Проброс внешнего ip на отдельный интерфейс

Обсуждение оборудования и его настройки
paragmatic
Сообщения: 12
Зарегистрирован: 18 сен 2019, 13:04

Имеется микротик RB4011iGS+ firmware 6.44.5 . От провайдера приходят два белых ip-адреса 1.1.1.98/29 и 1.1.1.99/29 по одному проводу, который подключен в порт ether1.
Необходимо один айпи - 1.1.1.98/29 использовать для выхода в интернет для локальных интерфейсов ether6 и ether7. Это настроено через объединение интерфейсов в bridge-lan.
Второй ip-адрес - 1.1.1.99/29 необходимо прокинуть на интерфейс ether2 . Причём к локальной сети существующей не имеет никакого отношения.

Каким образом можно осуществить проброс второго внешнего ip-адреса 1.1.1.99/29 на интерфейс ether2, чтобы устройство подключенное к этому порту получало внешний ip и не имело ограничений firewall-ом самого микротика?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

объединить ether1 и ether2 в один бридж.
Это как бы оно и будет.
Только потом еще логику firewall’а подкорректировать.


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну и надо адрес самого микротика перенести с ether1 на этот bridge-wan.


Telegram: @thexvo
paragmatic
Сообщения: 12
Зарегистрирован: 18 сен 2019, 13:04

Так и пробую настроить, объединив ether1 и ether2 в bridge-wan
что имено надо подкорректировать в firewall ?
А то получается, что устройство подключенное в порт ether2 откликается на ip - 1.1.1.98/29 и с интернета ip - 1.1.1.99/29 недоступен.


paragmatic
Сообщения: 12
Зарегистрирован: 18 сен 2019, 13:04

/ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=bridge-wan log=no log-prefix=""


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

paragmatic писал(а): 18 сен 2019, 13:52 Так и пробую настроить, объединив ether1 и ether2 в bridge-wan
что имено надо подкорректировать в firewall ?
А то получается, что устройство подключенное в порт ether2 откликается на ip - 1.1.1.98/29 и с интернета ip - 1.1.1.99/29 недоступен.
Ну у вас раньше wan-портом был ether1 и весь firewall (да и не только он) был настроен в соответствии с этим, теперь wan-портром будет bridge-wan.

Ну как бы назначьте и на микротике и на том устройстве адреса статически :)


Telegram: @thexvo
paragmatic
Сообщения: 12
Зарегистрирован: 18 сен 2019, 13:04

само собой переназначено:

/ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE

3 1.1.1.98/29 1.1.1.96 bridge-wan


paragmatic
Сообщения: 12
Зарегистрирован: 18 сен 2019, 13:04

firewall тоже поправлен вместо ether1 на bridge-wan


paragmatic
Сообщения: 12
Зарегистрирован: 18 сен 2019, 13:04

xvo писал(а): 18 сен 2019, 13:58
paragmatic писал(а): 18 сен 2019, 13:52 Так и пробую настроить, объединив ether1 и ether2 в bridge-wan
что имено надо подкорректировать в firewall ?
А то получается, что устройство подключенное в порт ether2 откликается на ip - 1.1.1.98/29 и с интернета ip - 1.1.1.99/29 недоступен.
Ну у вас раньше wan-портом был ether1 и весь firewall (да и не только он) был настроен в соответствии с этим, теперь wan-портром будет bridge-wan.

Ну как бы назначьте и на микротике и на том устройстве адреса статически :)
Всё поправлено как положено!

при включенном /interface bridge settings set use-ip-firewall=yes
- проблема не устанилась - ether2 откликается на ip - 1.1.1.98/29 и с интернета ip - 1.1.1.99/29 недоступен.
при /interface bridge settings set use-ip-firewall=no - сеть устройтва на порту ether2 вообще не работает. Хотя при такой настройке должно всё работать.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

стоп
1) на втором порту устройство независимо? или как?
если оно откликается и выходить в интернет с адресом 98/29, значит я предпологаю,
что устройство на втором порту имеет внутренний адрес, и уже ныряя через роутер,
выходить с адреса 98/29, так как этот адрес по-умолчанию
2) надо определиться из первого пункта, мы делаем проброс адреса 99/29 ПРЯМО на устройство
(если это так, то адрес надо ставить на устройстве), или нам надо принять пакеты со второго порта
и (не важно кем они были посланы) и спрятав их, отправить в Интернет от адреса 99/29 только.

Вы очень скользко описали задачу и даже я перечитав не понимаю её до конца верно.

P.S.
Зачем трогать файрвол бриджей вообще?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить