Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Proxy/NAT - Mikrotik два IP на одном интерфейсе и проброс одного в локальную сеть.

< Предыдущая 1 2
Ответить
Настройки темы
Proxy/NAT - Mikrotik два IP на одном интерфейсе и проброс одного в локальную сеть.

Аватара для UncleD

Пользователь


Сообщения: 100
Благодарности: 7

Профиль | Отправить PM | Цитировать

Добрый день.
Когда-то давно нашей организации понадобилось два внешних IP, один чтобы отдаться роутеру раздающему интернет клиентам, а второй для сервака (АСУ ВРК для тех кому это что-то говорит). Тогда вопрос был решен установкой свича перед роутером и сервером. Теперь же, старенький бытовой роутер был заменен на Mikrotik и появилось страстное желание, прям кушать не можется, избавиться от лишнего узла. Недолгое знакомство с чудом латышской техники и гугление вопроса дали понять, что задача решаема, и Mikrotik может получать два IP на один интерфейс, а вот дальше кто на что горазд. И так подробнее:

Два внешних IP, пусть: 200.1.1.5 и 200.1.1.6

Первый (200.1.1.5) приходит на WAN интерфейс Mikrotik'а
Второй (200.1.1.6) приходит на первый интерфейс сервера

Несколько портов микротика собраны в бридж, на котором висит наша локальная сеть 192.168.2.0/24. В ней же находиться и второй интерфейс сервера (192.168.2.167), к которому подключаются клиенты.

То есть, сервер имеет два задействованных интерфейса:
Первый 200.1.1.6 - смотрящий на внешку
Второй 192.168.2.167 - смотрящий в локалку

На микротике было сделано следующее по этой статье.
Код: Выделить весь код
/ip firewall nat
add action=netmap chain=srcnat src-address=192.168.2.167 to-addresses=200.1.1.6
add action=dst-nat chain=dstnat dst-address=200.1.1.6 to-addresses=192.168.2.167
/ip address
add address=200.1.1.6/32 interface=ether1-gateway network=200.1.1.6
Чтобы проверить работает ли правило - запретил на сервере ICMP ответы, и и тогда при попытке пинга 200.1.1.6 не получал ответа, а когда разрешил их снова, то пакеты поперли. Примитивно, но логично, так?

Еще есть маленькая утилита от разработчиков, которая проверяет доступность сервера на указанном ей IP и вот она его уже не видит.

Что я мог не учесть? Может быть какое-то типичное правило в фаерволе или в статье не описаны какие-то очевидные действия?

Отправлено: 14:43, 13-12-2019

 

Ветеран


Сообщения: 3806
Благодарности: 824

Профиль | Отправить PM | Цитировать

UncleD, по уму, провайдер должен был выдать подсеть, тогда бы вы полноценно маршрутизировали трафик
чтобы firewall'ом рулить трафик по двум ip они должны быть прописаны на интерфейсе, вот только это не работает для ip из одной сети

Цитата UncleD:
Создано вот такое правило NAT:
Код:
/ip firewall nat
add action=netmap chain=dstnat comment="Mapping 200.1.1.5 >> 192.168.2.167
disabled=yes dst-port=5846 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.2.167 to-ports=5846 »
наглядный пример, как не надо писать комментарии ;-)

Цитата UncleD:
Тогда отключаю правило:
Код:
/ip firewall filter
add action=drop chain=forward comment="Disable WAN>LAN" in-interface=ether1-wan \
out-interface=bridge1 »
а не надо было ломать дэфолтные правила и писать эту отсебятину

Цитата Anton04:
вы хотите его перекинуть за NAT? Или же вы хотите выделить его в DMZ? »
одно другое не исключает

Отправлено: 10:54, 18-12-2019 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для UncleD

Пользователь


Сообщения: 100
Благодарности: 7

Профиль | Отправить PM | Цитировать

Цитата Busla:
а не надо было ломать дэфолтные правила и писать эту отсебятину »
Спасибо, дали мотивацию к некоторому гуглению, хоть и в другую сторону.
На данный момент реализация следующая:
Правила NAT:
Код: Выделить весь код
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=200.1.1.5 dst-port=5846 protocol=\
    tcp to-addresses=192.168.2.167
add action=src-nat chain=srcnat dst-address=192.168.2.167 dst-port=5846 protocol=\
    tcp src-address=192.168.2.0/24 to-addresses=192.168.2.1
Правило firewall, стоящее выше запрещающего WAN в LAN
Код: Выделить весь код
/ip firewall filter
add action=accept chain=forward comment="Accept tcp 5846 WAN to LAN" dst-port=5846 \
    in-interface=ether1-wan protocol=tcp
Как пропишем у поставщика услуг новый IP сервера и погоняем пару дней, так проставлю решено, если не выявится ни каких проблем.

Последний раз редактировалось UncleD, 19-12-2019 в 12:12.

Отправлено: 12:06, 19-12-2019 | #12


Аватара для Anton04

Ветеран


Сообщения: 2067
Благодарности: 389

Профиль | Отправить PM | Цитировать

UncleD,

Рекомендация. Используйте "Interface list" в правилах фильтрации и фаервола. Будет намного легче.

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.

Отправлено: 15:35, 19-12-2019 | #13


Ветеран


Сообщения: 3806
Благодарности: 824

Профиль | Отправить PM | Цитировать

UncleD, по дэфолту Mikrotik разрешает в фильтре прописанные в nat правила:
Код: Выделить весь код
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-wan
Это сообщение посчитали полезным следующие участники:

Отправлено: 17:18, 19-12-2019 | #14

< Предыдущая 1 2


Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Proxy/NAT - Mikrotik два IP на одном интерфейсе и проброс одного в локальную сеть.

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - Три сетевые карты. Два провайдера на одном сервере и раздача в локальную сеть. MaksFenrir Windows Server 2008/2008 R2 9 25-12-2018 12:18
Route/Bridge - Два IP-шника на одном интерфейсе GateKeeper Сетевые технологии 11 30-09-2011 16:49
Разное - Два IP-шника на одном интерфейсе GateKeeper Сетевые технологии 2 29-09-2011 05:09
Интерфейс - dhcp+ip на одном интерфейсе chifram Microsoft Windows 2000/XP 0 04-08-2008 23:59
DNS-сервер и 2 IP на одном интерфейсе. skeletor Microsoft Windows NT/2000/2003 7 11-07-2008 10:15


« Предыдущая тема | Следующая тема »


 
Переход