+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Использование публичных IP-адресов на локальных клиентах без NAT В большинстве случаев, при подключении к сети, ваш локальный клиент получает IP-адрес из локальной подсети, а затем NAT-маршрутизатор переводит его в публичный IP-адрес при подключении к ин

Использование публичных IP-адресов на локальных клиентах без NAT В большинстве случаев, при подключении к сети, ваш локальный клиент получает IP-адрес из локальной подсети, а затем NAT-маршрутизатор переводит его в публичный IP-адрес при подключении к ин, RouterOS

GJS

Guest

31.07.2004 23:33:00

Я знаю, что этот вопрос задавали раньше, но я не смог найти понятного ответа, поискав в архивах. У меня есть маршрутизатор с двумя интерфейсами: один публичный, выходящий в интернет, и один приватный, подключенный к локальной сети. У меня есть блок /29 на публичном интерфейсе, а локальная сеть использует приватную сеть /24, которая маскируется под один из публичных адресов. Я бы хотел выделить несколько оставшихся публичных адресов на нескольких клиентах в локальной сети. Просто статически назначить их клиенту без NAT. При этом я все равно хочу применять очереди к этим клиентам, чтобы можно было ограничивать их пропускную способность. Буду очень благодарен за любую помощь. Guy

lastguru Guest	#2 0 01.08.2004 11:01:00 http://forum.mikrotik.com/phpbb2/viewtopic.php?t=445

GJS

Guest

01.08.2004 12:20:00

lastguru, в этой ветке ты описываешь бриджинг и proxy-arp как два возможных варианта, но дальше речь идет только о решении с NAT. Можешь подробнее рассказать про использование бриджинга и proxy-arp, чтобы можно было присвоить "реальный" IP-адрес хосту в локальной сети? Спасибо, Guy.

yogi

Guest

01.08.2004 23:34:00

С одним /29 и двумя интерфейсами далеко не уедешь. Можете ли вы предложить клиентам, которым нужны IP-адреса, подключиться через PPPoE? Если да, включите Proxy-ARP на обоих интерфейсах, и ваша маршрутизация и формирование трафика будут в порядке.

GJS

Guest

04.08.2004 22:34:00

Нет, к сожалению, PPPoE я использовать не могу. Могу получить более крупный блок IP-адресов, когда это потребуется. Сейчас на публичном интерфейсе включен Proxy-ARP, на приватном – обычный ARP, и задан адрес 82.X.X.242/29 на приватном интерфейсе. У ПК, подключенного к приватному интерфейсу, задан адрес 82.X.X.245/29, но я даже могу пропинговать 82.X.X.242 с ПК!!! После пинга таблица ARP на ПК пуста. Что может происходить? Спасибо, Guy.

GJS Guest	#6 0 04.08.2004 22:35:00 Неужели нельзя как-то сделать то, что я пытаюсь сделать с роутами? Спасибо, Guy.

mp3turbo2

Guest

05.08.2004 06:06:00

Нет, так не получится с роутингом, потому что твой провайдер не увидит MAC-адрес и не сможет использовать ARP твоего клиента, который находится очень далеко от его Ethernet-сегмента. Вот что мы делаем: площадка провайдера, наш роутер, диапазон x.y.z.192/27 (192-223), наш шлюз (Cisco провайдера) x.y.z.193, у нас есть машина с Ethernet, настроенным на x.y.z.194/27 (шлюз для всех наших клиентов с приватными IP через беспроводную сеть) и подключённая к Cisco провайдера, proxy-arp включён, РОУТИНГ публичного IP x.y.z.195 для клиента к приватной беспроводной интерфейсу. Затем беспроводная сеть имеет приватный 10.10.0.1/30, другая сторона в 10 км удаленности имеет 10.10.0.2/30 на беспроводной сети, 10.100.0.1/24 на Ethernet, и есть вторая машина с 10.100.0.2/24 Ethernet и “поддельным” IP x.y.z.195 на том же Ethernet. Поверь, работает. Без NAT, очереди очень просто настроены и т.д. Таким образом, ты можешь иметь публичный IP-адрес, расположенный на много хопов за приватными адресами — пока ты управляешь роутингом для них. Как видишь, у нас публичный адрес на втором компьютере за беспроводным роутером, нет проблем с тем, чтобы он был на пятнадцатом уровне. Ключ к успеху — роутинг на машине у провайдера с proxy-arp: 0 S 0.0.0.0/0 r x.y.z.193 1 ether1 (default GW к нашему провайдеру) 1 S x.y.z.195/32 r 10.10.0.2 1 wireless (ок, направь этот приватный IP на другую сторону беспроводного соединения, потому что серверы там знают, что делать с ним) 2 DC x.y.z.192/27 r 0.0.0.0 0 ether1 (все остальные IP должны идти к default GW, таким образом провайдер и внешний мир) 3 DC 10.10.0.0/30 r 0.0.0.0 0 wireless (ну, беспроводной сети нужно что-то) Итак, система такова: провайдер ищет твои IP на Ethernet-сегменте, поэтому ему нужен твой ARP/MAC доступен. Это управляет proxy-arp на твоём первом сервере — он будет отправлять ответы на адреса, которые физически не настроены, но которые есть в его таблице маршрутизации. Затем тебе нужно настроить роутинг этих “особых” адресов, назначенных твоему клиенту, туда, где они должны быть — это означает к интерфейсам, к которым твой клиент подключён (беспроводная сеть) через приватные адреса. На стороне клиента тебе нужно определить всё как обычно — беспроводная сеть с приватными, Ethernet с публичным адресом/32 — это всё. Работает как часы, легко и быстро настраивается и управляется. Потребовалось около пяти часов при первой попытке (ок, по сути это было полночь), но после этого ты можешь сделать это за две минуты. Пока, mp3turbo.

GJS

Guest

05.08.2004 17:15:00

Спасибо!!! Благодаря твоему подробному объяснению и разным взглядам на проблему я разобрался и теперь всё отлично работает! Пригодилось немного узнать про маршрутизационные таблицы. Большое спасибо, mp3turbo! Guy

GJS

Guest

06.08.2004 00:13:00

Вот что получилось:

Заметил одну штуку, которая может помочь другим с настройкой (может, ты посмотришь, правильно ли я рассуждаю, mp3turbo). Мне пришлось включить proxy-arp на приватном интерфейсе, а также на публичном, чтобы заработало. Это логично, потому что клиентский ПК с адресом x.y.z.195 находится в другом сегменте сети, чем всё остальное на приватном интерфейсе, и не может ни с чем общаться, пока proxy-arp не отреагирует на arp-запросы с машины 195. Поскольку я хочу использовать режим только с ответами arp на приватном интерфейсе (для безопасности) и только со статическими arp-записями, мне нужно указать адрес шлюза на клиентском ПК как адрес приватного интерфейса, т.е. 10.10.01. в приведенном выше примере. Спасибо еще раз, mp3turbo. Guy

mp3turbo2 Guest	#10 0 06.08.2004 10:18:00 Привет, gjs, не за что! Я не линукс-мастер и сетевой гуру, пришлось несколько раз получать подзатыльники {не здесь, а вообще}, но даже с небольшим знанием TCP/IP я смог это сделать сам — особого думать не нужно, а потом просто пошло как по маслу. Пришлось настроить proxy-arp на приватном и публичном интерфейсах, чтобы это заработало. Разумеется, всё зависит от твоей архитектуры и от того, как организованы твои серверы/маршрутизаторы. В общем, каждый раз, когда ты пытаешься проталкивать “отображенный” адрес дальше по структуре, тебе нужно использовать proxy-arp. Неважно, о каком уровне речь. Мне нужно использовать режим «только ответы arp» на приватном интерфейсе (для безопасности) только со статическими записями arp, и это отличная мера безопасности — мы сталкивались с некоторыми негодяями, которые пытались подделывать/распространять/как-то ещё использовать IP-адреса, и поскольку они могли менять MAC-адреса тоже, мы не могли их остановить — кроме как сложным pptp туннелированием, которое мы не хотели использовать. В итоге мы пришли к статическим ARP и режиму "только ответы" и это остановило их полностью… разумеется, мы добавили (запуск пакетного файла с дискеты) статическое отображение ARP на клиентах… Хорошего дня, mp3turbo.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры