Russian Users MikroTik | Форум пользователей MikroTik

Имеется микротик RB4011iGS+ firmware 6.44.5 . От провайдера приходят два белых ip-адреса 1.1.1.98/29 и 1.1.1.99/29 по одному проводу, который подключен в порт ether1.
Необходимо один айпи - 1.1.1.98/29 использовать для выхода в интернет для локальных интерфейсов ether6 и ether7. Это настроено через объединение интерфейсов в bridge-lan.
Второй ip-адрес - 1.1.1.99/29 необходимо прокинуть на интерфейс ether2 . Причём к локальной сети существующей не имеет никакого отношения.

Каким образом можно осуществить проброс второго внешнего ip-адреса 1.1.1.99/29 на интерфейс ether2, чтобы устройство подключенное к этому порту получало внешний ip и не имело ограничений firewall-ом самого микротика?

объединить ether1 и ether2 в один бридж.
Это как бы оно и будет.
Только потом еще логику firewall’а подкорректировать.

Ну и надо адрес самого микротика перенести с ether1 на этот bridge-wan.

Так и пробую настроить, объединив ether1 и ether2 в bridge-wan
что имено надо подкорректировать в firewall ?
А то получается, что устройство подключенное в порт ether2 откликается на ip - 1.1.1.98/29 и с интернета ip - 1.1.1.99/29 недоступен.

/ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=bridge-wan log=no log-prefix=""

paragmatic писал(а): ↑18 сен 2019, 13:52 Так и пробую настроить, объединив ether1 и ether2 в bridge-wan
что имено надо подкорректировать в firewall ?
А то получается, что устройство подключенное в порт ether2 откликается на ip - 1.1.1.98/29 и с интернета ip - 1.1.1.99/29 недоступен.

Ну у вас раньше wan-портом был ether1 и весь firewall (да и не только он) был настроен в соответствии с этим, теперь wan-портром будет bridge-wan.

Ну как бы назначьте и на микротике и на том устройстве адреса статически :)

само собой переназначено:

/ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE

3 1.1.1.98/29 1.1.1.96 bridge-wan

firewall тоже поправлен вместо ether1 на bridge-wan

xvo писал(а): ↑18 сен 2019, 13:58

paragmatic писал(а): ↑18 сен 2019, 13:52 Так и пробую настроить, объединив ether1 и ether2 в bridge-wan
что имено надо подкорректировать в firewall ?
А то получается, что устройство подключенное в порт ether2 откликается на ip - 1.1.1.98/29 и с интернета ip - 1.1.1.99/29 недоступен.

Ну у вас раньше wan-портом был ether1 и весь firewall (да и не только он) был настроен в соответствии с этим, теперь wan-портром будет bridge-wan.

Ну как бы назначьте и на микротике и на том устройстве адреса статически :)

Всё поправлено как положено!

при включенном /interface bridge settings set use-ip-firewall=yes
- проблема не устанилась - ether2 откликается на ip - 1.1.1.98/29 и с интернета ip - 1.1.1.99/29 недоступен.
при /interface bridge settings set use-ip-firewall=no - сеть устройтва на порту ether2 вообще не работает. Хотя при такой настройке должно всё работать.

стоп
1) на втором порту устройство независимо? или как?
если оно откликается и выходить в интернет с адресом 98/29, значит я предпологаю,
что устройство на втором порту имеет внутренний адрес, и уже ныряя через роутер,
выходить с адреса 98/29, так как этот адрес по-умолчанию
2) надо определиться из первого пункта, мы делаем проброс адреса 99/29 ПРЯМО на устройство
(если это так, то адрес надо ставить на устройстве), или нам надо принять пакеты со второго порта
и (не важно кем они были посланы) и спрятав их, отправить в Интернет от адреса 99/29 только.

Вы очень скользко описали задачу и даже я перечитав не понимаю её до конца верно.

P.S.
Зачем трогать файрвол бриджей вообще?