помогите с microtik и белым ip в сети.

[buxta_baraxta 0]

Всем привет, ребят дайте совет. Парюсь уже какой день. 

Ситуация следующая есть Роутер Mikrotik(RouterOS) за ним локалка состоящая с VLan-ов v2 на управляемых комутаторах D-Link. Провайдер дал 2 чистых ip. 

Задача следующего характера, нужно в сети некому оборудованию присвоить ip-ник провайдера (белый ip) и подключатся к нему с мира по этому ip. Как правильно организовать?

С меня вкусное пиво))

Заранее благодарен.

Відредаговано 2015-09-02 17:11:39 buxta_baraxta

[Bernik 1]

внешную ІР привязали по влану?

[buxta_baraxta 0]

Нет не привязывал. На Микротике, в создании ВЛан можно указать только порт.

[buxta_baraxta 0]

Мне бы логику описать, что б я понял что мне нужно сделать. 

Відредаговано 2015-09-02 17:40:58 buxta_baraxta

[Bernik 1]

б***ь, выше стоящий провайдер внешнюю ІР привязал на влан? Или дает по дхцп?

[buxta_baraxta 0]

а йоп, дхцп.

[Bernik 1]

  В 02.09.2015 в 17:40, buxta_baraxta сказав:

а йоп, дхцп.

У тебя клиент который будет получать внешнюю ир по серой на езере висит?

 

Если да - пронать серую на внешку да и вся любовь.

Відредаговано 2015-09-02 17:42:51 Bernik

[buxta_baraxta 0]

Так было сделано первоначально, не подходит эта связка. Еще есть варианты? 

Клиенту нужна статика провайдера.

Відредаговано 2015-09-02 17:49:11 buxta_baraxta

[Bernik 1]

  В 02.09.2015 в 17:48, buxta_baraxta сказав:

Так было сделано первоначально, не подходит эта связка. Еще есть варианты? 

Клиенту нужна статика провайдера.

порты все прогнал? З.Ы. Если есть возможность дай доступ к тику - посмотрю.

[buxta_baraxta 0]

В личку через 5 минут.

[1550nm 0]

Поделитесь потом секретом как у вас получилось все реализовать 

[BlackVS 35]

  В 02.09.2015 в 17:48, buxta_baraxta сказав:

Так было сделано первоначально, не подходит эта связка. Еще есть варианты? 

Клиенту нужна статика провайдера.

А почему не подходит?

Вариант 1 - клиента в отдельный влан и бриджем на внешний интерфейс. Но как-то не комильфо....

Вариант 2 - клиент себе прописывает белый ип, на роутере выпускаем в мир его без ната (до маскарадинга именно для него делаем accept). И сооотвественно все пакеты снаружи на его ип форвардим - опять без всяких dst-nat ов - к нему. 

Відредаговано 2015-09-03 05:36:28 BlackVS

[dr.ghost 2]

Провайдер подключен в управляемые коммутатор? Если да то всё просто:

Делаете порт в access на провайдера, назначаете этому порту какой нибудь vlan (pvlan), пробрасываете его до микротика, на микротике поднимаете вилан (если хотите, но можно и прямо на интерефейсе микротика, но тогда порт коммутатора в Access), дальше этот тег пробрасываете гуда вам нужно и всё.

Если  нет то через костыль аля бридж, как было сказано выше.

[buxta_baraxta 0]

  В 03.09.2015 в 05:35, BlackVS сказав:

 

  В 02.09.2015 в 17:48, buxta_baraxta сказав:

Так было сделано первоначально, не подходит эта связка. Еще есть варианты? 

Клиенту нужна статика провайдера.

А почему не подходит?

Вариант 1 - клиента в отдельный влан и бриджем на внешний интерфейс. Но как-то не комильфо....

Вариант 2 - клиент себе прописывает белый ип, на роутере выпускаем в мир его без ната (до маскарадинга именно для него делаем accept). И сооотвественно все пакеты снаружи на его ип форвардим - опять без всяких dst-nat ов - к нему. 

 

А можно подробней о Варианте 2. ? Именно как выпустить его в мир мимо НАТА? В MikroTikах не силен, дали разобраться. 

[dandul 44]

можно еще через пппое выдать, если че

[buxta_baraxta 0]

  В 03.09.2015 в 08:01, dandul сказав:

можно еще через пппое выдать, если че

Как раз через РРРоЕ сейчас пытаюсь сделать. 

[рупор 0]

можно так

/ip firewall nat

add action=dst-nat chain=dstnat dst-address=белый IP to-addresses=\

    локальный IP

add action=src-nat chain=srcnat src-address=локальный IP to-addresses=\

    белый IP

[buxta_baraxta 0]

Кто подскажет насчет РРРоЕ? Ато чет ни как не могу разобратся. Создал сервер, создал профиль.

[buxta_baraxta 0]

Костыльный бридж не подходит, внутреняя локалка остается без нета.

[BlackVS 35]

  В 03.09.2015 в 07:52, buxta_baraxta сказав:

А можно подробней о Варианте 2. ? Именно как выпустить его в мир мимо НАТА? В MikroTikах не силен, дали разобраться.

Сел и сам задумался...

Выпустить-то как раз просто -

/ip firewall nat

add action=accept chain=srcnat src-address=белыйИП out-interface=ether-WAN

И это правило перед маскарадингом внешнего интерфейса.

Но ответы будут приходитьна роутер и дальше всё зависит от того, как у Вас настроено - какой ип и какая сеть пробиты на внешнем интерфейсе и какой ип и какая сеть - на клиенте... Если сети разные - то просто. Если же одинаковые - надо думать.

На ум приходит что-то типа:

 

/ip route

add distance=1 dst-address=белыйИП/32 gateway=ether1_lan

 

ether1_lan - интерфейс, где сидит клиент. Роутинг по интерфейсу по идее тупо отправляет пакет в указанный интерфейс. Нужно проверить %)

Відредаговано 2015-09-03 13:50:32 BlackVS

[BlackVS 35]

  В 03.09.2015 в 13:33, buxta_baraxta сказав:

Костыльный бридж не подходит, внутреняя локалка остается без нета.

А вы остальные правила корректировали? Скиньте конфигурацию сюда, чтобы было понятно, что там у Вас.

[Flying 166]

А если так?

 

/ip firewall nat

add action=netmap chain=srcnat comment="Mapping (реальник) > (внутренний)" src-address=(внутренний) to-addresses=(реальник)

add action=dst-nat chain=dstnat dst-address=(реальник) to-addresses=(внутренний)

 

не меняя при этом серый адрес клиента, что позволяет билингу работать с ним как с обычным клиентом.

 

Или нет?

[buxta_baraxta 0]

  В 03.09.2015 в 13:53, BlackVS сказав:

 

  В 03.09.2015 в 13:33, buxta_baraxta сказав:

Костыльный бридж не подходит, внутреняя локалка остается без нета.

А вы остальные правила корректировали? Скиньте конфигурацию сюда, чтобы было понятно, что там у Вас.

 

 

Конфигурацию чего именно скинуть? НАТА?

Оборудование которому нужно присвоить ip, находится в VLan-e

Відредаговано 2015-09-03 14:33:36 buxta_baraxta

[BlackVS 35]

  В 03.09.2015 в 14:32, buxta_baraxta сказав:

Конфигурацию чего именно скинуть? НАТА?

Оборудование которому нужно присвоить ip, находится в VLan-e

Всю, разве что без паролей.

В текстовом виде делается так - в терминале набрать:

export compact file=имя_файла

В Files появится файл имя_файла.rsc

Это обычный текстовый файл с конфигурацией (и паролями - так что осторожно).

[DemonidZe 15]

1 вариант) на микротике на интерфейсе который смотрит в сторону вашей сети создаете влн собираете его  в бридж с интерфейсом который подсоединен к прову (wan) на свиче забираете этот влан тагом и на порту к которому подключено оборудование делаете порт унтагет для этого влана далее на устройстве прописываете настройки вашего провайдера. (Надо пробовать не уверен что работоспособно)

2 вариант) должен работать 99% на микротие свичуете wan порт со свободным портом (или в бридж если в свитч уже собраны) кабель со свободного порта включаете в длинк создаете влан да длинке (порты в антагет)и тянете его до нужного оборудования. другая проблема не знаю возможно ли у вас подключение второго кабеля в свитч и есть ли свободные порты на икроте.