1:1 Nat help when behind a Nat router.

Нам нужно выдать клиенту статический IP для настройки их биллингового сервера. Так что нам придётся делать 1:1 NAT этого IP для клиента. Оказывается, проблема в другом, и мы выясняем, нужно ли нам заменить PowerNOC BMU, потому что он блокирует multi-DMZ и NAT. Мы сейчас пытаемся решить эту проблему с PowerNOC и планируем заменить всю систему на Mikrotik, и надеемся, что 2.9 бета-версия достаточно стабильна для работы роутера, ведь нам нужно балансировать нагрузку между 2 WAN-подключениями. Но как только мы это решим, мне нужно знать, как лучше настроить NAT на Mikrotik-сервере с point-to-point bridge до одиночной релейной вышки, а затем и до клиента. Поэтому, узнав это, мне не придётся использовать IP 0.70 вообще, только 5.26. Наша схема выглядит так: роутер Xincom: 192.168.0.1, Mikrotik-сервер: 192.168.5.26, релейный бридж: 192.168.5.36, клиентский бридж: 192.168.5.38, клиентский IP: 192.168.5.150. Так что мне просто нужно знать, как настроить 1:1 NAT или статический маршрут для перенаправления трафика на роутере Xincom как 1:1 NAT с 66.15.99.196 на 192.168.5.26, потому что я не думаю, что роутер вообще видит 192.168.5.150, если только он не находится в физической сети. Могу ошибаться.

Окей… Xincom — это двухпроводной роутер. Распределение нагрузки Wan1: 24.73.65.14/30 Wan2: 66.15.99.193 - 196/24 Lan: 192.168.0.1 BMU: 192.168.0.20 (bridged bandwidth unit with bridged ip’s) Ip2: 192.168.15.1/24 (используется для регистрации в хотспоте) Ip3: 192.168.5.1/24 (сетевой ip-класс инфраструктуры) Ip4: 192.168.60.1/24 (ip-класс клиента) Я настроил мульти-DMZ в роутере Xincom: WanIp2: 66.15.99.196 <----> Mikrotik Server: 192.168.5.26. Теперь нужно, чтобы он перенаправлял весь трафик, идущий на 66.15.99.196, на CPE: 192.168.5.150. Или ты знаешь более простой способ?

Мы работаем над тестовым устройством, чтобы научиться настраивать Mikrotik в качестве роутера балансировки нагрузки, заменяющего Xincom, но потребуется ещё немного времени, прежде чем мы будем достаточно уверены в его использовании в качестве нашего универсального роутера, точки доступа и беспроводного моста. Так что пока нам нужно перенаправить внешний IP 66.15.99.196 на клиентский CPE Switch: 192.168.5.150.

Ну, они там называют это "много-демилитаризованная зона", на самом деле это просто их название. Я сделал 66.15.99.196 <—> 192.168.5.150. MT Router – это просто прозрачный мост, никакой маршрутизации. Похоже, проблема в том, что Xincom не видит другой IP, типа 192.168.5.x, даже если это из класса B. Так что мы попробуем перевести его на внутренний IP-адрес. И да, я согласен насчет 192.168.0.x, но это уже было установлено, когда я пришел, и чтобы изменить это без сбоев, понадобится какое-то время и приличный роутер. Что-то, над чем можно подумать в будущем, когда я лучше разберусь с маршрутизацией Mikrotik, так как планирую собрать роутер Mikrotik для экспериментов. Ценю твою помощь с этой проблемой. Именно вопросы, которые ты задавал, заставили меня задуматься о возможности того, что роутер не любит все, что не находится в блоке IP-адресов 192.168.0.x.

Привет, GJS, можешь рассказать об этом подробнее? Я никогда не использовал proxy-ARP и хотел бы лучше понять, как это работает.

Окей, я не эксперт, но вот основы. Когда понимаешь, как это работает, то удивляешься, какое количество устройств это используют. Например, возьмём PPP-соединение с провайдером. Предположим, что провайдер выделил тебе адресное пространство 1.1.1.0/24. Любой пакет из интернета, адресованный к одному из твоих адресов, маршрутизируется твоим провайдером к твоему PPP-соединению. В твоей сети между твоим пограничным роутером и хостом, которому нужно назначить определённый адрес, может быть много роутеров или других устройств. На локальной стороне твоего пограничного роутера ARP используется для поиска MAC-адреса следующего узла в твоей сети. Если на устройстве на этом следующем узле включён proxy ARP, оно будет предоставлять ответ ARP для любого адреса, который есть в его таблице маршрутизации. Возьмём этот пример сети, где мы хотим назначить публичный адрес 1.1.1.3 хосту за MT-роутером: PPP<–>пограничный роутер(1.1.1.1)<—>(1.1.1.2)MT(10.0.0.1)<—>(1.1.1.3)хост Proxy-ARP нужно включить на публичном интерфейсе MT (1.1.1.2), и должна быть запись в таблице маршрутизации следующего вида: # DST-ADDRESS GATEWAY DISTANCE INTERFACE
1 S 1.1.1.3/24 10.0.0.1 1 private Теперь MT будет предоставлять ARP-ответ, когда пакет придёт на публичный интерфейс с dst-addr 1.1.1.3 и маршрутизировать его к приватному интерфейсу (10.0.0.1). Для того, чтобы пакеты шли от хоста к PPP-соединению, нужен и proxy-ARP, и подходящий маршрут на приватном интерфейсе, хотя можно использовать и другие режимы, если шлюз на хосте установлен на 10.0.0.1. Этот метод можно использовать для "перехода" через любое количество роутеров в сети, при условии, что каждый из них поддерживает proxy-ARP. Надеюсь, это пролило немного света.

Как я уже говорил, это зависит от того, чего вы хотите достичь в локальной сети. Если у вас несколько хопов, вам понадобится proxy-ARP на обоих интерфейсах. Я использую ARP-reply только на локальной сети (один хоп) для дополнительной безопасности, что работает с некоторыми устройствами. Если на интерфейсе локальной сети нет proxy-ARP, вам нужно использовать приватный адрес в качестве шлюза на хосте. Похоже, Windows без проблем принимает шлюз на другой сети (IP 1.1.1.3, маска 255.255.255.0, GW 10.0.0.1, в примере выше), а Linux, видимо, нет.

Не за что, Марвин. Да, этот метод действительно имеет преимущество в том, что ты записываешь реальный IP-адрес на устройство клиента. Записывать на него приватный адрес, а потом пытаться убедить клиента, что это публичный – не лучший вариант. Если у тебя два хопа после твоего MT, тебе нужно будет включить proxy-ARP с обеих сторон MT. А вот если следующий хоп — это бридж, а затем устройство клиента, например, Интернет<–>MT<–>бридж<–>Host (компьютер клиента), думаю, ничего больше не потребуется. Я не очень хорошо разбираюсь в работе бриджей, но ведь они работают только на уровне MAC, верно? Значит, по отношению к IP-адресации они будут прозрачны? Надеюсь, кто-нибудь вставится и поправит меня, если я не прав.