 |
|||||||||||||
|
|
|||||||||||||
|
Mikrotik - Выдача реальных (белых) IP адресов пользователям Пару раз в месяц получаю письма с вопросами: Мне провайдер выдал N-количество белых IP-адресов. Как их раздать некоторым моим пользователям, но так чтобы остальные пользовались NAT-ом. На самом деле микротик от части так не умеет :( Но используя некоторые грабли и костыли все таки выдать такие адреса можно.
BRIDGE Наверное самый красивый и более-менее простой способ. Но в некоторых случаях неприемлемый за счет слияния сетей. Поднимаем брижд и в качестве портов указываем интерфейс провайдера и локальной сети. /interface bridge add name=main /interface bridge port add bridge=main interface=LAN
Разрешим прохождение пакетов не напрямую а через /ip firewall /interface bridge settings set use-ip-firewall=yes
Теперь можно назначить ip адрес микротику используя в качестве интерфейса мост "main" Так же можно натить трафик с серых адресов используя: /ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=main Ну и естественно назначать машинам на интерфейсе LAN белые адреса которые вам выдал провайдер и контроллировать прохождение этого трафика через /ip firewall. Недостатком способа является тот факт что провайдер теперь может видеть всю вашу сеть LAN т.к. интерфейсы объеденены в мост, так же весь Broadcast, multicast трафик распостраняется в обе стороны. /interface bridge filter Позволят устранить этот недостаток.
NETMAP
Для примера, провайдер выдал нам диапазон: 78.23.17.0/29 В данной подсети его шлюз равен 78.23.17.1 остальные адреса выделены нам: 78.23.17.2-78.23.17.6 Назначаем адреса:
/ip address add address=78.23.17.2/29 interface=INET
/ip address add address=78.23.17.3/29 interface=INET /ip address add address=78.23.17.4/29 interface=INET /ip address add address=78.23.17.5/29 interface=INET /ip address add address=78.23.17.6/29 interface=INET /ip address add address=192.168.0.1/24 interface=LAN
Адрес 78.23.17.2/29 мы оставим для нужд самого микротика и последующего NAT. Итого имеем 4 свободных адреса.
Делаем NAT для адресов которые не попали в список "netmap_ip" /ip firewall nat add action=masquerade chain=srcnat src-address-list=!netmap_ip disabled=no out-interface=INET
NetMap адресов которым будет замаплен белый адрес: /ip firewall nat add chain=srcnat src-address=192.168.0.3 action=netmap
to-addresses=78.23.17.3 /ip firewall nat add chain=srcnat src-address=192.168.0.4 action=netmap
to-addresses=78.23.17.4 /ip firewall nat add chain=srcnat src-address=192.168.0.5 action=netmap
to-addresses=78.23.17.5 /ip firewall nat add chain=srcnat src-address=192.168.0.6 action=netmap
to-addresses=78.23.17.6
Ну и внесем их в список для того чтобы они не попали в маскарадинг: /ip firewall address-list add list="netmap_ip" address=192.168.0.3
Таким образом мы получили двойные адреса для пользователей, но в большой сети их будет видно по белым адресам и соответственно все их порты. Так же с помощью Netmap можно мапить целые диапазоны но это только по документации, на самом же деле winbox просто не дает вписать диапазон вида 192.168.0.2-192.168.0.254, только так 192.168.0.0/24 а это нам не совсем подходит.
При использовании материалов ссылка на автора и источник ОБЯЗАТЕЛЬНЫ! Автор: Григорьев Дмитрий (Inlarion) (C) 26.06.2013 Теги: Mikrotik, Микротик, Выдача реальных адресов, выдача белых ip, netmap, bridge. |
|||||||||||||
|
|||||||||||||
