно делать по варианту №2

б) (вариант №2, с НАТ), пакет с 192.168.1.50 хочет попасть в сеть 172. на адрес 172.16.1.100,
при выходе с роутера, роутер увидет правила НАТ, пакет с компа 192.168.1.50 проНАТит
от адреса 172.16.1.1 и отдаст его узлу 172.16.1.100, комп с адресом 172.16.1.100 ответит
спокойно адресу 172.16.1.1, роутер увидет ответы и обратно их отдаст компу.

P.S.
а) Ещё раз уточните у провайдера, какие данные сети 172 должны быть у Вас прописаны,
особенно шлюз Важен. ТО есть как я и писал, при установки адреса 172 на роутере,
кроме адреса и маски, Вы должны задать шлюз, хотя если общение будет
лишь с одним хостом, и в рамках маски сети одинаковой, то явно он и не нужен.
б) проверьте ещё раз порядок правил НАТ, сначала правила идут явные и чёткие (можно
их назвать узко-направленные), потом уже можно в конце сделать явно-обобщённое.
Всё что не попадёт в узкое правило, сработает по обобщённому.
в) на всякий случай хочу напомнить о безопасности, и связи с последними событиями
по всяким уязвимостям, атакам, не забудьте обновить роутер на последнюю прошивку
+ файрвол сделать/скопипастить правильно.

[riwer]

Если вы не опечатались, и провайдер вам сказал, что

шлюз 172.16.1.1

то после

На интерфейс vlan10 вешаю адрес 172.16.1.1/24

вы не только гадите себе, но еще и провайдеру.
Т.ч. либо вы опечатались, либо не совсем верно понимаете какие настройки вам выдали, либо вообще не понимаете основ сетей и назначаете своему оборудованию точно такой же адрес, что и у шлюза вашего провайдера, тем самым подгаживая еще и провайдеру своими экспериментами.
З.Ы. Судя по

Но все же не понимаю, почему нет маршрутизации по умолчанию и так ли необходим в моей ситуации NAT?

Вы скорее всего подгаживаете, бо нат вам нужен хотя бы по той причине, что для маршрутизации маршруты необходимы с обеих сторон и провайдер, будучи в здравом уме, вряд ли напишет со своей стороны маршрут в сторону вашего оборудования, с типичной для домашних сетей подсетью 192.168.1.0/24 хотя бы по той причине, что данные адреса могут использоваться и в его "хозяйстве", а поскольку нет маршрутизации, то независимо от того, что вы имеет адрес из провайдерской подсети, вам все равно необходим нат, что бы обрабатывать обращения из вашей сети в его сеть, иначе его хосты и шлюз просто не будут знать кому отвечать, или будут отвечать устройствам с аналогичными вашим адресам, но находящимися в его сети.

172.16.1.1 - это не шлюз провайдера, это мой шлюз! Сейчас на удаленном хосте он настроен в качестве шлюза по умолчанию, и это делалось по согласованию с провайдером

[riwer]

а) (вариант №1, без НАТ), пакет с адреса 192.168.1.50 уйдёт в сеть вилана10, и дойдёт до 172.16.1.100,
машина получит пакет, но она не знает где искать сеть 192? И таких сетей может быть
много и разных, (как раз про это и писал Вам KARaS'b ), поэтому чтобы связь
на нашем уровне работала нужно делать по варианту №2

Почему же она не знает? Ведь на ней в качестве шлюза по умолчанию прописан 172.16.1.1! Повторюсь, изначально на хосте в качестве шлюза задан мой микротик, и делалось это по согласованию с провайдером

Код: Выделить всё

tracert -d 172.16.1.100

Трассировка маршрута к 172.16.1.100 с максимальным числом прыжков 30

  1     1 ms     1 ms     2 ms  192.168.1.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.

[Vlad-2]

Покажите правила НАТ