+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Как назначить публичный IP-адрес серверу без NAT?

Как назначить публичный IP-адрес серверу без NAT?, RouterOS

valters

Guest

25.01.2013 15:39:00

Привет. Вот какая ситуация: у меня оптоволоконное подключение с 5 публичными IP-адресами и Mikrotik rb1200. Один из них используется для моей локальной сети. Порт 2 — там подключен LINK. Порты ether1, ether3, ether4 и ether5 работают как коммутатор с DHCP-сервером, который выдаёт IP-адреса из диапазона 192.168.55.0/24. Для всех этих портов я использую всего один публичный IP. Допустим, это 200.190.xxx.122. Я добавил сервер с Apache на ether6 и хочу назначить ему публичный IP-адрес (допустим, 200.190.xxx.123), но без NAT. Я уже смог заставить это работать, перенаправляя запросы с помощью NAT. Но я хочу другой способ. Приватный диапазон IP-адресов, назначенный ether6, — 10.1.1.0/24, а приватный IP-адрес сервера — 10.1.1.9. На другом форуме кто-то посоветовал вот что: назначить публичный IP-адрес серверу в качестве loopback IP (не связан с каким-либо интерфейсом), настроить маршрутизатор для маршрутизации трафика к этому публичному IP-адресу на внутренний IP-адрес сервера (просто добавить один статический маршрут), убедиться, что маршрутизатор настроен для пропуска исходящего трафика без ограничений (не предполагать, что весь трафик из внутренней сети имеет внутренний исходный IP-адрес или просто добавить правило для маршрутизации трафика из внутренней LAN с этим конкретным исходным IP-адресом). Ну. Я смог назначить публичный IP-адрес, который хочу использовать, как loopback IP. Тогда, если я ввожу его в браузере на компьютере, где работает Apache, страница открывается. Что я не знаю, так это как сделать следующее: настроить маршрутизатор для маршрутизации трафика к этому публичному IP-адресу на внутренний IP-адрес сервера и «убедиться, что маршрутизатор настроен для пропуска исходящего трафика без ограничений», и человек, ответивший на это, больше не отвечал. Может ли кто-нибудь помочь? Я совсем новичок в Mikrotik, так что, пожалуйста, пишите чётко, где настраивать, например "ip > routes" и т.д. Спасибо.

jgellis

Guest

25.02.2013 20:59:00

Во-первых, если я правильно понял, то тебе уже советовали сделать то, что оказалось не лучшим решением. Поскольку ты получаешь от провайдера только 5 адресов из /29, а не весь блок /29, направляемый в твой маршрутизатор, назначь публичный IP-адрес 200.190.xxx.123 напрямую к интерфейсу ether веб-сервера. Свяжи ether2 и ether6 с бриджем.

`/interface bridge`
`add name="bridge-public"`
`/interface bridge port`
`add bridge="bridge-public" interface=ether2`
`add bridge="bridge-public" interface=ether6`

Тебе нужно защитить веб-сервер. Если ты не собираешься защищать его с помощью iptables прямо на веб-сервере, включи брандмауэр на маршрутизаторе для бриджей и принимай входящие соединения на порт 200.190.xxx.123 (плюс любые другие, которые тебе понадобятся), а всё остальное, что не требуется, блокируй. Блокировать исходящий трафик с веб-сервера не обязательно.

`/interface bridge settings set use-ip-firewall=yes`
`/ip firewall filter`
`add chain=forward in-bridge-port=ether2 out-bridge-port=ether6 protocol=tcp dst-port=80,443 action=accept`
`add chain=forward in-bridge-port=ether2 out-bridge-port=ether6 action=drop`

Маршрутизация на MT не требуется. Тебе стоит удалить настройку NAT и 10.1.1.0/24, которую ты ранее применил к ether6.

CelticComms

Guest

25.02.2013 22:14:00

Я обычно не рекомендую метод с использованием loopback-адреса, так как он зависит от ОС роутера/хоста и его трудно отладить, если что-то идёт не так. Похоже, что предлагалось использовать версию с приватным линк-нете, в этом случае роутербоарду нужно добавить маршрут к публичному адресу сервера в формате A.B.C.D/32, а шлюзом указать приватный LAN-адрес сервера. Разумеется, это предполагает, что вы создали приватную подсеть между роутером и сервером и что у них обоих есть валидные приватные IP-адреса в этой подсети. Единственная другая проблема в том, что ваш провайдер скорее всего ожидает, что все эти публичные IP-адреса будут ARPable в сегменте WAN, поэтому вам, скорее всего, придётся использовать proxy-arp на интерфейсе WAN.

red6

Guest

05.12.2013 17:12:00

Я новичок в Mikrotik… Пытаюсь добиться тех же результатов, что и в теме, но на новой коробке RB2011 integrated. У меня работает 1:1 NAT для хоста Asterisk. Но мне также нужно развернуть хост Asterisk напрямую на публичном IP. Я объединил порт wan (ether1) с выделенным ethernet-портом (ether2) и назначил IP из моего используемого диапазона /29 от моего провайдера хосту Asterisk. Моя локальная сеть на ether3. (ether4 и ether5 являются подчиненными ether3). Хост может получить доступ к интернету с помощью ping, например, до Google, так что, похоже, шлюз настроен правильно на хосте. Кроме того, я могу "ping" или "traceroute -I" до хоста извне, но не могу настроить сеансы ssh или http до хоста. Вот часть моей конфигурации, которая, вероятно, очень важна для отладки… У меня есть статический PPPoE адрес и шлюз, а мой модем находится в режиме bridged. Затем мне выдали 100.100.100.216/29 от моего провайдера для того, что я называю моей «реальной» интернет-сетью. Мне кажется, что PPPoE используется только для аутентификации, потому что мой провайдер является реселлером и вынужден использовать PPPoE для своих DSL-установок. ether1 — это wan-соединение к DSL bridged модему pppoe-out1 — это логическое wan-соединение (если "логический" — это правильный термин?) ether3-lan-private-master — это мой lan-порт (ether 4 и ether 5 являются подчиненными) ether6 и далее и оптический интерфейс отключены пока что /ip address> print
Флаги: X - отключен, I - недействителен, D - динамический
# ADDRESS NETWORK INTERFACE
0 192.168.88.1/24 192.168.88.0 ether3-lan-private-master
1 D 200.200.200.70/32 200.20.150.100 pppoe-out1
2 100.100.100.217/29 100.100.100.216 ether1-wan

Это просто локальные хосты в ether3:
/ip arp> print
Флаги: X - отключен, I - недействителен, H - DHCP, D - динамический, P - опубликован
# ADDRESS MAC-ADDRESS INTERFACE
0 D 192.168.88.239 00:0B:XX:XX:65:6B ether3-lan-private-master
1 D 192.168.88.240 BC:AE:XX:XX:F2:65 ether3-lan-private-master
2 D 192.168.88.241 14:DA:XX:XX:B4:BA ether3-lan-private-master
3 D 192.168.88.248 BC:5F:XX:XX:94:B7 ether3-lan-private-master
4 D 192.168.88.246 3E:D6:XX:XX:93:56 ether3-lan-private-master
5 D 192.168.88.237 C8:A0:XX:XX:D7:9D ether3-lan-private-master

Моя таблица интерфейсов:
/interface> print
Флаги: D - динамический, X - отключен, R - работающий, S - подчиненный
# NAME TYPE MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 RS ether1-wan ether 1500 1598 4074 D4:CA:6D:X7:7X:8A
1 RS ether2-lan-public ether 1500 1598 4074 D4:CA:6D:X7:7X:8B
2 R ether3-lan-private-maste ether 1500 1598 4074 D4:CA:6D:X7:7X:8C
3 S ether4 ether 1500 1598 4074 D4:CA:6D:X7:7X:8D
4 S ether5 ether 1500 1598 4074 D4:CA:6D:X7:7X:8E
5 X ether6-master-local ether 1500 1598 2028 D4:CA:6D:X7:7X:8F
6 XS ether7-slave-local ether 1500 1598 2028 D4:CA:6D:X7:7X:90
7 XS ether8-slave-local ether 1500 1598 2028 D4:CA:6D:X7:7X:91
8 XS ether9-slave-local ether 1500 1598 2028 D4:CA:6D:X7:7X:92
9 XS ether10-slave-local ether 1500 1598 2028 D4:CA:6D:X7:7X:93
10 X sfp1-gateway ether 1500 1598 4074 D4:CA:6D:X7:7X:89
11 X wlan1 wlan 1500 2290 D4:CA:6D:X7:7X:94
12 R bridge-wan bridge 1500 1598 D4:CA:6D:X7:7X:8A
13 R pppoe-out1 pppoe-out 1480

Мой так называемый wan bridge:
/interface bridge> print
Флаги: X - отключен, R - работающий
0 R name="bridge-wan" mtu=1500 l2mtu=1598 arp=enabled mac-address=D4:CA:6D:X7:7X:8A protocol-mode=none priority=0x8000 auto-mac=yes
admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m

Члены моего wan bridge:
/interface bridge port> print
Флаги: X - отключен, I - неактивен, D - динамический
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON
0 ether1-wan bridge-wan 0x80 10 none
1 ether2-lan-public bridge-wan 0x80 10 none

Важны ли таблицы Firewall NAT и FILTER?
Вот часть цепочки forward, которая, как я думал, была необходима как указано в этой теме…

add chain=forward comment="Open up bridge port ether-public-lan" connection-state=new in-bridge-port=ether1-wan out-bridge-port=\
ether2-lan-public
add chain=forward comment="Open up bridge port ether-public-lan" connection-state=established in-bridge-port=ether1-wan \
out-bridge-port=ether2-lan-public
add chain=forward comment="Open up bridge port ether-public-lan" connection-state=related in-bridge-port=ether1-wan out-bridge-port
ether2-lan-public Я что-то упускаю из виду, что-то очевидное и фундаментальное. И что любопытно, ICMP работает. Помощь была бы очень признательна.

CelticComms Guest	#5 0 06.12.2013 16:44:00 Если используете bridge, то IP-адрес/маску роутера лучше указать на самом bridge, а не на одном из интерфейсов bridge port. Поэтому перенесите настройки /29 на bridge и сообщите о результатах.

red6

Guest

06.12.2013 18:02:00

Я последовал твоей рекомендации и изменил запись в таблице адресов: 100.100.100.217/29 100.100.100.100.216 ether1-wan на 100.100.100.217/29 100.100.100.100.216 bridge-wan. Две проблемы: я все еще могу пинговать с хоста 100.100.100.220 (Asterisk box) во внешний мир, но DNS не работает, и TCP-соединения к google.ca не устанавливаются. При запуске netstat на хосте 220, TCP-соединения к IP-адресу Google показывают состояние SYN-SENT. Когда я делаю traceroute до 100.100.100.220 извне, маршрут показывает, что мой провайдер выбирает адрес pppoe-шлюза вместо "правильного" шлюза к моей сети 100.100.100.216/29. Неужели мне нужно отдельные записи для каждого IP-адреса (т.е. 100.100.100.217/32, 100.100.100.218/32, 100.100.100.219/32, 100.100.100.220/32 и т.д.)?

CelticComms Guest	#7 0 06.12.2013 20:43:00 Пожалуйста, свяжитесь со мной по адресу ниже с подробностями, чтобы я мог посмотреть, как они промаршрутировали /29.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры