Russian Users MikroTik | Форум пользователей MikroTik

Прошу извинить если подобная тема уже была.
Решил заменить линуксовый шлюз в офисе на RB750Gr3
Пров дает несколько белых IP на WAN и один шлюз.
Некоторые сервера в офисе(почтовый например и voip) выходят в инет с отдельными адресами.
Сейчас занимаюсь преднастройкой и возникло недопонимание:
Я хочу пропустить локалку 192.168.1.0/24 через XX.XX.XX.XX
VOIP через YY.YY.YY.YY
MAIL через ZZ.ZZ.ZZ.ZZ
Сначала прописываю маскарадинг, роутинг, DNS, все стандартно.
И тут возникает первый вопрос, какой адрес выберет Mikrotik для маскарадинга всего офиса по умолчанию(нужно XX.XX.XX.XX), если на WAN их уже указано 3 штуки?
Или их тупо не указывать и микрот сам все поймет?

Далее, редирект снаружи, с белых IP на внутренние сервера понятен:
ip firewall nat add chain=dstnat dst-address=YY.YY.YY.YY action=dst-nat to-addresses=192.168.1.10 comment=VOIP-in
ip firewall nat add chain=dstnat dst-address=ZZ.ZZ.ZZ.ZZ action=dst-nat to-addresses=192.168.1.20 comment=MAIL-in

А вот чтобы изнутри сервера(MAIL и VOIP) шли в инет с определенного IP нужно делать так?
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.10 to-addresses=YY.YY.YY.YY out-interface=eth1-wan comment=VOIP-out
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.20 to-addresses=ZZ.ZZ.ZZ.ZZ out-interface=eth1-wan comment=MAIL-out

Или использовать механизм mangle?

sarge писал(а):Прошу извинить если подобная тема уже была.

Была.

sarge писал(а):Некоторые сервера в офисе(почтовый например и voip) выходят в инет с отдельными адресами.

Но Вы их всё равно прячите за НАТом да?
Слегка поворчу: но зачем брать IP-внешние и потом их не давать сервисам,
а делать пробросы? Неа, с одной стороны это повышенная чуть безопасность,
с другой - как-то не логично. Таким успехом можно и одним обходиться.

sarge писал(а):И тут возникает первый вопрос, какой адрес выберет Mikrotik для маскарадинга всего офиса по умолчанию(нужно XX.XX.XX.XX), если на WAN их уже указано 3 штуки?
Или их тупо не указывать и микрот сам все поймет?

Какой явно задатите тот и будет

sarge писал(а):А вот чтобы изнутри сервера(MAIL и VOIP) шли в инет с определенного IP нужно делать так?
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.10 to-addresses=YY.YY.YY.YY out-interface=eth1-wan comment=VOIP-out
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.20 to-addresses=ZZ.ZZ.ZZ.ZZ out-interface=eth1-wan comment=MAIL-out

НУ правильно мыслите, если у нас один WAN и один адрес, понятно что адрес задавать не надо, если адресов много,
то обязательно надо задать в условиях НАТ адрес внешний, чтобы правило НАТ было более "точным".
Поэтому создайте пару адрес-листов (сеть голоса, адрес мэйла, сеть компов) и эти адрес-листы привяжите к НАТУ (голос к айпи такому, компы к такому)
Ну и наверно НАТ компов сделать самым последним, внизу и может быть даже без адрес-листа, тогда всё что будет по условиям адрес-листов уйдёт,
а всё остальное пойдёт по последнему НАТ-правилу.

sarge писал(а):Или использовать механизм mangle?

Можно, но зачем когда (на практике было проверено) можно и без

Vlad-2 писал(а):Но Вы их всё равно прячите за НАТом да?
Слегка поворчу: но зачем брать IP-внешние и потом их не давать сервисам,
а делать пробросы? Неа, с одной стороны это повышенная чуть безопасность,
с другой - как-то не логично. Таким успехом можно и одним обходиться.

Изначально, на WAN один адрес был, поэтому так и обходились.
Непонятно только, если я буду прописывать некоторым серверам в сетевом интерфейсе внешний адрес, то зачем тогда роутер?
Тогда надо свитч для прова покупать, сервера втыкать в него, а роутер отдельно, ибо его портов тупо не хватит.
Или я вас не так понял?

Vlad-2 писал(а):НУ правильно мыслите, если у нас один WAN и один адрес, понятно что адрес задавать не надо, если адресов много,
то обязательно надо задать в условиях НАТ адрес внешний, чтобы правило НАТ было более "точным".
Поэтому создайте пару адрес-листов (сеть голоса, адрес мэйла, сеть компов) и эти адрес-листы привяжите к НАТУ (голос к айпи такому, компы к такому)
Ну и наверно НАТ компов сделать самым последним, внизу и может быть даже без адрес-листа, тогда всё что будет по условиям адрес-листов уйдёт,
а всё остальное пойдёт по последнему НАТ-правилу.

Чтобы было понятнее, правила в порядке очередности будут выглядеть вот так:
ip firewall nat add chain=dstnat dst-address=YY.YY.YY.YY action=dst-nat to-addresses=192.168.1.10 comment=VOIP-in
ip firewall nat add chain=dstnat dst-address=ZZ.ZZ.ZZ.ZZ action=dst-nat to-addresses=192.168.1.20 comment=MAIL-in

ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.10 to-addresses=YY.YY.YY.YY out-interface=eth1-wan comment=VOIP-out
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.20 to-addresses=ZZ.ZZ.ZZ.ZZ out-interface=eth1-wan comment=MAIL-out
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.0/24 to-addresses=XX.XX.XX.XX out-interface=eth1-wan comment=LOCAL-net

Маскарадинг вначале убираем(там кстати не задашь исходящий адрес), вместо него ставим последнее правило NAT для локалки.
Потом можно играться с адрес-листами, но мне кажется не нужно.

Так правильно?

sarge писал(а):Изначально, на WAN один адрес был, поэтому так и обходились.
Непонятно только, если я буду прописывать некоторым серверам в сетевом интерфейсе внешний адрес, то зачем тогда роутер?
Тогда надо свитч для прова покупать, сервера втыкать в него, а роутер отдельно, ибо его портов тупо не хватит.
Или я вас не так понял?

Скорее не до конца понимаете в общем, но пытаетесь понять сразу все мелочи
1) в Вашем случаи у Вас две сети и маршрутизация нужна, без неё никак(не будет работать), поэтому роутер должен быть.
2) свитч можно использовать если так необходимо, но не вместо роутера (ибо пункт 1), а в контексте с роутером,
а если ещё точнее, после роутера, если Вам вдруг не хватит портов
3) по портам, у Вас 750 моделька, в ней 5-ть портов, 1й на WAN, 5-й на LAN, 2,3 и 4 свободны.
Так что формально у Вас будет 3 порта/адреса(сервера) в роутере и работать независимо +1 адрес
внешний на самом роутере. Я не знаю какую подсеть Вам выдали, но если вдруг Вы превысите то,
что я описал, тогда уже можно воспользоваться свитчом. Но чем меньше оборудования, меньше
точек отказа.

sarge писал(а):Чтобы было понятнее, правила в порядке очередности будут выглядеть вот так:
ip firewall nat add chain=dstnat dst-address=YY.YY.YY.YY action=dst-nat to-addresses=192.168.1.10 comment=VOIP-in
ip firewall nat add chain=dstnat dst-address=ZZ.ZZ.ZZ.ZZ action=dst-nat to-addresses=192.168.1.20 comment=MAIL-in
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.10 to-addresses=YY.YY.YY.YY out-interface=eth1-wan comment=VOIP-out
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.20 to-addresses=ZZ.ZZ.ZZ.ZZ out-interface=eth1-wan comment=MAIL-out
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.1.0/24 to-addresses=XX.XX.XX.XX out-interface=eth1-wan comment=LOCAL-net
Маскарадинг вначале убираем(там кстати не задашь исходящий адрес), вместо него ставим последнее правило NAT для локалки.
Потом можно играться с адрес-листами, но мне кажется не нужно.
Так правильно?

Формально Вы правы, но опять же, мелочи. Если надо добавить какой то адрес в какой НАТ - придётся делать ещё правило,
а каждое правило это чуть чуть уменьшения производительности. Поэтому чтобы не допускать ошибок, не трогать лишний
раз правила, проще один раз сделать и уже манипулировать доступами на уровне адрес-листов.
Также, в будущем, с помощью адрес-листов проще будет защищать/открывать/и делать другие действия сразу для всех айпи
что входят в тот или иной адрес-лист.

Vlad-2 писал(а):3) по портам, у Вас 750 моделька, в ней 5-ть портов, 1й на WAN, 5-й на LAN, 2,3 и 4 свободны.
Так что формально у Вас будет 3 порта/адреса(сервера) в роутере и работать независимо +1 адрес
внешний на самом роутере. Я не знаю какую подсеть Вам выдали, но если вдруг Вы превысите то,
что я описал, тогда уже можно воспользоваться свитчом. Но чем меньше оборудования, меньше
точек отказа.

Это да, тоже об этом думал. Но сервисов у меня немного больше(белых адресов 6шт.), те что описаны, взяты для примера.
К тому же у меня 2 провайдера(настраиваю по схеме failover)+LAN, так что остается всего 2 порта. Не стОит.
Сейчас возник вопрос, как будет работать VPN(site-to-site) при аварийном переключении с основного провайдера на Yota и будет ли работать вообще, но это уже другая тема :-)

Спасибо!

Слегка поворчу: но зачем брать IP-внешние и потом их не давать сервисам,
а делать пробросы? Неа, с одной стороны это повышенная чуть безопасность,
с другой - как-то не логично. Таким успехом можно и одним обходиться.

прошу прощения что вклиниваюсь. Планирую заменить циску на микротик))
так вот, у меня 2 белых ip:
через один все сервисы работают.. пробросы портов, все дела, и клиенты выходят в инет.
а вот другой, какбэ тоже за натом, но чисто под телефонию без проброса портов, чисто белый IP 85...<=>192.168.1.N
на циске это так:

Код: Выделить всё

ip nat inside source list 100 interface Vlan2 overload
ip nat inside source static tcp 192.168.1.Х 8000 *.*.*.* 8000 extendable
....  
ip nat inside source static 192.168.1.N 85.*.*.* extendable
access-list 100 permit ip 192.168.1.0 0.0.0.255 any

естественно адрес 85.*.*.* не назначен ни одному интерфейсу рутера)

может у ТС что-то похожее? тоже продумываю будущую конфигурацию микротика...

poppy писал(а):
Слегка поворчу: но зачем брать IP-внешние и потом их не давать сервисам,
а делать пробросы? Неа, с одной стороны это повышенная чуть безопасность,
с другой - как-то не логично. Таким успехом можно и одним обходиться.

прошу прощения что вклиниваюсь. Планирую заменить циску на микротик))
так вот, у меня 2 белых ip:
через один все сервисы работают.. пробросы портов, все дела, и клиенты выходят в инет.
а вот другой, какбэ тоже за натом, но чисто под телефонию без проброса портов, чисто белый IP 85...<=>192.168.1.N
на циске это так:
Код: Выделить всё
ip nat inside source list 100 interface Vlan2 overload
ip nat inside source static tcp 192.168.1.Х 8000 *.*.*.* 8000 extendable
....  
ip nat inside source static 192.168.1.N 85.*.*.* extendable
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
естественно адрес 85.*.*.* не назначен ни одному интерфейсу рутера)

может у ТС что-то похожее? тоже продумываю будущую конфигурацию микротика...

У циски - по умолчанию включен прокси арп на интерфейсах.
Потому даже если ИП не назначен - на запрос адреса она отвечает и пакетики получает.

ПС: по мне так возьмите вы у прова две сетки, одну /30 для роутинга, на микр, а вторую внутрь /28, и имейте счастье

enzain писал(а):У циски - по умолчанию включен прокси арп на интерфейсах.
Потому даже если ИП не назначен - на запрос адреса она отвечает и пакетики получает.

А как такое настраивается на mikrotik?

poppy писал(а):
enzain писал(а):У циски - по умолчанию включен прокси арп на интерфейсах.
Потому даже если ИП не назначен - на запрос адреса она отвечает и пакетики получает.

А как такое настраивается на mikrotik?

Да просто ж, открываете интерфейс, там есть пунктик - арп - ставите прокси арп ... ну или почитайте что там за что отвечает ...

Хотя я у себя сделал не так, взял сетку /28 и к ней /30 и вся 28ая за 30ой.

Так проще

enzain писал(а):Да просто ж, открываете интерфейс, там есть пунктик - арп - ставите прокси арп ... ну или почитайте что там за что отвечает ...

там два варианта local-proxy и просто proxy arp
надо проботанить..(

Russian Users MikroTik | Форум пользователей MikroTik

Пул белых адресов на WAN и публикация сервисов

Пул белых адресов на WAN и публикация сервисов

Re: Пул белых адресов на WAN и публикация сервисов

Re: Пул белых адресов на WAN и публикация сервисов

Re: Пул белых адресов на WAN и публикация сервисов

Re: Пул белых адресов на WAN и публикация сервисов

Re: Пул белых адресов на WAN и публикация сервисов

Re: Пул белых адресов на WAN и публикация сервисов

Re: Пул белых адресов на WAN и публикация сервисов

Re: Пул белых адресов на WAN и публикация сервисов

Re: Пул белых адресов на WAN и публикация сервисов