Разделение подсетей арендаторов

Обсуждение на тему выбора оборудования
teddy_val
Сообщения: 41
Зарегистрирован: 23 янв 2013, 12:54

Коллеги подскажите что мне выбрать.
Есть задача отделиться от арендаторов дабы не компрометировали они наш белый адрес на просторах сети.
От провайдера получу несколько белых IP адресов их нужно направить на неуправляемые коммутатры (простейшие маршрутизаторы) наших небольших клиентов.
Резать скоросить по интерфейсам к нашим клиентам ибо полоса на все IP адреса одна.
Сейчас роль маршрутизатора выполнияет 1U сервер на линухе, дополнительных сетевых карт не установишь.
Пока кол-во сетей - 3


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

От провайдера получу несколько белых IP адресов их нужно направить на неуправляемые коммутатры (простейшие маршрутизаторы) наших небольших клиентов.

получите их, и сможите использовать только в стыке между вашим маршрутизатором и маршрутизатором провайдера вашего. между клиентами и вами их не запихнешь.
предполагаю, что на сервере с linux вы используете что то вроде iptables, предлагаю все ваши адреса, полученные от вашего аплинка прописать на внешнем интерфейсе вашего шлюза. а iptables (или что там у вас) таким образом, что сети разных клиентов натились разными адресами.

Код: Выделить всё

iptables -A POSTROUTING -t nat -j SNAT -s $CLIENT_IP1 --to-source $GW_IP1

заменив переменные по необходимости.
и создав обратный нат на адрес ваших клиентов:

Код: Выделить всё

iptables -A PREROUTING  -t nat -j DNAT -d $GW_IP1 --to-destination $CLIENT_IP1

как то так. гарантии на команды не даю, проверить негде, но помоему должно раотать. если что ищите man iptables вас спасет.


teddy_val
Сообщения: 41
Зарегистрирован: 23 янв 2013, 12:54

получите их, и сможите использовать только в стыке между вашим маршрутизатором и маршрутизатором провайдера вашего. между клиентами и вами их не запихнешь.

Т.е. я не смогу подключить микротик нужным кол-вом интерфесов с оборудованием провайдера, допустим через коммутатор, на этих интерфейсах прописать разные внешние IP адреса, объеденить с интерфейсами, которые будут смотреть в локалку и заставить работать этот комбайн как несколько маршрутизаторов?

предполагаю, что на сервере с linux вы используете что то вроде iptables, предлагаю все ваши адреса, полученные от вашего аплинка прописать на внешнем интерфейсе вашего шлюза. а iptables (или что там у вас) таким образом, что сети разных клиентов натились разными адресами.

Это возможно, и будет работать как вы описали. Но я не могу установить дополнительных сетевых карт, которые будут смотреть в локальную сеть. Если только заменить текущие на многопортовые...

Ну и есть вариант использовать для каждого арендатора свой микротик как я понимаю...


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Это возможно, и будет работать как вы описали. Но я не могу установить дополнительных сетевых карт, которые будут смотреть в локальную сеть. Если только заменить текущие на многопортовые...

а что мешает на один интерфейс прописать несколько адресов?

Код: Выделить всё

ifconfig eth0:0 1.1.1.1 up
ifconfig eth0:1 1.1.1.2 up
ifconfig eth0:3 1.1.1.3 up


teddy_val
Сообщения: 41
Зарегистрирован: 23 янв 2013, 12:54

Мешает то что, интерфейсы физически смотрят на разные подсети, объединять их черех коммутатор не очень хочется...


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Можете поставить любой коммутатор с VLAN

например http://mikrotik.ru/katalog/katalog/mars ... oard-250gs

и раскидать трафик по Vlan-ам

так на одной сетевой карте смогут жить много подсетей


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
teddy_val
Сообщения: 41
Зарегистрирован: 23 янв 2013, 12:54

Коллеги добрый день/вечер!
Наконец мне пришел Mirotik 750GL
Админка Winbox в целом понятна, но роутер непонятно реагирует на конфигурацию.
Как я хочу сделать:
1. Объеденить три порта с номерами 3, 4, 5 (В bridge ?, для использования как коммутатара).
Порт 4 будет смотреть на провайдера и иметь внешний адрес. Сразу вопрос IP адрес прописывать на самом порту ethernet или на bridge?
Порт 5 будет смотреть на сервер связи с Linux, где на сетевой карте! будет прописан второй внешний адрес
Порт 3 Пока неиспользуем но вопрос по нему будет ниже.
2. К порту два планирую подключить подсеть (неуправляемый коммутатор) первого клиента. Ну и пока хватит одного.
На этом порту должен работать dhcp сервер подсеть натиться через внешний интерфейс 4.
Жизнесопособно ли это?
Пытался разными способами настроить это дело, но пока не выходит.
Возможно на 4-м порту не нужно настраивать ip адрес, а прописать его на 3-м порту?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

teddy_val писал(а):1. Объеденить три порта с номерами 3, 4, 5 (В bridge ?, для использования как коммутатара).
Порт 4 будет смотреть на провайдера и иметь внешний адрес. Сразу вопрос IP адрес прописывать на самом порту ethernet или на bridge?

если не нужно фильтровать трафик между этими портами, то объединяйте через чипсет коммутации (master-port в настройке дочернего порта). помоему на этой железки он есть. разгрузите тем самым железку от лишних мыслей.
http://wiki.mikrotik.com/wiki/%D0%A0%D1 ... 0%B8%D0%B8
teddy_val писал(а): Порт 5 будет смотреть на сервер связи с Linux, где на сетевой карте! будет прописан второй внешний адрес
Порт 3 Пока неиспользуем но вопрос по нему будет ниже.
2. К порту два планирую подключить подсеть (неуправляемый коммутатор) первого клиента. Ну и пока хватит одного.
На этом порту должен работать dhcp сервер подсеть натиться через внешний интерфейс 4.
Жизнесопособно ли это?

все тривиально, читайте wiki
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server
правда не совсем ясно с 5 портом и сервером, как вы на него хотите прописать внешний адрес? у вас провайдер дал вам несколько адресов? значит надо будет объединить порт с аплинком с этим портом к серверу.
teddy_val писал(а):Пытался разными способами настроить это дело, но пока не выходит.
Возможно на 4-м порту не нужно настраивать ip адрес, а прописать его на 3-м порту?

вы свои попытки и мысли выкладывайте тут. без них вам сложно будет помочь.


teddy_val
Сообщения: 41
Зарегистрирован: 23 янв 2013, 12:54

Я понял, задал слишком много вопросов, на которые получил адекватно ответов, которые породили еще вопросы. Поэтому мысли буду излагать последовательно.
если не нужно фильтровать трафик между этими портами, то объединяйте через чипсет коммутации (master-port в настройке дочернего порта). помоему на этой железки он есть. разгрузите тем самым железку от лишних мыслей.

В моей железке используется чип Atheros 8327. В общем "master-port" это то, что мне нужно было! Спасибо! Три порта работают как тупой коммутатор. Мастер порту я назначил ip адрес, который стал доступен, до этого я не мог пропинговать ip адрес независимо от того где я его прописывал на бридже или непосредственно на езернет порту.
Тут вроде разобрались.


teddy_val
Сообщения: 41
Зарегистрирован: 23 янв 2013, 12:54

все тривиально, читайте wiki
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server
правда не совсем ясно с 5 портом и сервером, как вы на него хотите прописать внешний адрес? у вас провайдер дал вам несколько адресов? значит надо будет объединить порт с аплинком с этим портом к серверу.

По поводу тривиальности - согласен в теории, по NAT и dhcp самим не вопросов. Вопрос в следующем: по замыслу, ко 2-му порту будет подключена подсеть клиента, где долже работать NAT и DHCP. Но я спотыкаюсь на первом же шаге.
IP-adressess Добавляю новый IP адрес для порта 2, этот адрес сразу же доступен из терминала самого Микротика, но недоступен из вне! Т.е. если я подключю к нему комп с IP адресом из той же подсети, он не будет пинговаться. Подскажите где собака порылась? В это случае не получится использовать Мастер порт, ведь порт один. Может нужно использовать Бридж для одного порта? Или что-то другое?
Отвечаю сам себе, невнимательно прописал адрес на интерфейсе без указания маски. Черт побери.

Провайдер дал 8-ми адресную подсеть, 5 белых адресов. Один адрес (Порт 4) я прописал на мастер порту коммутатора из трех портов. Порт 3 соединил с сервером связи, и уже там пропишу другой белый адрес.


Ответить