+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Публичная подсеть, маршрутизируемая через публичный IP.

Публичная подсеть, маршрутизируемая через публичный IP., RouterOS

adovi

Guest

01.02.2017 23:40:00

Здравствуйте, я использую роутер RB3011UiAS и у меня уже некоторое время есть статический IP от моего интернет-провайдера: X.X.159.139/22. Я создал адрес на роутере, связанный с интерфейсом eth8-rds. На прошлой неделе я запросил у провайдера подсеть с 8 IP-адресами, и они выдали мне одну, маршрутизируемую через тот статический IP, что у меня уже был (я не совсем понимаю, что это значит). Подсеть — Y.Y.47.240/29. Я создал второй адрес на роутере для этой подсети Y.Y.47.241/29, связанный с интерфейсом eth9-sub. Эти два интерфейса никак не связаны — они не объединены, и ни один из них не является главным для другого.

Я понял, что могу использовать только 5 публичных IP из подсети для компьютеров, подключённых к роутеру: Y.Y.78.242 — Y.Y.78.246. Мне сказали отключить NAT (строку masquerade в ip firewall nat) и добавить статический маршрут из подсети (Y.Y.47.240/29) через шлюз публичного IP (X.X.156.1) в интернет.

Если я на роутере запускаю команду /ip route print, получаю:

| DST-ADDRESS | PREF-SRC | GATEWAY | DISTANCE |
|---------------|--------------|----------------|----------|
| 0.0.0.0/0 | | X.X.156.1 | 1 |
| X.X.156.0/22 | X.X.159.139 | eth8-rds | 0 |
| Y.Y.47.240/29 | Y.Y.47.241 | eth8-rds | 0 |
| Y.Y.47.240/29 | | X.X.156.1 | 1 |

Последний статический маршрут был добавлен согласно инструкции провайдера, в winbox он отображается синим цветом (неактивен).

Когда я подключаю компьютер (статический IP Y.Y.47.242, маска 255.255.255.248, шлюз Y.Y.47.241) к eth9-sub и пытаюсь пропинговать DNS Google (8.8.8.8), пинг не проходит. Также, снаружи, если я пингуют X.X.159.139 — откликается, а если пингуют Y.Y.78.242 (или Y.Y.78.241) — нет.

Может кто-то подсказать, что я делаю не так и почему не могу сделать IP из подсети видимыми в интернете? Спасибо!

nzjimmy

Guest

22.06.2018 23:20:00

Здравствуйте, у меня есть дополнительная публичная подсеть /30, маршрутизируемая через существующее /30 соединение с ISP аналогичным образом, и хотел бы узнать, можете ли вы помочь мне с этим тоже? Моя цель — сделать второй маршрутизатор с публичным выходом, с WAN IP из новой подсети. У меня это работает так: я добавляю новую подсеть на интерфейс R1 и раздаю единственный доступный адрес по DHCP на R2, затем настраиваю правило srcnat.

Мои вопросы:
Можно ли настроить R2 так, чтобы трафик для R2 не обрабатывался R1? Что-то вроде WAN-моста или подобное. Я не вижу, как это может быть возможно, но, возможно, что-то упускаю.

Как адресация /32 позволит трем дополнительным маршрутизаторам иметь по одному публичному IP из новой подсети /30? Какой будет шлюз? Как это будет выглядеть в конфигурации?

Спасибо!

Sob

Guest

23.06.2018 02:51:00

Если у вас есть основной /30 для линка (например, 1.1.1.1/30 на роутере провайдера, который служит вашим шлюзом по умолчанию, а на вашем роутере WAN настроен как 1.1.1.2/30), и другой /30 (например, 2.2.2.0/30) с маршрутизацией к вам, это значит, что на роутере провайдера есть такая запись:

/ip route
add dst-address=2.2.2.0/30 gateway=1.1.1.2

То есть все четыре адреса (2.2.2.0–2.2.2.3) направлены к вам, и уже вы решаете, что с ними делать. Если просто добавить 2.2.2.1/30 на какой-то внутренний интерфейс, то у вас может быть один сервер с адресом 2.2.2.2/30. Даже с такой конфигурацией вы можете использовать остальные три адреса через NAT, например, что-то вроде этого сработает:

/ip firewall nat
add chain=dstnat dst-address=2.2.2.0 dst-port=80 action=dst-nat to-addresses=192.168.10.10
add chain=srcnat src-address=192.168.1.0/24 out-interface=wan to-addresses=2.2.2.1
add chain=srcnat src-address=192.168.2.0/24 out-interface=wan to-addresses=2.2.2.3

Или можно выделить все четыре адреса отдельным серверам. Их можно маршрутизировать на существующие внутренние адреса:

/ip route
add dst-address=2.2.2.0 gateway=192.168.1.10
add dst-address=2.2.2.1 gateway=192.168.1.11

На серверах эти адреса могут быть назначены либо на loopback-интерфейс, либо просто как дополнительный адрес на том же интерфейсе, что и 192.168.1.x. Если это в основном для входящих подключений, то сервис может привязаться к конкретному публичному адресу, и всё будет работать корректно. Однако могут возникнуть проблемы с исходящими соединениями, которые могут использовать 192.168.1.x как адрес источника по умолчанию. Всё зависит от конкретного сервера (какая ОС и какая конфигурация).

Или можно не использовать существующие приватные адреса, а применить точечную адресацию с публичными. Тогда на роутере добавляете:

/ip address
add address=x.x.x.x network=2.2.2.0 interface=to_servers
add address=x.x.x.x network=2.2.2.1 interface=to_servers
add address=x.x.x.x network=2.2.2.2 interface=to_servers
add address=x.x.x.x network=2.2.2.3 interface=to_servers

А дальше на серверах всё зависит от ОС. Если сервер (роутер) — это RouterOS, тогда наоборот:

/ip address
add address=2.2.2.0 network=x.x.x.x interface=<wan>

Linux:
ip addr add 2.2.2.1 peer x.x.x.x dev <ethx>

Windows:
address = 2.2.2.2
mask = 255.255.255.255
gateway = x.x.x.x

x.x.x.x — это какой-то уникальный адрес (одинаковый для всех), может быть любым случайным приватным адресом (не обязательно из 2.2.2.0/30).

nzjimmy

Guest

23.06.2018 22:57:00

Спасибо, Sob, очень помогли. Но я всё же запутался с адресацией точка-точка. Раньше не сталкивался с ситуацией, когда сетевой ID находится в другой подсети, чем IP-адрес. Мне нужно понять, почему это работает и почему в качестве шлюза можно поставить любой случайный IP для всех. Все приватные адреса — /32, шлюз тоже /32, и они все случайные, главное, чтобы совпадали на R1 и R2, как в вашем примере? Правильно ли я понимаю, что нельзя назначить R2 публичный IP без того, чтобы R1 маршрутизировал его трафик? Если ISP прописал /route add dst-address=2.2.2.0/30 gateway=1.1.1.2, значит весь трафик для 2.2.2.0/30 должен приходить с 1.1.1.2? То есть шлюза для 2.2.2.1 у ISP нет, я так понимаю? Информация от ISP: ваша новая подсеть 2.2.2.0/30 маршрутизируется через 1.1.1.2. Если весь трафик для R2 должен проходить через R1, будет ли лучше для снижения нагрузки на процессор добавить правила в файрвол — принимать весь трафик, приходящий на WAN для 2.2.2.1 и идущий на eth2, и принимать весь трафик с 2.2.2.1, идущий с eth2 на WAN? Ещё раз спасибо!

Sob

Guest

24.06.2018 00:21:00

С маской /32 адрес охватывает ровно один адрес, так что шлюз не может быть из той же подсети, это что-то другое. И как это работает… просто работает. Устройство отправляет ARP-запрос на другой адрес, получает ответ, то же самое происходит в обратную сторону, и они могут общаться друг с другом. x.x.x.x в моём примере — это всего один адрес, и его можно использовать повторно для всех четырёх связей. Избежать прохождения трафика через R1 у вас не получится. Если бы это требовалось, нужно было бы вторую подсеть сделать так же, как первую, то есть с маршрутизатором провайдера в качестве шлюза. Тогда можно было бы просто использовать простой коммутатор и подключить к нему WAN-порты обоих роутеров, и они бы не зависели друг от друга. Но с маской /30 доступен только один используемый адрес. Если нужно больше — нужна маска /29 (что даст пять используемых адресов в такой конфигурации). Лучший способ минимизировать нагрузку на CPU R1 — сделать трафик в/из 2.2.2.0/30 ненаблюдаемым (untracked) в таблице raw, а затем просто пропускать такие пакеты в фильтре firewall.

nzjimmy Guest	#6 0 24.06.2018 08:49:00 Спасибо, Sob, я проведу тестирование, чтобы проверить, как это работает, тогда всё станет понятно. У меня есть ещё один сайт с настроенным вторым роутером с публичным IP, как ты описал — /29 с WAN-бриджем на R1 для R2 и шлюзом для обоих у провайдера. Этот текущий сайт пришлось настроить именно так, потому что провайдер случайно выдал гораздо больше пропускной способности, чем ожидалось, и если бы я попросил изменить основную подсеть с /30 на /29, они бы заметили свою ошибку, так что всё пошло через маршрутизацию. Мне просто нужно придумать, как минимизировать нагрузку на процессор R1 при трафике для R2, скорость в speedtest показала загрузку процессора R1 (AH1100x2) до 90%, даже с правилами фаервола, которые ставятся вверху. С untracking я не знаком, но разберусь. Ещё раз спасибо за совет.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры