Russian Users MikroTik | Форум пользователей MikroTik

Добрый день.
Возник следующий вопрос: провайдер дает 2 ip адреса в одной подсети,! с одним шлюзом, !на одном интерфейсе IP 1.1.1.174;1.1.1.175 шлюз 1.1.1.161
Необходимо, что бы с одного локального ip 192.168.10.58 машина выходила в мир через 1.1.1.175

Прописываю второй адрес на тот же интерфейс:
add address=1.1.1.174/27 interface=ether1 network=1.1.1.160
add address=1.1.1.175/27 interface=ether1 network=1.1.1.160

/Красим трафик с нужного IP:
add action=mark-routing chain=prerouting new-routing-mark=3cx1 passthrough=no src-address=192.168.10.58

Добавляю правило NAT:
/при обращение не в локальную сеть, с ip 192.168.10.58, маркированный траффик отправлять на 1.1.1.175
add action=src-nat chain=srcnat dst-address=!192.168.10.0/24 out-interface=ether1 routing-mark=3cx1 src-address=192.168.10.58 to-addresses=1.1.1.175

/входящий траффик на 1.1.1.175 отправлять на локальный ip 192.168.10.58
add action=netmap chain=dstnat dst-address=1.1.1.175 to-addresses=192.168.10.58

/ip route
add distance=1 gateway=1.1.1.161
add distance=1 dst-address=1.1.1.160/27 gateway=ether1 pref-src= 1.1.1.175 scope=10

На сколько понимаю, при выходе с 192.168.10.58 на myip.ru, должен отображаться адрес 1.1.1.175, но при включении всех правли пинг в мир на 192.168.10.58 пропадает.
Что я сделал не так? Что нужно добавить?

Этот вопрос совсем недавно возникал. Я предложил решение, но воспрошающий не ответил, получилось у него или нет.
Я проверить на реально интернете не могу.
Будьте добры, проверьте и отпишитесь.


Вот статья:
2 IP на одном WAN

Данный вопрос возникает на форуме с завидным постоянством, поэтому решил написать небольшую статью и даже для этого собрал небольшой стенд у себя на рабочем столе.

Итак, схема следующая:


Простейшие настройки просто опишу без скринов:

1. Удаление текущей конфигурации (если необходимо).
2. Создание бриджа и добавление в него Ether2, Ether3, Ether4.
3. Назначим IP на бридж микротика из диапазона локальной сети. То есть он будет шлюзом для локальной сети.


Все как на схеме выше.

4. Назначаем IP адреса на порт WAN, он же Ether1.


5. Теперь основной маршрут.

Проверяем пинг с Микротика



6. Проверяем IP компьютера, как в схеме.

Проверям пинг с компьютера до Googla (его естественно быть не должно)



6. Начинается самое интересное. Просто маскарадинг нам не подходит.
Нужно, компьютер с IP адресом 192.168.1.19 выпустить в мир с IP адреса WAN 192.168.77.20.

Добавляем правило:



А теперь можно проверить инет:


Вы можете посетить сайт, например, 2ip.ru, где можно проверить ваш IP адрес. В моем случае все сложнее. У меня это четвертый уровень NAT, поэтому я могу проверить только через Torch на вышестоящем микротике.

Обратите внимание, на вышестоящем микротике (192.168.77.1) в таблице ARP появились оба IP адреса, которые WAN для второго микротика.


Запущу Torh на адресе 192.168.77.20:


и в это же время по другому IP:


Переключим в правило SCRNAT на другой IP

Hukuta писал(а):Добрый день.
Добавляю правило NAT:
/при обращение не в локальную сеть, с ip 192.168.10.58, маркированный траффик отправлять на 1.1.1.175
add action=src-nat chain=srcnat dst-address=!192.168.10.0/24 out-interface=ether1 routing-mark=3cx1 src-address=192.168.10.58 to-addresses=1.1.1.175

Мне кажется Вы усложнили процесс.

Попробуйте без маркировки, просто явно пронатить адрес локальный через нужный интерфейс и явно через адрес второй-внешний.
(или даже попробуйте сначала более "грубое правило", без интерфейса, нат и от какова адреса)
То есть уберите явную маркировку (признак маркировки).

gmx
По сути у меня почти так и настроено. По вашей версии: убрал лишнее в виде mangle, оставил простое правило src_nat. У меня так же, с правилом через первый IP адрес все работает, если менять action src_nat To Adresses на второй IP то пинг наружу пропадает, в локалке есть. Я думаю тут проблема в маршрутах.

Vlad-2
Пробовал - не работает(

Hukuta писал(а):Vlad-2
Пробовал - не работает(

Итак, Основная картина:
Взял соседний реальный адрес, он как и первый на одном интерфейсе, у меня это вилан. Маска и название интерфейса говорит само
за себя. Они (адреса) на одном интерфейсе. Шлюз тоже один. Провайдер даёт обычную статику.

Также в файрволле создал два правила, где выпускаю комп 25-74 наружу, и одно правило - это когда комп идёт во внешку
с адреса 185, и уже второе правило когда выпускаю во внешку уже от 186.
Внизу картинки с примерами и итогами.

НАТ правила у меня не маркируются. Маркируются у меня только каналы.
Такую подстановку я сейчас сделал дома сам, но один раз делал уже и в конторе,
всё работает.

Минус один небольшой есть: я когда сейчас делал переключения, в Коннекшен-таблице
оставались коннекшены, поэтому быстрая проверка тут не канает, либо ждать либо коннекшены руками очищать.
Но задача была показать, что имея второй адрес, можно зарулить трафик отдельной взятой машину, через
второй адрес.



----------------

Всем спасибо. Конфигурация рабочая. Можно трафик и не красить. Ларчик открывался просто: у провайдера все же была привязка к мак адресу одного айпишника, хотя при прошлых звонках уверял, что все норм.

Hukuta писал(а):Всем спасибо. Конфигурация рабочая. Можно трафик и не красить. Ларчик открывался просто: у провайдера все же была привязка к мак адресу одного айпишника, хотя при прошлых звонках уверял, что все норм.

Я ж говорил!

Кстати, пришлось сегодня же своей же идеей воспользоваться...
ГосУслуги почему то в блок поставили адрес, по разным каналам сказали,
что если много запросов, то адрес в анти-дос ставят.
Сделал НАТ от соседнего адреса в конторе - доступ пошёл.
Так что вовремя с Вами сделали повторение..

Приветствую.
Нужен совет, настроил примерно в такой же конфигурации как и описано ранее.

На данный момент наблюдаю что прохождение трафика идет как нужно, но скорость передачи очень мала (~1.2kb/s)

Помогите кто чем может

Товарищи, приветствую.
Помогите кто чем может :)

Задача именно такая же, выпустит из локалки один из айпи адресов во внешку через второй айпи привязанный к внешнему интерфейсу.

Но правило в src-nat как будто не работает, все счетчики по нулям.