+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

RouterOS — публичная подсеть маршрутизируется и трансформируется NAT для внутренних клиентов.

RouterOS — публичная подсеть маршрутизируется и трансформируется NAT для внутренних клиентов., RouterOS

tyby

Guest

02.04.2015 16:00:00

Всем привет. Я довольно новичок в RouterOS, хотя у меня уже есть несколько устройств, которые работают как обычные NAT-шлюзы. Мне нужно подготовить несколько устройств: некоторые для эксплуатации (замена текущих), некоторые для резервного варианта (на случай, если текущие роутеры откажут), все они будут основаны на следующей схеме:

Публичный IP провайдера (линк) (статический) /29 публичная подсеть, маршрутизируемая провайдером через указанный линк IP.

Из-за того, что IP линка часто меняется из-за обновлений и перенастроек сети провайдера, мне нужно настраивать сервисы за роутером на своих собственных /29.

Основной сценарий такой:

IP линка провайдера: 1.1.1.1/24 из подсети 1.1.1.0/24
Шлюз для линка: 1.1.1.254
/29 подсеть: 2.2.2.0/29, маршрутизируемая через 1.1.1.1 (линк IP).
/24 локальная подсеть для клиентов: 192.168.x.0/24.

Поскольку из /29 подсети у меня есть 6 публичных IP для использования, мне нужно назначить эти IP для конкретного доступа с LAN и в LAN:

Например, один — для MTA, один — для httpd, один — для NAT-доступа клиентов.

Я уже настраивал похожие схемы на разных роутерах (Juniper, AT, Fortigate) с разными подходами (eNat, VIP и т.п.), но не понимаю, с чего начать на Mikrotik, чтобы связать конкретные внутренние IP с конкретными публичными IP из маршрутизируемой подсети.

Вот базовая идея:

NAT клиентов из LAN (192.168.x.100 - 192.168.x.200) будет использовать 2.2.2.7 в качестве публичного NAT-адреса.

MTA в LAN (192.168.x.240) будет использовать 2.2.2.2 как публичный IP с пробросом нужных портов, например 25, 465, 995 и других.

httpd в LAN (192.168.x.241) будет использовать 2.2.2.3 как публичный IP с пробросом нужных портов, например 80, 443 и т.п.

И так далее.

Возможно ли реализовать это на RouterOS? Не использую ли я неправильный подход? Может лучше просто назначить публичные IP внутренним серверам и фильтровать пакеты ACL, а для клиентов оставлять NAT с IP линка (хотя этот вариант мне не очень нравится)?

Спасибо!

tyby

Guest

08.12.2015 13:03:00

Ребята, я понимаю, что прошло много времени, но у меня был очень напряжённый год (да кто без этого?!) и совсем мало возможности заняться «побочными проектами». Краткий апдейт: спасибо также отличным инструкциям ZeroByte, пока что мне удалось (сменил /24 локальную подсеть для клиентов: с 192.168.x.0/24 на 10.0.0.0/24, для тестов — 192.168.0.0/24 это моя офисная LAN, а адрес 0.101 назначен на mikrotik WAN):

добавил blackhole для 2.2.2.0/29 — всё работает как надо:
/ip route
add dst-address=2.2.2.0/29 type=blackhole

1:1 маппинг для адреса 2.2.2.1 на 10.0.0.199 — работает как положено

/ip firewall nat
add chain=dstnat action=dst-nat to-addresses=10.0.0.199 dst-address=2.2.2.1
add chain=srcnat action=src-nat to-addresses=2.2.2.1 src-address=10.0.0.199

тестовый фильтр для вышеуказанного маппинга, позволяющий нескольким MTA-сервисам работать с 10.0.0.199 — работает нормально

/ip firewall filter
add chain=forward dst-address=10.0.0.199 protocol=tcp dst-port=25,110 action=accept
add chain=forward dst-address=10.0.0.199 action=drop

Что в планах (буду держать вас в курсе):
прежде всего надо использовать один из IP в 2.2.2.0/29 (скажем, 2.2.2.5) для маскарадинга множества обычных LAN-клиентов, при этом критически важные сервисы (как этот MTA) должны остаться на своих IP в диапазоне 2.2.2.x.

Дальше — и тут посложнее, и я понятия не имею как именно — надо назначить один публичный IP конкретному устройству. Это критический девайс, который должен иметь собственный публичный IP — он уже настроен, и доступ на изменение запрещён. Это, наверное, можно сделать проще, если прямо маршрутизировать подсеть 2.2.2.0/29 и повесить один IP на виртуальный интерфейс Mikrotik. Фактически, настройка на месте.

При этом устройству не нужна никакая защита или фильтрация — это железный девайс с двумя открытыми портами в прошивке, которые должны быть доступны отовсюду.

В итоге я хочу, чтобы все остальные LAN-клиенты были замаскированы через Link IP, с чем могу жить.

Если возможно, хотел бы совместить варианты 1 и 2 — то есть иметь и маппинг, и маршрутизацию для одного и того же /29 подсети.

Если у вас есть идеи…

Ребята, это всё ещё в работе, и пока никаких экстренных ситуаций! Как сказал выше — отзовусь. А пока желаю вам счастливых и приятных праздников!

Спасибо, T

ZeroByte

Guest

08.12.2015 20:07:00

Вы имеете в виду, что устройство само по себе должно иметь настроенный реальный публичный IP-адрес напрямую, то есть оно не может работать с частным IP через выделенную 1:1 NAT-маппинг? На самом деле это гораздо проще, чем кажется:

Создайте статическую ARP-запись для устройства в разделе IP > ARP (укажите правильный MAC-адрес и интерфейс для публичного IP). Затем создайте статический маршрут для этого IP, например: dst=2.2.2.4/32 gateway=ether1 (или тот интерфейс, к которому подключено устройство).

На том же Ethernet-интерфейсе (в нашем случае ether1) нужно включить arp=proxy-arp, чтобы Mikrotik отвечал на критические ARP-запросы устройства для 2.2.2.1 (то есть для того, что вы указали как основной шлюз).

Наконец, в таблице NAT просто добавьте правило accept в цепочку srcnat для src-address=2.2.2.4 и правило accept в цепочку dstnat для dst-address=2.2.2.4 (по сути: пропускать пакеты без изменения исходного и конечного адреса).

Если ваше устройство позволяет добавить 2.2.2.4 как «виртуальный IP» или вторичный IP, тогда это будет самая чистая конфигурация на Mikrotik — используйте вышеописанные правила «без NAT», но не добавляйте статическую ARP и proxy arp. На устройстве будут стоять частный LAN IP и публичный 2.2.2.4, а в Mikrotik как основной шлюз указан LAN IP устройства, и статический маршрут в Mikrotik настроен так: 2.2.2.4/32 → LAN IP устройства.

tyby

Guest

10.12.2015 22:51:00

Привет, Zerobyte. Спасибо за быстрый ответ. Да, само устройство требует (и уже настроено с) выделенным публичным IP (это преобразователь сериал в Ethernet, который связывает данные с одним из дата-центров нашего партнёра). Оно не поддерживает виртуальные интерфейсы или что-то ещё более замудренное, что могло бы упростить мою задачу. Настроено как 2.2.2.4/29 с 2.2.2.1 в качестве шлюза (если говорить о нашем тестовом окружении выше). Так что мне нужно прозрачно пропускать данные туда и обратно через это устройство. Попробую твой совет и отпишусь. Насколько я понимаю, конфигурация останется прежней, только с возможностью направлять трафик к и от 2.2.2.4 на преобразователь. Пока что (устройство будет подключаться к интерфейсу bridge-local — или мне лучше использовать ether1-master-local для этого?!): добавляю статический ARP: /ip arp add address=2.2.2.4 mac-address=00:40:9D:28:BA:95 interface=bridge-local создаю статический маршрут: /ip route add distance=1 dst-address=2.2.2.4/32 gateway=bridge-local устанавливаю ARP как proxy-arp на bridge-local: /interface bridge set arp=proxy-arp создаю правила accept для 2.2.2.4/32: /ip firewall nat add chain=srcnat src-address=2.2.2.4 add chain=dstnat dst-address=2.2.2.4 Настрою тестовую среду с новой конфигурацией и сообщу результаты. Ещё нужно использовать один из публичных IP как маскарадинг для клиентов LAN. Шаг за шагом! Спасибо!

ZeroByte

Guest

10.12.2015 23:08:00

Настоятельно рекомендую настроить работу через 1:1 NAT, а не через метод ARP/форвардинга, если это возможно. Устройства Serial->IP обычно довольно простые и не требуют привязки глобального маршрутизируемого IP-адреса прямо на самом устройстве.

tyby

Guest

11.12.2015 00:08:00

Краткое обновление: Конфигурация выше не сработала в лаборатории, не смог пинговать или подключиться к 2.2.2.4. Я и ожидал этого, так как 2.2.2.1 (шлюз для публичного IP за mikrotik) изначально был настроен как 1:1 маппинг на одного LAN-клиента (10.0.0.199), если помните. Что я сделал: поменял 1:1 маппинг на 2.2.2.2 : 10.0.0.197 — всё равно не работает.

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=2.2.2.2 to-addresses=10.0.0.197
add action=src-nat chain=srcnat src-address=10.0.0.197 to-addresses=2.2.2.2

Добавил 2.2.2.1 как IP mikrotik в bridge-local (что-то типа виртуального интерфейса, как я понимаю).

/ip address
add address=2.2.2.1/32 interface=bridge-local network=255.255.255.248

С внешней машины (подключённой к WAN-сети Mikrotik) протестировал:
- ICMP и порты MTA на 2.2.2.4 (эмулирует оборудование) — работает;
- ICMP и несколько открытых тестовых портов на 10.0.0.197 (как 2.2.2.2) — не работает.

Так как 10.0.0.197 — это виртуальная машина Windows, следующий шаг — настроить фаервол Windows, чтобы разрешить трафик. После настройки повторил тесты — ICMP и порты на 10.0.0.197 (как 2.2.2.2) — теперь работает. Похоже, иду в правильном направлении!

Что у меня есть сейчас:
- Простая лабораторная настройка Mikrotik: WAN (192.168.0.101/24), LAN (10.0.0.254/24) и публичная подсеть (2.2.2.0/29), где 2.2.2.1 назначен bridge-local как шлюз для /29 подсети.
- 1:1 NAT (маппинг) для одного LAN-клиента (2.2.2.2 : 10.0.0.197).
- Принимаются соединения и пакеты корректно передаются с WAN на 2.2.2.4 — настроенное LAN-устройство, оно принимает соединения и отвечает.
- Стабильное интернет-соединение как для обычных LAN-клиентов, так и для обеих машин (1:1 маппинг и устройство с публичным IP). Это даёт мотивацию двигаться дальше!

Что пока не работает / что еще нужно:
- Ни 1:1 маппинг, ни устройство с публичным IP не показываются с WAN-серверам как IP из 2.2.2.0/29, а видны через WAN IP Mikrotik (192.168.0.101) — а это плохо.
- Возможно, причина в том, как настроен NAT, особенно первая строка:

add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway

add action=dst-nat chain=dstnat dst-address=2.2.2.2 to-addresses=10.0.0.197
add action=src-nat chain=srcnat src-address=10.0.0.197 to-addresses=2.2.2.2
add chain=srcnat src-address=2.2.2.4
add chain=dstnat dst-address=2.2.2.4

- Пока нет настройки, при которой остальные LAN-клиенты выходят в сеть под IP из /29. Сейчас все маскируются через WAN Mikrotik (ether1-gateway). Хотелось бы, чтобы для них маскировка шла с адреса 2.2.2.6.
- Не уверен, что назначение 2.2.2.1 в bridge-local правильное (возможно, его стоит назначить на ether2-master-local?!)

Работа в процессе... Спасибо!

tyby

Guest

11.12.2015 00:11:00

Да, Zerobyte, это было бы гораздо проще и правильнее, я знаю. Но у меня действительно нет доступа к конфигурации оборудования, это вне моей досягаемости и контроля, и решение менять её — не за мной. Я предпочитаю не трогать это, потому что там есть несколько последствий, выходящих за рамки технических вопросов.

ZeroByte Guest	#8 0 11.12.2015 14:33:00 Ну, есть правильный способ, а есть когда приходится работать в рамках ограничений.

tyby Guest	#9 0 11.12.2015 14:50:00 Да! Есть у тебя идеи по поводу рекламируемого IP для внешних хостов? Планирую позже уделить этому время, и пару советов не помешали бы! Спасибо, T

tyby Guest	#10 0 04.03.2016 18:13:00 Всем привет, был долгий и занятый период, и не было времени на тестирование вышеприведённого. Но вот я начинаю загружать финальные настройки на совсем новый RB3011UiAS-RM (за свои деньги отличный девайс), и тут вспомнил свою давнюю нерешённую проблему. Так что, если у кого есть идеи по моему последнему посту, не стесняйтесь! Спасибо, T

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры