Добрый день.
Возник следующий вопрос: провайдер дает 2 ip адреса в одной подсети,! с одним шлюзом, !на одном интерфейсе IP 1.1.1.174;1.1.1.175 шлюз 1.1.1.161
Необходимо, что бы с одного локального ip 192.168.10.58 машина выходила в мир через 1.1.1.175
Прописываю второй адрес на тот же интерфейс:
add address=1.1.1.174/27 interface=ether1 network=1.1.1.160
add address=1.1.1.175/27 interface=ether1 network=1.1.1.160
/Красим трафик с нужного IP:
add action=mark-routing chain=prerouting new-routing-mark=3cx1 passthrough=no src-address=192.168.10.58
Добавляю правило NAT:
/при обращение не в локальную сеть, с ip 192.168.10.58, маркированный траффик отправлять на 1.1.1.175
add action=src-nat chain=srcnat dst-address=!192.168.10.0/24 out-interface=ether1 routing-mark=3cx1 src-address=192.168.10.58 to-addresses=1.1.1.175
/входящий траффик на 1.1.1.175 отправлять на локальный ip 192.168.10.58
add action=netmap chain=dstnat dst-address=1.1.1.175 to-addresses=192.168.10.58
/ip route
add distance=1 gateway=1.1.1.161
add distance=1 dst-address=1.1.1.160/27 gateway=ether1 pref-src= 1.1.1.175 scope=10
На сколько понимаю, при выходе с 192.168.10.58 на myip.ru, должен отображаться адрес 1.1.1.175, но при включении всех правли пинг в мир на 192.168.10.58 пропадает.
Что я сделал не так? Что нужно добавить?
2 белых ip в одной подсети, 1 шлюз на одном интерфейсе. Маршрутизация.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
Этот вопрос совсем недавно возникал. Я предложил решение, но воспрошающий не ответил, получилось у него или нет.
Я проверить на реально интернете не могу.
Будьте добры, проверьте и отпишитесь.
Вот статья:
2 IP на одном WAN
Данный вопрос возникает на форуме с завидным постоянством, поэтому решил написать небольшую статью и даже для этого собрал небольшой стенд у себя на рабочем столе.
Итак, схема следующая:
Простейшие настройки просто опишу без скринов:
1. Удаление текущей конфигурации (если необходимо).
2. Создание бриджа и добавление в него Ether2, Ether3, Ether4.
3. Назначим IP на бридж микротика из диапазона локальной сети. То есть он будет шлюзом для локальной сети.
Все как на схеме выше.
4. Назначаем IP адреса на порт WAN, он же Ether1.
5. Теперь основной маршрут.
Проверяем пинг с Микротика
6. Проверяем IP компьютера, как в схеме.
Проверям пинг с компьютера до Googla (его естественно быть не должно)
6. Начинается самое интересное. Просто маскарадинг нам не подходит.
Нужно, компьютер с IP адресом 192.168.1.19 выпустить в мир с IP адреса WAN 192.168.77.20.
Добавляем правило:
А теперь можно проверить инет:
Вы можете посетить сайт, например, 2ip.ru, где можно проверить ваш IP адрес. В моем случае все сложнее. У меня это четвертый уровень NAT, поэтому я могу проверить только через Torch на вышестоящем микротике.
Обратите внимание, на вышестоящем микротике (192.168.77.1) в таблице ARP появились оба IP адреса, которые WAN для второго микротика.
Запущу Torh на адресе 192.168.77.20:
и в это же время по другому IP:
Переключим в правило SCRNAT на другой IP
Я проверить на реально интернете не могу.
Будьте добры, проверьте и отпишитесь.
Вот статья:
2 IP на одном WAN
Данный вопрос возникает на форуме с завидным постоянством, поэтому решил написать небольшую статью и даже для этого собрал небольшой стенд у себя на рабочем столе.
Итак, схема следующая:
Простейшие настройки просто опишу без скринов:
1. Удаление текущей конфигурации (если необходимо).
2. Создание бриджа и добавление в него Ether2, Ether3, Ether4.
3. Назначим IP на бридж микротика из диапазона локальной сети. То есть он будет шлюзом для локальной сети.
Все как на схеме выше.
4. Назначаем IP адреса на порт WAN, он же Ether1.
5. Теперь основной маршрут.
Проверяем пинг с Микротика
6. Проверяем IP компьютера, как в схеме.
Проверям пинг с компьютера до Googla (его естественно быть не должно)
6. Начинается самое интересное. Просто маскарадинг нам не подходит.
Нужно, компьютер с IP адресом 192.168.1.19 выпустить в мир с IP адреса WAN 192.168.77.20.
Добавляем правило:
А теперь можно проверить инет:
Вы можете посетить сайт, например, 2ip.ru, где можно проверить ваш IP адрес. В моем случае все сложнее. У меня это четвертый уровень NAT, поэтому я могу проверить только через Torch на вышестоящем микротике.
Обратите внимание, на вышестоящем микротике (192.168.77.1) в таблице ARP появились оба IP адреса, которые WAN для второго микротика.
Запущу Torh на адресе 192.168.77.20:
и в это же время по другому IP:
Переключим в правило SCRNAT на другой IP
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Hukuta писал(а):Добрый день.
Добавляю правило NAT:
/при обращение не в локальную сеть, с ip 192.168.10.58, маркированный траффик отправлять на 1.1.1.175
add action=src-nat chain=srcnat dst-address=!192.168.10.0/24 out-interface=ether1 routing-mark=3cx1 src-address=192.168.10.58 to-addresses=1.1.1.175
Мне кажется Вы усложнили процесс.
Попробуйте без маркировки, просто явно пронатить адрес локальный через нужный интерфейс и явно через адрес второй-внешний.
(или даже попробуйте сначала более "грубое правило", без интерфейса, нат и от какова адреса)
То есть уберите явную маркировку (признак маркировки).
-
Hukuta
- Сообщения: 0
- Зарегистрирован: 11 окт 2017, 05:13
gmx
По сути у меня почти так и настроено. По вашей версии: убрал лишнее в виде mangle, оставил простое правило src_nat. У меня так же, с правилом через первый IP адрес все работает, если менять action src_nat To Adresses на второй IP то пинг наружу пропадает, в локалке есть. Я думаю тут проблема в маршрутах.
По сути у меня почти так и настроено. По вашей версии: убрал лишнее в виде mangle, оставил простое правило src_nat. У меня так же, с правилом через первый IP адрес все работает, если менять action src_nat To Adresses на второй IP то пинг наружу пропадает, в локалке есть. Я думаю тут проблема в маршрутах.
-
Hukuta
- Сообщения: 0
- Зарегистрирован: 11 окт 2017, 05:13
Vlad-2
Пробовал - не работает(
Пробовал - не работает(
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Hukuta писал(а):Vlad-2
Пробовал - не работает(
Итак, Основная картина:
Взял соседний реальный адрес, он как и первый на одном интерфейсе, у меня это вилан. Маска и название интерфейса говорит само
за себя. Они (адреса) на одном интерфейсе. Шлюз тоже один. Провайдер даёт обычную статику.
Также в файрволле создал два правила, где выпускаю комп 25-74 наружу, и одно правило - это когда комп идёт во внешку
с адреса 185, и уже второе правило когда выпускаю во внешку уже от 186.
Внизу картинки с примерами и итогами.
НАТ правила у меня не маркируются. Маркируются у меня только каналы.
Такую подстановку я сейчас сделал дома сам, но один раз делал уже и в конторе,
всё работает.
Минус один небольшой есть: я когда сейчас делал переключения, в Коннекшен-таблице
оставались коннекшены, поэтому быстрая проверка тут не канает, либо ждать либо коннекшены руками очищать.
Но задача была показать, что имея второй адрес, можно зарулить трафик отдельной взятой машину, через
второй адрес.
----------------
-
Hukuta
- Сообщения: 0
- Зарегистрирован: 11 окт 2017, 05:13
Всем спасибо. Конфигурация рабочая. Можно трафик и не красить. Ларчик открывался просто: у провайдера все же была привязка к мак адресу одного айпишника, хотя при прошлых звонках уверял, что все норм.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Hukuta писал(а):Всем спасибо. Конфигурация рабочая. Можно трафик и не красить. Ларчик открывался просто: у провайдера все же была привязка к мак адресу одного айпишника, хотя при прошлых звонках уверял, что все норм.
Я ж говорил!
Кстати, пришлось сегодня же своей же идеей воспользоваться...
ГосУслуги почему то в блок поставили адрес, по разным каналам сказали,
что если много запросов, то адрес в анти-дос ставят.
Сделал НАТ от соседнего адреса в конторе - доступ пошёл.
Так что вовремя с Вами сделали повторение..
-
maerty
- Сообщения: 1
- Зарегистрирован: 27 июн 2018, 21:59
Приветствую.
Нужен совет, настроил примерно в такой же конфигурации как и описано ранее.
На данный момент наблюдаю что прохождение трафика идет как нужно, но скорость передачи очень мала (~1.2kb/s)
Помогите кто чем может
Нужен совет, настроил примерно в такой же конфигурации как и описано ранее.
На данный момент наблюдаю что прохождение трафика идет как нужно, но скорость передачи очень мала (~1.2kb/s)
Помогите кто чем может
-
chumaty
- Сообщения: 7
- Зарегистрирован: 09 янв 2017, 14:55
Товарищи, приветствую.
Помогите кто чем может :)
Задача именно такая же, выпустит из локалки один из айпи адресов во внешку через второй айпи привязанный к внешнему интерфейсу.
Но правило в src-nat как будто не работает, все счетчики по нулям.
Помогите кто чем может :)
Задача именно такая же, выпустит из локалки один из айпи адресов во внешку через второй айпи привязанный к внешнему интерфейсу.
Но правило в src-nat как будто не работает, все счетчики по нулям.