Несколько белых адресов

[Kar1son]

Есть х.х.х.64/28 сеть белых адресов (ether1). есть несколько серверов за микротиком RB1100AHx2 в сети 192.168.101.0/24 (ether2) которые нужно опубликовать наружу, плюс чтобы они выходили в мир с конкретных адресов.
В данный момент заработало только для 3х серверов 192.168.101.7, 192.168.101.3 и 192.168.101.18. по моему случайность что это работает, потому что для следующего сервера уже не заводится.
сейчас сервера все что в 192.168.101.0/24 (кроме трех перечисленых) выходят в инет через адрес x.x.x.66.
если в 11 правиле которое маскарад в интернет поменять masquerade на src-nat=x.x.x.66 (что вроде суть одно и тоже) сервера перестают видеть интернет.
на 192.168.101.4 и 192.168.101.100 интернета нет в такой конфигурации.
если 7 правило убрать то на 192.168.101.100 интернет появляется через внешний адрес x.x.x.66
если в 7 правиле вместо src-nat=x.x.x.77 поставить masquerade то интернет также появляется через внешний адрес x.x.x.66
на скриншоте connections все три сервера делают пинг на шлюз но на двух из них пинг успешен

Подскажите что я делаю не так? почему у меня не получается нат?

[Vlad-2]

Мало что понял, но лишь дам совет:

а) в правиле пробросов, используйте явно внешний адрес, то есть адрес внешний скажем 1-й будет использоваться
для сервера 192.168.101.1, ну и в таком стиле, главное - Вы должны явно задать в правиле проброса,
что если пришёл пакет снаружи на нужный Вам внешний адрес то этот пакет передать на внутренний адрес сервера.
Пробросы делаются для работы снаружи, снаружи у нас пакеты приходят с внешними адресациями,
поэтому правила проброса (DST-NAT) надо строить с учётом внешних данных и внешних адресов.

б) ну и обычный НАТ - сделайте тоже более "точные" правила, то есть, выходит в интернет машина(сервер)
с адреса 192.168.101.1, то значит только ей в правиле можно натиться от адреса внешнего х.х.х.1
То есть кроме указания интерфейса, надо явно задать явные конкретизирующие моменты в правиле,
чтобы оно сработало только тогда когда это надо

Ну и напоминаю: правила нат имеют порядковый номер, поэтому точные и явные правила должны быть выше,
обобщённые правила ниже или в случаи строгой конфигурации - обобщённых правил может и вовсе не быть.

[Kar1son]

Vlad-2
спасибо за ответ, но все о чем вы говорите уже сделано.
я уже не один десяток микротиков настроил и все норм работает, но с вариантом в несколько белых внешних адресов столкнулся впервые.
ну и на всякий прилагаю файл экспорта

Код: Выделить всё

# jun/03/2018 13:03:15 by RouterOS 6.42.3
#
# model = 1100AHx2

/interface ethernet
set [ find default-name=ether1 ] name=ether1_Internet
set [ find default-name=ether2 ] name=ether2_DMZ
set [ find default-name=ether3 ] name=ether3_ISA
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip address
add address=x.x.x.69/28 interface=ether1_Internet network=x.x.x.64
add address=192.168.101.1/24 interface=ether2_DMZ network=192.168.101.0
add address=x.x.x.75/28 interface=ether1_Internet network=x.x.x.64
add address=192.168.100.1/24 interface=ether3_ISA network=192.168.100.0
add address=x.x.x.70/28 interface=ether1_Internet network=x.x.x.64
add address=x.x.x.71/28 interface=ether1_Internet network=x.x.x.64
add address=x.x.x.72/28 interface=ether1_Internet network=x.x.x.64
add address=x.x.x.73/28 interface=ether1_Internet network=x.x.x.64
add address=x.x.x.74/28 interface=ether1_Internet network=x.x.x.64
add address=x.x.x.68/28 interface=ether1_Internet network=x.x.x.64
add address=x.x.x.66/28 interface=ether1_Internet network=x.x.x.64
add address=x.x.x.67/28 interface=ether1_Internet network=x.x.x.64
add address=x.x.x.76/28 interface=ether1_Internet network=x.x.x.64
add address=x.x.x.77/28 interface=ether1_Internet network=x.x.x.64
add address=x.x.x.78/28 interface=ether1_Internet network=x.x.x.64
/ip dns
set servers=176.97.37.97,176.97.37.98
/ip firewall filter
add action=accept chain=input comment="Accept estabilished, related" \
    connection-state=established,related
add action=accept chain=forward comment="Out \E8\E7 DMZ" out-interface=\
    ether1_Internet src-address=192.168.101.0/24
add action=accept chain=input comment=Winbox dst-address=x.x.x.66 \
    dst-port=8291 protocol=tcp
add action=drop chain=input comment=\
    "Input \E8\E7 \E8\ED\F2\F0\E5\ED\E5\F2\E0" connection-state=new \
    dst-address=x.x.x.66 dst-port=80,443,20-23 in-interface=\
    ether1_Internet protocol=tcp
add action=drop chain=input dst-port=23,21,22,20 in-interface=ether1_Internet \
    protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=x.x.x.68 in-interface=\
    ether1_Internet to-addresses=192.168.101.7
add action=src-nat chain=srcnat out-interface=ether1_Internet src-address=\
    192.168.101.7 to-addresses=x.x.x.68
add action=dst-nat chain=dstnat dst-address=x.x.x.69 in-interface=\
    ether1_Internet to-addresses=192.168.101.3
add action=src-nat chain=srcnat out-interface=ether1_Internet src-address=\
    192.168.101.3 to-addresses=x.x.x.69
add action=dst-nat chain=dstnat dst-address=x.x.x.78 in-interface=\
    ether1_Internet to-addresses=192.168.101.18
add action=src-nat chain=srcnat out-interface=ether1_Internet src-address=\
    192.168.101.18 to-addresses=x.x.x.78
add action=dst-nat chain=dstnat dst-address=x.x.x.77 in-interface=\
    ether1_Internet to-addresses=192.168.101.100
add action=src-nat chain=srcnat out-interface=ether1_Internet src-address=\
    192.168.101.100 to-addresses=x.x.x.77
add action=dst-nat chain=dstnat disabled=yes dst-address=x.x.x.75 \
    in-interface=ether1_Internet to-addresses=192.168.101.4
add action=src-nat chain=srcnat disabled=yes out-interface=ether1_Internet \
    src-address=192.168.101.4 to-addresses=x.x.x.75
add action=masquerade chain=srcnat disabled=yes out-interface=ether2_DMZ
add action=masquerade chain=srcnat out-interface=ether1_Internet
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip proxy
set enabled=yes src-address=192.168.101.1
/ip route
add distance=1 gateway=x.x.x.65 pref-src=x.x.x.66
add distance=1 dst-address=172.20.0.0/16 gateway=192.168.100.2

[Vlad-2]

у меня на одном объекте используется два адреса(на микротике) из пула
адресов выданных провайдером, как раз почти Ваша задача,
пускать сервер и делать его (ряд портов) доступны с определённого внешнего адреса.

дополню ещё 2-мя микро-советами:
а) попробуйте в правилах проброса(dst-nat) убрать явно указанный интерфейс ether1, вообще уберите указания интерфейса
б) в таблице маршрутизации, где Вы задаёте шлюз по-умолчанию, уберите параметр pref-src (не используйте явно его пока что)

[Kar1son]

а) пробовал, не помогает
б) на работающей конфигурации не меняется ничего. если не убирать а ставить другой то меняется pref.source в динамическом правиле для внешней сети белых адресов и сам микротик начинает ходить в инет с этого нового адреса.

[Kar1son]

сейчас для теста воткнул другой микротик RB750.

Код: Выделить всё

/ip address
add address=x.x.x.75/28 interface=ether1 network=x.x.x.64
add address=x.x.x.77/28 interface=ether1 network=x.x.x.64
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 to-addresses=x.x.x.75
/ip route
add distance=1 gateway=x.x.x.65

интернет на микротике есть, но как только(что вроде как суть одно и тоже)

Код: Выделить всё

add action=src-nat chain=srcnat out-interface=ether1 to-addresses=x.x.x.75

интернет пропадает. даже шлюз перестает пинговаться.
мне кажется проблема в этом. подскажите что не так?

[Vlad-2]

Странно всё....

Реальный пример:


1) логи как видите показывают, что сеть "зарулена" через нужный айпи
2) айпи реальные из одной подсети и также как и у Вас, на одном интерфейсе
3) в терминале я вывел Вам правило НАТ (src) и также часть этого правила показал и в окне - как я его сделал.
Скрин с рабочего микротика удалённого.