Проброс пула белых IP мимо NAT

Обсуждение ПО и его настройки
gatall
Сообщения: 9
Зарегистрирован: 06 окт 2022, 21:47

Всем здравствуйте, спасибо за проявленный интерес и прошу помощи в конфиге
У провайдера подключена услуга 4 белых ip
Вот такое они мне выдали (дословно из бумажки):
Белый IP(получаемый по DHCP): 222.33.80.38/23,
выделенная подсеть: 222.33.82.80/29
Линия поддержки максимум чем помогла это "перегрузите роутер" и "с нашей стороны проблем не выялено".
Когда только подлючил услугу планировал вообще раскинуть тупым свичем и подключить по отдельности устройства но не тут то было.
Потом вот такую инструкцию прислали
Схема организации связи (адресация выбрана для примера).
1. На WAN-порту роутера адрес 134.17.25.219/22-статический IP, получаемый по DHCP.
2. На LAN-порту устанавливается вручную 46.216.180.153/29 – выделенная подсеть.
3. Компьютерам в локальной сети назначаются адреса:
46.216.180.154/26
46.216.180.155/26
...
46.216.180.158/26
Для них шлюзом будет 46.216.180.153.
4. NAT должен быть отключён.
5. На роутере должен присутствовать маршрут по умолчанию 0.0.0.0/0 на 134.17.24.1. Обычно он должен устанавливаться автоматически при получении основного адреса по DHCP. В зависимости от региона и адреса подсети адрес назначения для маршрута по умолчанию может быть другим.

Вот такие у меня маршруты
Изображение

Создал отдельный бридж туда вставлены сервера на которые нужен проброс белых адресов
Дал бриджу IP
Изображение
DHCP на этот бридж
выдаются адреса 222.33.82.82 - 222.33.82.85
шлюзом для них 222.33.82.81
DNS 1.1.1.1
 
# nov/23/2022 22:12:30 by RouterOS 7.6
#
# model = RB2011UiAS-2HnD

/ip firewall filter
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward disabled=yes dst-port=1029 protocol=tcp \
src-address=112.XXX.191.218
add action=accept chain=forward src-address=112.XXX.191.218
add action=accept chain=forward src-address=112.XXX.199.134
add action=drop chain=forward disabled=yes dst-address-list=ddos-targets \
src-address-list=ddos-attackers
add action=drop chain=forward src-address-list=Ban
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddos-targets \
address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddos-attackers \
address-list-timeout=10m chain=detect-ddos
add action=jump chain=forward connection-state=new jump-target=detect-ddos
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddos-targets \
address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddos-attackers \
address-list-timeout=10m chain=detect-ddos
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s \
protocol=tcp tcp-flags=syn,ack
add action=fasttrack-connection chain=forward hw-offload=yes
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
protocol=udp
add action=accept chain=input comment="allow IPsec NAT" dst-port=13231 \
protocol=tcp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment=GRE protocol=gre
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow pptp" dst-port=1194 protocol=tcp
add action=accept chain=input comment="allow sstp" disabled=yes dst-port=443 \
protocol=tcp
add action=accept chain=input comment="allow 80" disabled=yes dst-port=80 \
protocol=tcp
add action=accept chain=forward dst-address=222.33.82.80/29
add action=accept chain=input dst-address=222.33.82.80/29
add action=accept chain=forward src-address=222.33.82.80/29
add action=accept chain=forward in-interface=bridge2
add action=accept chain=input in-interface=bridge2
add action=accept chain=forward out-interface=bridge2
add action=accept chain=output out-interface=bridge2
add action=accept chain=input in-interface=all-ppp
add action=accept chain=forward in-interface=all-ppp
add action=accept chain=output out-interface=all-ppp
add action=accept chain=input comment=\
"input to mikrotik from LAN Address List" dst-port=445,8129 protocol=tcp \
src-address-list=LAN
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
NAT
 
# nov/23/2022 22:12:15 by RouterOS 7.6
#
# model = RB2011UiAS-2HnD

/ip firewall nat
add action=redirect chain=dstnat comment="redirect dns-query to local DNS" \
dst-port=53 in-interface-list=!WAN protocol=udp
add action=dst-nat chain=dstnat dst-address=222.33.82.82 to-addresses=\
222.33.82.81
add action=src-nat chain=srcnat src-address=222.33.82.81 to-addresses=\
222.33.82.82
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
192.168.0.0/24
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
192.168.100.0/24
add action=masquerade chain=srcnat dst-port=53 out-interface-list=WAN \
protocol=tcp
add action=masquerade chain=srcnat dst-port=53 out-interface-list=WAN \
protocol=udp
add action=masquerade chain=srcnat out-interface-list=WAN protocol=udp \
src-port=53
add action=masquerade chain=srcnat log=yes out-interface-list=WAN protocol=\
tcp src-port=53
add action=masquerade chain=srcnat disabled=yes log=yes out-interface-list=\
WAN
add action=dst-nat chain=dstnat dst-port=7881 in-interface=ether1MTS \
protocol=tcp to-addresses=192.168.0.25 to-ports=7881
add action=netmap chain=dstnat comment="torrent to NAS" dst-port=51413 \
in-interface=ether1MTS protocol=tcp to-addresses=192.168.0.25 to-ports=\
51413
add action=netmap chain=dstnat comment="torrent to SOKS" dst-port=59486 \
in-interface=ether1MTS protocol=tcp to-addresses=192.168.0.195 to-ports=\
59486
add action=dst-nat chain=dstnat comment="Access to NAS" dst-port=\
!8291,1701,1723,4500 in-interface=ether1MTS protocol=tcp \
src-address-list=devices to-addresses=192.168.0.25
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.0.0/24
add action=dst-nat chain=dstnat comment=le.m dst-port=1000-1199 in-interface=\
ether1MTS protocol=tcp to-addresses=192.168.100.99 to-ports=1000-1199
add action=masquerade chain=srcnat out-interface=all-ppp protocol=tcp \
src-address=222.120.244.240
add action=masquerade chain=srcnat disabled=yes out-interface=all-ppp \
protocol=tcp src-address=222.120.240.0/21
Дополнительно докинул диапазон в LAN
/ip firewall address-list
add address=192.168.0.0/24 comment=LAN list=LAN
add address=222.33.82.80/29 comment=LAN list=LAN

Вся эта кухня работает только если включен маскарадинг srcnat на WAN, но и адресация тогда теряется вся. Как заставить это все работать?
Большое спасибо за уделенное вами время.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Зачем на бридже с серверами dhcp?

Объедините в бридж ether от провайдера и ether в который будут смотреть серверы.
Все, на серверах назначьте IP адреса и шлюз, которые дал провайдер. Все, все заработало.
Если нужны дополнительные маршруты, то пропишите их на серверах вручную.
В этой схеме микротик-то не очень нужен.

Я не совсем понял про ваши IP адреса. Вы ничего не напутали с масками и IP? Или это для примера?


gatall
Сообщения: 9
Зарегистрирован: 06 окт 2022, 21:47

Просто получается бридж будет выступать dhcp клиентом для провайдера и адрес этого бриджа и будет шлюзом для серверов?
Адреса я только заменил начало адресов на 222.33, окончания и маски так как они дали(на картинке с роутами замылил начала адресов). Пинг на сеть за первым ip приходит внутрь микротика и видны в соединениях, но на пинг в мир не уходит ответ (пинг разрешен и на сервере и на firewall). Tracert ом с мира пакеты теряются и находятся за ip 222.33.80.38.
Получается шлюзом для серверов должен быть не шлюз провайдера, а мой первый ip должен быть как шлюз для подсети. И все, что уходит к провайдеру должно идти через него. (По крайней мере и в их инструкции это так), а если будет общий бридж и у серверов будет шлюз провайдера то не работает, проверял, единсвенное не пробовал серверу давать шлюзом адрес бриджа (из wan + eth на сервер).


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Я с трудом могу понять, что вы пишите. Очень запутанно.
Микротик вообще не причем. Он даже и не нужен.
Поставьте вместо него коммутатор.
Включите в него сервера и вручную пропишите нужные IP и шлюз. Шлюз провайдера (как правило, первый IP адрес подсети, но нужно уточнить).
Все. Все будет работать.

А дальше, вы втыкаете в коммутатор микротик и настраиваете, так как сказал провайдер, уже порт wan, nat и выпускаете через него остальные компы.

Почти тоже самое - бридж в микротике. Это обычный коммутатор.


gatall
Сообщения: 9
Зарегистрирован: 06 окт 2022, 21:47

Пробовал, делал так сразу, ставил коммутатор и ip серверам не выдается, выдается только микротику, который так же вставлен в этот коммутатор. Если на серверах вручную прописать ip (из выданного диапазона) и шлюз прописать такой же как у микротика (первый у оператора), DNS глобальные - нет ни пингов ни интернета на серверах (на микротике работает). Такое думаю происходит так как операторский шлюз (*.*.80.1) ждет пакеты только с *.*.80.38\23 и с адресов *.*.82.80\29 не принимает ничего напрямую.
Вот трасерт с мира
Изображение


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

gatall писал(а): 24 ноя 2022, 12:06 Такое думаю происходит так как операторский шлюз (*.*.80.1) ждет пакеты только с *.*.80.38\23 и с адресов *.*.82.80\29 не принимает ничего напрямую.
Вообще-то - вам не мешало бы подучить матчасть - IP-адрес хоста и IP-адрес шлюза должны принадлежать одной сети (широковещательному домену)...
Поэтому то ничего у вас и не работает - что ваши сервера не знают куда отправлять пакеты которые предназначены шлюзу... на серверах шлюзом должен быть указан микротик (адрес из сети *.*.82.80/29) и пакеты, предназначенные для Интернета, пойдут сначала на микротик и уже с него пойдут провайдерскому шлюзу (*.*.80.1), потому как адрес микротика в сети прровайдера и адрес шлюза принадлежат одной сети (широковещательному домену). Аналогично из Интернета пакеты, предназначенные вашим серверам сначала придут на микротик на адрес в проваайдерской сети, потому как у провайдера до вашей подсети *.*.82.80/29 прописан такой маршрут и уже ваш микротик отправит пакеты дальше вашим серверам...


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
gatall
Сообщения: 9
Зарегистрирован: 06 окт 2022, 21:47

bst-botsman писал(а): 24 ноя 2022, 12:28
gatall писал(а): 24 ноя 2022, 12:06 Такое думаю происходит так как операторский шлюз (*.*.80.1) ждет пакеты только с *.*.80.38\23 и с адресов *.*.82.80\29 не принимает ничего напрямую.
на серверах шлюзом должен быть указан микротик (адрес из сети *.*.82.80/29) и пакеты, предназначенные для Интернета,
ДА, я так и делаю, спасибо что поняли меня, вот поэтому у меня и такой конфиг (а не так как советовали выше) сейчас у меня шлюзом для серверов указан адрес bridge2 *.*.82.81 который в одной сети с серверами, маршрут (скрин в первом посту) к этому бриджу прописан на микротике, в firewall этот bridge2 allow во всех цепочках. но не работает... из NAT bridge исключен (вроде)...
Я этот вопрос мучаю с прошлой пятницы, скоро неделя, что только не пытался...


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Вам надо пообщаться с провайдером. Возможно вам выдали какие-то ошибочные данные. Ещё раз: вам выдали (должны были выдать) ip адрес, маску и шлюз. С этими значениями все должно работать с компьютера, который подключен напрямую в шнурок провайдера. Вот как только вы этого добьётесь, все проблемы рассосутся сами.


gatall
Сообщения: 9
Зарегистрирован: 06 окт 2022, 21:47

gmx писал(а): 24 ноя 2022, 13:55 Вам надо пообщаться с провайдером. Возможно вам выдали какие-то ошибочные данные. Ещё раз: вам выдали (должны были выдать) ip адрес, маску и шлюз. С этими значениями все должно работать с компьютера, который подключен напрямую в шнурок провайдера. Вот как только вы этого добьётесь, все проблемы рассосутся сами.
Оно и работает, и даже портами на сервер проброшено,
и внутри микротике коннекшен есть, но ответа нет, и интернет на микротике есть и шлюз операторский 80.1 работает, но этот выданный именно мне ip (80.38\23) должен стать шлюзом для подсети 82.80\29 за ним...
пакет должен идти с мира 80.1 (шлюз оператора)> 80.38\23 (мой шлюз) > 82.81 (мой адрес бриджа2) > 82.82 (белый ip сервера вставленный в этот бридж)
на сервере настройки
ip 82.82
шлюз 82.81
dns 1.1.1.1

маршрут в микротике на 80.38 порт от оператора
82.80 в бридже2
шлюз оператора 80.1

может натить как-то нужно специфически?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Рисуйте схему. Только ip адреса по человечески пишите, измените из немного, но близко к реальности.


Ответить