Страница 2 из 3
Re: Пул белых адресов на WAN и публикация сервисов
Добавлено: 15 янв 2018, 19:42
enzain
poppy писал(а):enzain писал(а):Да просто ж, открываете интерфейс, там есть пунктик - арп - ставите прокси арп ... ну или почитайте что там за что отвечает ...
там два варианта local-proxy и просто proxy arp
надо проботанить..(
Вам нужно просто прокси, если я не ошибаюсь.
хотя поиграйтесь на каком нибудь интерфейсе, посмотрите, я что-то подзабыл, если честно ...
Но лучше таки попросите у провайдера сетку /30, так будет гораздо проще и менее заморочено.
Опять же кто вам мешает добавить ИП на интерфейс, сделать ырцнат адресом именно и нетмап на нужные адреса в локалку?
Re: Пул белых адресов на WAN и публикация сервисов
Добавлено: 17 янв 2018, 15:02
poppy
поботанил. сдается мне что микротиковский прокси-арп тут не при делах.
цисковский:
Код: Выделить всё
ip nat inside source static 192.168.1.N 85.*.*.* extendable
подразумевает, что в локалке есть хост 192.168.1.N который виден с наружи как 85.*.*.*
соответственно циска никакой запрос arp в локалку хосту не передаёт, смысл? хост не ответит что он 85,,, ибо на нем прописан естественно только 192,,,
тоже и для микротика. ну включу я proxy-arp на интерефейсе. кто ответит?
Поэтому для себя вопрос оставляю открытым. Как перенести данный конфиг циски на микротик, куда прописать на микротике 85,,, (на циске он на интерфейсе не прописан, а только в строке ната)
?
Re: Пул белых адресов на WAN и публикация сервисов
Добавлено: 17 янв 2018, 15:07
enzain
poppy писал(а):поботанил. сдается мне что микротиковский прокси-арп тут не при делах.
цисковский:
Код: Выделить всё
ip nat inside source static 192.168.1.N 85.*.*.* extendable
подразумевает, что в локалке есть хост 192.168.1.N который виден с наружи как 85.*.*.*
соответственно циска никакой запрос arp в локалку хосту не передаёт, смысл? хост не ответит что он 85,,, ибо на нем прописан естественно только 192,,,
тоже и для микротика. ну включу я proxy-arp на интерефейсе. кто
Поэтому для себя вопрос оставляю открытым. Как перенести данный конфиг циски на микротик, куда прописать на микротике 85,,, (на циске он на интерфейсе не прописан, а только в строке ната)
?
Естественно не передает.
Мы говорили о том, что у вас на интерфейсе циски не указан по факту IP 85.*.*.*, но на арп запрос этого адреса она отвечает
В микрротике или прописать на ВАН интерфейс, или включить на ВАН интерфейсе прокси фрп (или локал прокси арп, ну не помню .. )
Re: Пул белых адресов на WAN и публикация сервисов
Добавлено: 17 янв 2018, 15:24
poppy
на интерфейсе циски не указан по факту IP 85.*.*.*, но на арп запрос этого адреса она отвечает
как такое нарисовать на микротике?
достаточно ли?
Код: Выделить всё
chain=dstnat action=dst-nat to-addresses=192.168.2.2 dst-address=85.х.х.х in-interface=pppoe-out1 log=no log-prefix=""
у меня сомнения, ведь 192,168,2,2 должен выходить в интернет с адреса 85,,, а не с адресом pppoe-out1
Re: Пул белых адресов на WAN и публикация сервисов
Добавлено: 17 янв 2018, 15:32
enzain
poppy писал(а):на интерфейсе циски не указан по факту IP 85.*.*.*, но на арп запрос этого адреса она отвечает
как такое нарисовать на микротике?
достаточно ли?
Код: Выделить всё
chain=dstnat action=dst-nat to-addresses=192.168.2.2 dst-address=85.х.х.х in-interface=pppoe-out1 log=no log-prefix=""
у меня сомнения, ведь 192,168,2,2 должен выходить в интернет с адреса 85,,, а не с адресом pppoe-out1
Да пропишите вы второй адрес на интерфейсе.
Только в интернет выход - придется делать два правила, именно для этого компа на который проброс - сделайте срцнат и именно на адрес 85....
Re: Пул белых адресов на WAN и публикация сервисов
Добавлено: 17 янв 2018, 15:39
poppy
enzain писал(а):poppy писал(а):на интерфейсе циски не указан по факту IP 85.*.*.*, но на арп запрос этого адреса она отвечает
как такое нарисовать на микротике?
достаточно ли?
Код: Выделить всё
chain=dstnat action=dst-nat to-addresses=192.168.2.2 dst-address=85.х.х.х in-interface=pppoe-out1 log=no log-prefix=""
у меня сомнения, ведь 192,168,2,2 должен выходить в интернет с адреса 85,,, а не с адресом pppoe-out1
Да пропишите вы второй адрес на интерфейсе.
Только в интернет выход - придется делать два правила, именно для этого компа на который проброс - сделайте срцнат и именно на адрес 85....
попробую, а как конкретно выглядит это правило? в out-interface что например писать?
Re: Пул белых адресов на WAN и публикация сервисов
Добавлено: 17 янв 2018, 15:56
enzain
poppy писал(а):enzain писал(а):poppy писал(а):как такое нарисовать на микротике?
достаточно ли?
Код: Выделить всё
chain=dstnat action=dst-nat to-addresses=192.168.2.2 dst-address=85.х.х.х in-interface=pppoe-out1 log=no log-prefix=""
у меня сомнения, ведь 192,168,2,2 должен выходить в интернет с адреса 85,,, а не с адресом pppoe-out1
Да пропишите вы второй адрес на интерфейсе.
Только в интернет выход - придется делать два правила, именно для этого компа на который проброс - сделайте срцнат и именно на адрес 85....
попробую, а как конкретно выглядит это правило? в out-interface что например писать?
Интерфейс на котором у вас интернет работает и на котором собственно адрес белый.
Т.е. в общем случае два адреса выглядят так
Вешаем ИПы (считая что в локалку смотрит ether2):
Код: Выделить всё
/ip address
add address=85.85.85.82/28 interface=ether1 network=85.85.85.80
add address=85.85.85.83/28 interface=ether1 network=85.85.85.80
add address=192.168.2.1/24 interface=ether2 network=192.168.2.0
Делаем срц и дст нат
Первая строка, полностью весь траффик на внутренний хост, вторая только порты 80 и 443
Третья строка - выход в интернет с хоста на который пробрасываем порты - закрепляем за адресом через который пробрасываем порты.
Четвертая строка - всех остальных пускаем в интернет по адресу другому
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=85.85.85.83 to-addresses=192.168.2.2
add action=dst-nat chain=dstnat dst-address=85.85.85.83 dst-port=80,443 protocol=tcp to-addresses=192.168.2.2
add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.2.2 to-addresses=85.85.85.83
add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.2.0/24 to-addresses=85.85.85.82
И кстати если интернет интерфейс - PPPoE даже если не задавать адрес второй, пакеты прилетать будут все равно ... попробую потестировать при такой схеме поместить адрес внутри сети микротика на прямую ... если интересует.. сможете на ту машину прописать прямо белый ип :)
Только мне нужна маска которую вам выдали и какие адреса используются у вас .... сколько у вас их вообще
Re: Пул белых адресов на WAN и публикация сервисов
Добавлено: 17 янв 2018, 21:20
poppy
В целом понятно. только почему маска 28? . Надо проверять.
я сильно выше описывал:
от прова одна сетка на линк 217..1/30 (через неё все 192,168,2,0/24 работают, ну кроме 192,168,2,2) 217,,2 прописан на интерфейсе( там слаба богу не pppoe)
и "просто" адрес 85,,,,, который, как указано выше, просто прописан статическим натом на 192,168,2,2
Re: Пул белых адресов на WAN и публикация сервисов
Добавлено: 17 янв 2018, 22:10
enzain
poppy писал(а):В целом понятно. только почему маска 28? . Надо проверять.
я сильно выше описывал:
от прова одна сетка на линк 217..1/30 (через неё все 192,168,2,0/24 работают, ну кроме 192,168,2,2) 217,,2 прописан на интерфейсе( там слаба богу не pppoe)
и "просто" адрес 85,,,,, который, как указано выше, просто прописан статическим натом на 192,168,2,2
Теперь мне не понятно ...
У вас бродкастный интерфейс?
А адрес вам 85... выдали /32?....
Тогда нужна схема маршрутизации, такое возможно, если этот адрес ваш провайдер маршрутизирует через ваш же 217...2
Покажите что-ли адреса нормальные я гляну как оно доходит до адреса вашего 85...
Можно в личку, смысла их скрывать не особо много :)
Re: Пул белых адресов на WAN и публикация сервисов
Добавлено: 17 янв 2018, 23:59
poppy
enzain писал(а): такое возможно, если этот адрес ваш провайдер маршрутизирует через ваш же 217...2
так так наверно он и сделал. я запросил услугу (дополнительный белый ip) и он мне его подал. на циске он толко в NATe прописан.
как оно доходит до адреса вашего 85...
да нормально доходит:
предпоследний хоп - 217...2
последний - он сам 85,,,
вот только, если я циску заменю на микртик, сконфигуренный как указано выше (85,,, вторым адресом на WAN интерефесе) то ИМХО tracerout будет другой. поэтому и дискутирую.
може эта строчка лишняя
Код: Выделить всё
add address=85.85.85.83/28 interface=ether1 network=85.85.85.80
надо стенд собирать((, в боевом режиме не попробовать.