Mikrotik - Выдача реальных (белых) IP адресов пользователям
Пару раз в месяц получаю письма с вопросами: Мне провайдер выдал N-количество
белых IP-адресов. Как их раздать некоторым моим пользователям, но так
чтобы остальные пользовались NAT-ом.
На самом деле микротик от части так не умеет :( Но используя некоторые
грабли и костыли все таки выдать такие адреса можно.
BRIDGE
Наверное самый красивый и более-менее простой способ.
Но в некоторых случаях неприемлемый за счет слияния сетей.
Поднимаем брижд и в качестве портов указываем интерфейс
провайдера и локальной сети.
/interface bridge add name=main
/interface bridge port add bridge=main interface=INET
/interface bridge port add bridge=main interface=LAN
Разрешим прохождение пакетов не напрямую а через /ip firewall
/interface bridge settings set use-ip-firewall=yes
Теперь можно назначить ip адрес микротику используя в
качестве интерфейса мост "main"
Так же можно натить трафик с серых адресов используя:
/ip firewall nat add action=masquerade chain=srcnat disabled=no
out-interface=main
Ну и естественно назначать машинам на интерфейсе LAN белые
адреса которые вам выдал провайдер и контроллировать прохождение этого
трафика через /ip firewall.
Недостатком способа является тот факт что провайдер теперь
может видеть всю вашу сеть LAN т.к. интерфейсы объеденены в мост, так
же весь Broadcast, multicast трафик распостраняется в обе стороны.
/interface bridge filter
/ip firewall filter
Позволят устранить этот недостаток.
NETMAP
Для примера, провайдер выдал нам диапазон: 78.23.17.0/29
В данной подсети его шлюз равен 78.23.17.1 остальные адреса выделены
нам: 78.23.17.2-78.23.17.6
Назначаем адреса:
/ip address add address=78.23.17.2/29 interface=INET
/ip address add address=78.23.17.3/29 interface=INET
/ip address add address=78.23.17.4/29 interface=INET
/ip address add address=78.23.17.5/29 interface=INET
/ip address add address=78.23.17.6/29 interface=INET
/ip address add address=192.168.0.1/24 interface=LAN
Адрес 78.23.17.2/29 мы оставим для нужд самого микротика и последующего
NAT. Итого имеем 4 свободных адреса.
Делаем NAT для адресов которые не попали в список "netmap_ip"
/ip firewall nat add action=masquerade chain=srcnat src-address-list=!netmap_ip
disabled=no out-interface=INET
NetMap адресов которым будет замаплен белый адрес:
/ip firewall nat add chain=srcnat src-address=192.168.0.3 action=netmap
to-addresses=78.23.17.3
/ip firewall nat add chain=dstnat dst-address=78.23.17.3 action=netmap
to-addresses=192.168.0.3
/ip firewall nat add chain=srcnat src-address=192.168.0.4 action=netmap
to-addresses=78.23.17.4
/ip firewall nat add chain=dstnat dst-address=78.23.17.4 action=netmap
to-addresses=192.168.0.4
/ip firewall nat add chain=srcnat src-address=192.168.0.5 action=netmap
to-addresses=78.23.17.5
/ip firewall nat add chain=dstnat dst-address=78.23.17.5 action=netmap
to-addresses=192.168.0.5
/ip firewall nat add chain=srcnat src-address=192.168.0.6 action=netmap
to-addresses=78.23.17.6
/ip firewall nat add chain=dstnat dst-address=78.23.17.6 action=netmap
to-addresses=192.168.0.6
Ну и внесем их в список для того чтобы они не попали в маскарадинг:
/ip firewall address-list add list="netmap_ip" address=192.168.0.3
/ip firewall address-list add list="netmap_ip" address=192.168.0.4
/ip firewall address-list add list="netmap_ip" address=192.168.0.5
/ip firewall address-list add list="netmap_ip" address=192.168.0.6
Таким образом мы получили двойные адреса для пользователей, но в большой
сети их будет видно по белым адресам и соответственно все их порты.
Так же с помощью Netmap можно мапить целые диапазоны но это только по
документации, на самом же деле winbox просто не дает вписать диапазон
вида 192.168.0.2-192.168.0.254, только так 192.168.0.0/24 а это нам
не совсем подходит.
При использовании материалов ссылка на автора и источник ОБЯЗАТЕЛЬНЫ!
Автор: Григорьев Дмитрий (Inlarion) (C) 26.06.2013
Теги: Mikrotik, Микротик, Выдача реальных адресов, выдача
белых ip, netmap, bridge. |