Доброго времени суток, Гуру!
Задача:
На входе MikroTik CCR есть пул белых IP типа 51.52.53.54/28
Клиенту нужно отдать 51.52.53.ХХ/30, то есть нужен "честный IP, адрес/маска/шлюз"
Про "/ip firewall nat add action=dst-nat chain=dstnat.." знаю и даже реализовал уже пару адресов из пула,
но это подмена адресов. Клиент все равно получает мои ЛАНовский адреса..
А как по-честному? Мысли какие нибудь есть?
Белый IP для клиента, по-взрослому
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Смотрите архитектуру вашей сети, находите способ как клиента вывести в ДМЗ и отдаете ему реальный адрес на его оборудование
Есть интересная задача и бюджет? http://mikrotik.site
-
Felix
- Сообщения: 9
- Зарегистрирован: 26 ноя 2014, 21:03
О! ДМЗ! Как-то я не подумал.. 
Спасибо. Буду вкуривать..
Спасибо. Буду вкуривать..-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
А еще можно порт WAN объединить в бридж с еще одним портом и включить клиента непосредственно в него.
-
Felix
- Сообщения: 9
- Зарегистрирован: 26 ноя 2014, 21:03
Объединить в бридж?
По-моему - не вариант, как тогда его (клиента) ограничить только подпулом?
Видны-то будут все адреса..
Или я не прав?
Или...
/interface bridge nat
Сюда рулить? Примерчик есть?
По-моему - не вариант, как тогда его (клиента) ограничить только подпулом?
Видны-то будут все адреса..
Или я не прав?
Или...
/interface bridge nat
Сюда рулить? Примерчик есть?
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
olegs
- Сообщения: 26
- Зарегистрирован: 12 дек 2014, 15:08
- Откуда: Коломна
если клиент по VPN то просто ip выдать /32 + в нате "add action=masquerade chain=srcnat src-address=!51.52.53.0/24
или только VLAN
чтоб не натило белые адреса
/ip firewall nat add action=masquerade chain=srcnat comment=accept_list src-address=!51.52.53.0/24 src-address-list=accept_list
1 ip
/ip firewall address-list add address=51.52.53.102 comment=51.52.53.102_accept list=accept_list
или блок ip/30
/ip firewall address-list add address=51.52.53.100/30 comment=51.52.53.100/30_accept list=accept_list
создать VLAN у меня интерфейс "SFP3"
/interface vlan add interface=sfp3 l2mtu=1586 name=vlan1 vlan-id=1
добавить ip к "vlan1"
/ip address add address=51.52.53.101/30 comment=W-IP interface=vlan1 network=51.52.53.100
ВАЖНОООО первым делом проверьте что вы есть в этом адрес листе !!! и DROP обязательно последним правилом ))) иначе вход только по маку можно будет осуществить!!!
/ip firewall filter add chain=forward src-address-list=accept_list
/ip firewall filter add chain=forward dst-address-list=accept_list
/ip firewall filter add action=drop chain=forward
или только VLAN
чтоб не натило белые адреса
/ip firewall nat add action=masquerade chain=srcnat comment=accept_list src-address=!51.52.53.0/24 src-address-list=accept_list
1 ip
/ip firewall address-list add address=51.52.53.102 comment=51.52.53.102_accept list=accept_list
или блок ip/30
/ip firewall address-list add address=51.52.53.100/30 comment=51.52.53.100/30_accept list=accept_list
создать VLAN у меня интерфейс "SFP3"
/interface vlan add interface=sfp3 l2mtu=1586 name=vlan1 vlan-id=1
добавить ip к "vlan1"
/ip address add address=51.52.53.101/30 comment=W-IP interface=vlan1 network=51.52.53.100
ВАЖНОООО первым делом проверьте что вы есть в этом адрес листе !!! и DROP обязательно последним правилом ))) иначе вход только по маку можно будет осуществить!!!
/ip firewall filter add chain=forward src-address-list=accept_list
/ip firewall filter add chain=forward dst-address-list=accept_list
/ip firewall filter add action=drop chain=forward
Последний раз редактировалось olegs 12 дек 2014, 15:44, всего редактировалось 2 раза.
CCR1036-12G-4S + RB2011UiAS
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
olegs
- Сообщения: 26
- Зарегистрирован: 12 дек 2014, 15:08
- Откуда: Коломна
все очень легко ))) , сами же просили по взрослому 
есть ли вариант PPtP или PPPoE ?? использовать??
есть ли вариант PPtP или PPPoE ?? использовать??
CCR1036-12G-4S + RB2011UiAS
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
у вас жесть
Если VLAN то строим бридж с внешним интерфейсом, далее по правилу хорошего тона на статичный адреса не стоит использовать маскарадинг а использовать src-nat собственно в котором и указываем на какой внешний адрес подмену делать (это для фейковой сети), в качестве исходящего интерфейса выбираем бридж.
На клиенте прописываем свободный внешний ИП и шлюз оператора.
Собственно и все. Дальше настраиваем фильтрацию если необходимо запретить хождение трафика в стороны
Если VLAN то строим бридж с внешним интерфейсом, далее по правилу хорошего тона на статичный адреса не стоит использовать маскарадинг а использовать src-nat собственно в котором и указываем на какой внешний адрес подмену делать (это для фейковой сети), в качестве исходящего интерфейса выбираем бридж.
На клиенте прописываем свободный внешний ИП и шлюз оператора.
Собственно и все. Дальше настраиваем фильтрацию если необходимо запретить хождение трафика в стороны
Есть интересная задача и бюджет? http://mikrotik.site