Страница 1 из 4
Белый IP для клиента, по-взрослому
Добавлено: 12 дек 2014, 11:51
Felix
Доброго времени суток, Гуру!
Задача:
На входе MikroTik CCR есть пул белых IP типа 51.52.53.54/28
Клиенту нужно отдать 51.52.53.ХХ/30, то есть нужен "честный IP, адрес/маска/шлюз"
Про "/ip firewall nat add action=dst-nat chain=dstnat.." знаю и даже реализовал уже пару адресов из пула,
но это подмена адресов. Клиент все равно получает мои ЛАНовский адреса..
А как по-честному? Мысли какие нибудь есть?
Re: Белый IP для клиента, по-взрослому
Добавлено: 12 дек 2014, 11:58
vqd
Смотрите архитектуру вашей сети, находите способ как клиента вывести в ДМЗ и отдаете ему реальный адрес на его оборудование
Re: Белый IP для клиента, по-взрослому
Добавлено: 12 дек 2014, 12:25
Felix
О! ДМЗ! Как-то я не подумал..
Спасибо. Буду вкуривать..
Re: Белый IP для клиента, по-взрослому
Добавлено: 12 дек 2014, 14:14
gmx
А еще можно порт WAN объединить в бридж с еще одним портом и включить клиента непосредственно в него.
Re: Белый IP для клиента, по-взрослому
Добавлено: 12 дек 2014, 14:42
Felix
Объединить в бридж?
По-моему - не вариант, как тогда его (клиента) ограничить только подпулом?
Видны-то будут все адреса..
Или я не прав?
Или...
/interface bridge nat
Сюда рулить? Примерчик есть?
Re: Белый IP для клиента, по-взрослому
Добавлено: 12 дек 2014, 15:24
vqd
выкидываете в бридж, настраиваете фильтрацию
Re: Белый IP для клиента, по-взрослому
Добавлено: 12 дек 2014, 15:31
olegs
если клиент по VPN то просто ip выдать /32 + в нате "add action=masquerade chain=srcnat src-address=!51.52.53.0/24
или только VLAN
чтоб не натило белые адреса
/ip firewall nat add action=masquerade chain=srcnat comment=accept_list src-address=!51.52.53.0/24 src-address-list=accept_list
1 ip
/ip firewall address-list add address=51.52.53.102 comment=51.52.53.102_accept list=accept_list
или блок ip/30
/ip firewall address-list add address=51.52.53.100/30 comment=51.52.53.100/30_accept list=accept_list
создать VLAN у меня интерфейс "SFP3"
/interface vlan add interface=sfp3 l2mtu=1586 name=vlan1 vlan-id=1
добавить ip к "vlan1"
/ip address add address=51.52.53.101/30 comment=W-IP interface=vlan1 network=51.52.53.100
ВАЖНОООО первым делом проверьте что вы есть в этом адрес листе !!! и DROP обязательно последним правилом ))) иначе вход только по маку можно будет осуществить!!!
/ip firewall filter add chain=forward src-address-list=accept_list
/ip firewall filter add chain=forward dst-address-list=accept_list
/ip firewall filter add action=drop chain=forward
Re: Белый IP для клиента, по-взрослому
Добавлено: 12 дек 2014, 15:35
vqd
жесть какая
Re: Белый IP для клиента, по-взрослому
Добавлено: 12 дек 2014, 15:42
olegs
все очень легко ))) , сами же просили по взрослому
есть ли вариант PPtP или PPPoE ?? использовать??
Re: Белый IP для клиента, по-взрослому
Добавлено: 12 дек 2014, 15:50
vqd
у вас жесть
Если VLAN то строим бридж с внешним интерфейсом, далее по правилу хорошего тона на статичный адреса не стоит использовать маскарадинг а использовать src-nat собственно в котором и указываем на какой внешний адрес подмену делать (это для фейковой сети), в качестве исходящего интерфейса выбираем бридж.
На клиенте прописываем свободный внешний ИП и шлюз оператора.
Собственно и все. Дальше настраиваем фильтрацию если необходимо запретить хождение трафика в стороны