Други, хотелось бы прояснить ситуацию, по мотивам темы http://forummikrotik.ru/viewtopic.php?f=15&t=7323(не стал там "гадить" ), если я ее правильно понял.
А если не правильно понял, то описание ситуевины, дано:
1) Один микрот в качестве GW.
2) 2 (и более) адреса на одном внешнем интерфейсе.
3) 2 (и более) сервера, которые должны откликаться на разные адреса при внешних обращениях к ним.
4) В нат правиле просто указан аут интерфейс. (допустим add action=masquerade chain=srcnat out-interface=ether1)
Допустим на обоих серверах какие-то сайты и нас интересует обращение к серверам по 80 порту.
Правильно ли я понимаю, что все что нам надо, это сделать пробросы в которых мы просто явно указываем нужный внешний адрес, порт и нужный внутренний адрес и все будет хорошо?
Т.е. допустим у нас есть два внешних адреса 1.1.1.1 с которого идет проброс на внутренний 192.168.0.1 и 2.2.2.2 с которого идет проброс на внутренний 192.168.0.2 и вот мы обращаемся к 1.1.1.1 и нам всегда и 100% ответит 192.168.0.1 и с адреса 1.1.1.1? Или я не прав и 192.168.0.1 может ответить и с 2.2.2.2?
Звеняйте за нубский вопрос, просто тему прочитал и стало интересно, а попробовать неначем
X адресов на внешнем интерфейсе
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
Схему ещё не проверял, но сразу приходит в голову:
Когда на внешнем интерфейсе статика, IP и gateway не меняются, в NAT правиле лучше использовать action=src-nat и явно указать внешний IP.
Когда на внешнем интерфейсе статика, IP и gateway не меняются, в NAT правиле лучше использовать action=src-nat и явно указать внешний IP.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
KARaS'b писал(а):Правильно ли я понимаю, что все что нам надо, это сделать пробросы в которых мы просто явно указываем нужный внешний адрес, порт и нужный внутренний адрес и все будет хорошо?
Т.е. допустим у нас есть два внешних адреса 1.1.1.1 с которого идет проброс на внутренний 192.168.0.1 и 2.2.2.2 с которого идет проброс на внутренний 192.168.0.2 и вот мы обращаемся к 1.1.1.1 и нам всегда и 100% ответит 192.168.0.1 и с адреса 1.1.1.1? Или я не прав и 192.168.0.1 может ответить и с 2.2.2.2?
Звеняйте за нубский вопрос, просто тему прочитал и стало интересно, а попробовать неначем
Вопрос с виду кажется нубский, а как говориться, дьявол кроется в мелочах, так и тут, в любом случаи я думаю Вы правы,
единственно что со своей стороны укажу лишь некоторые нюансы:
В вашем примере 192.168.0.1 и 0.2 - всё же должны быть разные машины, а не одна машина с двумя адресами, а то бывают глюки.
Ну и чтобы мои слова были в целом не многословны, примерно то что Вы озвучили в вопросе.
А именно то что Вы озвучили, у меня работает так на торрентах, а именно:
а) взят один порт(один и тот же) и сделаны 2 группы правила (каждая группа это соответственно ТСП и УДП)
б) первая группа - кроме проброса,(привязка к провайдеру №1) внутри правил я применил адрес-лист и в него привязал адресацию локальную провайдера через которую получаю хороший локальный траф + защита от внешнего трафика, то есть на этот порт и только на этот мой адреса ко мне могут подключиться клиенты этого провайдера в локальной адресации (безлимита нету на данному подключении поэтому и так ограничиваю жестко эти правила)
в) вторая группа - теже самые пробросы, но уже привязаны к провайдеру №2 (он у меня как дефолт идёт + безлимит) + нет привязки к адрес-листу, то есть через данные пробросы уже может мой торрент качать/отдавать всем желающим.
первая группа (привязанная к локальной сети прова стоит выше, чтобы она быстрее срабатывала, да и в рамках 100мбит всегда быстрее,чем по безлимиту 5-10мбит)
Вот как то так, вроде отрабатывается как надо.
(если условия были иные, не обессудьте)
P.S.
На работе делали ещё так: брали айпи белый, вешали на порт, и уже делали проброс в котором указывали этот айпи, порт и куда пробрасывать,
делали давно, но тоже красиво и как надо отработало правило.
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
KARaS'b писал(а):Правильно ли я понимаю, что все что нам надо, это сделать пробросы в которых мы просто явно указываем нужный внешний адрес, порт и нужный внутренний адрес и все будет хорошо?
Т.е. допустим у нас есть два внешних адреса 1.1.1.1 с которого идет проброс на внутренний 192.168.0.1 и 2.2.2.2 с которого идет проброс на внутренний 192.168.0.2 и вот мы обращаемся к 1.1.1.1 и нам всегда и 100% ответит 192.168.0.1 и с адреса 1.1.1.1? Или я не прав и 192.168.0.1 может ответить и с 2.2.2.2?
Звеняйте за нубский вопрос, просто тему прочитал и стало интересно, а попробовать неначем
Корректно работать не будет. Надо явно указывать с какого внешнего адреса отправлять ответ. В вашем примере это еще два разных шлюза, соответственно, в зависимости от настроек, ответ будет от первого провайдера или попеременно, если два шлюза в одном маршруте по умолчанию.
Александр
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
algerka писал(а):Корректно работать не будет. Надо явно указывать с какого внешнего адреса отправлять ответ. В вашем примере это еще два разных шлюза, соответственно...
Шлюз один, просто провайдер выдал пул адресов и все они вывешены на wan. В правилах проброса внешние адреса указаны явно.
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Vlad-2 писал(а):P.S.
На работе делали ещё так: брали айпи белый, вешали на порт, и уже делали проброс в котором указывали этот айпи, порт и куда пробрасывать,
делали давно, но тоже красиво и как надо отработало правило.
Вот все тоже, только без указания порта, если мы говорим про физический порт, аля ether1, т.к wan один. Просто, как это вижу я, при обращении к тому или иному ресурсу, создается же соединение, так? И вроде в рамках этого соединения внутренний сервер ну ни как не сможет ответить с другого адреса. Но как уже сказал, не на чем потестить, потому и решил поинтересоваться, тем более, что как мне кажется, задача распространенная и наверняка много кто сталкивался.
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
KARaS'b писал(а):Шлюз один, просто провайдер выдал пул адресов и все они вывешены на wan.
Те адреса что вы указали не могут быть с одним шлюзом. Если адреса выбраны в качестве примера, то не удачно.
KARaS'b писал(а): В правилах проброса внешние адреса указаны явно.
Или мы говорим о разных вещах или в вашей задаче об этом не слова.
Вы описали только dst-nat c внешнего на внутренний, а этого мало !
Александр
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
algerka писал(а):Те адреса что вы указали не могут быть с одним шлюзом. Если адреса выбраны в качестве примера, то не удачно.
Хорошо, специально для вас, внешние адреса 1.1.1.1 и 1.1.1.2, провайдер при этом один, шлюз так же один, если вам так нравится придираться и разводить пустой треп, не относящийся к вопросу.
algerka писал(а):Или мы говорим о разных вещах или в вашей задаче об этом не слова.
Вы описали только dst-nat c внешнего на внутренний, а этого мало !
Я даже не знаю как тут вам ответить без мата, чесслово... Будьте так любезны, прекратите флуд, если у вас нет ответа, или вы решили козырнуть каким-то знаниями, но потом, то я пожалуй подожду помощи от более адекватных форумчан, а вам говорю спасибо и до свидания.
Последний раз редактировалось KARaS'b 22 янв 2017, 21:10, всего редактировалось 1 раз.
- podarok66
- Модератор
- Сообщения: 4362
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Так, ребятки. Брэк!
Не стоит из-за чего бы то ни было нагнетать. Никак. Давайте мерятся чем-нить другим.
Вот я например четвертый день на сервак почту ставлю и сношу сразу же, так как не выходит каменный цветок. Уж всю башку сломал, скоро спать перестану. Вот это проблема, так проблема. Потому как невыспаный я противный до нельзя.
Не стоит из-за чего бы то ни было нагнетать. Никак. Давайте мерятся чем-нить другим.
Вот я например четвертый день на сервак почту ставлю и сношу сразу же, так как не выходит каменный цветок. Уж всю башку сломал, скоро спать перестану. Вот это проблема, так проблема. Потому как невыспаный я противный до нельзя.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
KARaS'b писал(а):Я даже не знаю как тут вам ответить без мата, чесслово...
Я обратил внимание,что приведенный вами пример ip адресов не некорректен, а вы в ответ хамите. Вы уж определитесь, вам нужна помощь или хвалебные оды.
Ps: позиция администраторов форума и модераторов огорчает.
Александр