+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Вопрос по маршрутизации.

Вопрос по маршрутизации., RouterOS

RobClem

Guest

22.09.2004 10:18:00

Запустил свой MikroTik с настройкой Bridge – в основном, я добавил интерфейсы LAN и WAN в Bridge и привязал к нему свои приватные и публичные адреса. Работает отлично – НО любая буря широковещательных пакетов на моей сети парализует его. Я бы предпочел иметь правило NAT (с настройкой которого я знаком) для моих приватных адресов, чтобы они транслировались в один публичный адрес. Что мне нужно знать – это как маршрутизировать публичные адреса с LAN-стороны роутера на WAN-сторону и обратно. Возможно ли это, и если да, то может кто-нибудь дать совет? Cheers, Rob.

advantz Guest	#2 0 22.09.2004 12:19:00 Можешь начать здесь: http://www.mikrotik.com/docs/ros/2.8/howto/howto.content используй dst-nat и src-nat, чтобы связать публичные и локальные адреса.

RobClem Guest	#3 0 22.09.2004 12:56:00 Я знаю, как это сделать, но хочу, чтобы публичные IP-адреса проходили через роутер без NAT. Сейчас я использую bridge, но в идеале не хотел бы его использовать.

mag

Guest

22.09.2004 13:25:00

Извини, но, кажется, это не так просто. (Роутер по определению имеет как минимум два разных интерфейса с двумя разными подсетями). Предположим, что подсеть публичных IP-адресов связана с интерфейсом LAN, тогда для стороны WAN есть три варианта:

* Немаршрутируемый точечно-точечный линк, передающий сеть (обычно небольшая подсеть, например, /30 публичных IP-адресов)
* NAT (интерфейс WAN отвечает на все публичные IP-адреса)
* Последний случай требует NAT один к одному, обычно это делается с помощью пары правил src- и dst-nat, зависящих от диапазона IP-адресов.

В руководствах есть хорошая схема потока пакетов в разделе межсетевого экрана. Надеюсь, это немного поможет.

Маттиас

RobClem Guest	#5 0 22.09.2004 17:31:00 Что ты делаешь, чтобы маршрутизировать публичные IP-адреса через MikroTik? Это, наверное, очень распространенный запрос?

RobClem Guest	#6 0 22.09.2004 17:34:00 Я понимаю пункт 3 – можешь немного подробнее объяснить пункты 1 и 2? Спасибо, Роб.

mag

Guest

22.09.2004 17:48:00

Обычно это небольшой transfer-net, т.е. ip-подсеть с 4 адресами (/39). Например: 145.253.129.0/30, где .1 — это удаленный WAN-интерфейс у upstream ISP и одновременно шлюз по умолчанию. .2 привязывается к локальному WAN-интерфейсу. Если LAN-интерфейс имеет IP-адрес из другой подсети, маршрутизация происходит автоматически.

Только для point-to-point-связей и часто используется на Cisco роутерах, я не пробовал это на Mikrotik ROS. Point-to-point-интерфейс получает IP-адрес LAN-интерфейса с помощью команды unnumbered. Пример здесь: http://www.mikrotik.com/docs/ros/2.8/ip/address.content

RobClem

Guest

23.09.2004 07:56:00

Просто чтобы уточнить – у моего upstream ISP есть роутер с диапазоном адресов /26, шлюз – xx.xx.xx.65. Сторона моего роутера, смотрящая в WAN – xx.xx.xx.66, LAN-сторона роутера – xx.xx.xx.67 /26. Клиентам назначены адреса xx.xx.xx.70-128 /26 со шлюзом xx.xx.xx.65.

Сработает ли это, или я допустил ошибку в подсетях? Спасибо за помощь, Роб.

pbailly

Guest

23.09.2004 08:22:00

Клиенты - xx.xx.xx.70-128 /26 с xx.xx.xx.65 в качестве шлюза 70-128, этого сделать нельзя + шлюз должен быть в диапазоне со стороны WAN моего роутера - xx.xx.xx.66 /30, который использует адреса 64-67 включительно (сеть и широковещание), так что следующие доступные диапазоны: один /30 (68-71), один /29 (72-79), один /28 (80-95), один /27 (96-127). Один IP на диапазон для Mikrotik и используйте этот IP в качестве шлюза. Один IP — сетевой адрес, и один IP — широковещательный адрес. Кажется странным, что твой провайдер поставил свой роутер на твои IP-адреса. Предположу, что роутер, который они установили у тебя на месте, имеет IP x.x.x.65. В этом случае я предлагаю уменьшить диапазон на роутере провайдера у тебя (один /30), один /30 на MT тоже, затем используй RIP2 на твоей LAN, чтобы роутер мог узнать маршруты от MT и наоборот. Схема твоей конфигурации помогла бы очень.

Patrick

mag

Guest

#10

23.09.2004 11:06:00

Одного сегмента сети на обоих интерфейсах → не нужна маршрутизация. Теоретически (как объяснено в посте pbailly) можно использовать x.y.z.66/30 для WAN, и маршрут по умолчанию на .65 на MT. А потом, например, x.y.z.68/30 зарезервировать для другого WAN-интерфейса, x.y.z.73/29 для LAN (останется еще 5 IP, например, для сетевого оборудования), шлюз по умолчанию - .73 для них, а остальное зависит от сетевой топологии.

GJS

Guest

#11

25.09.2004 15:39:00

Как насчет proxy ARP? Это то, что я использую. В основном, вы настраиваете proxy ARP на интерфейсе WAN, и тогда ваш роутер будет отвечать ARP-ответом на любой адрес, который есть в его таблице маршрутизации. Затем добавляете статический маршрут для публичного IP с вашим интерфейсом LAN в качестве шлюза. Затем указываете публичный адрес на клиенте (или назначаете через статический DHCP-лизу) и все должно заработать. Я комбинирую это с ARP reply-only на интерфейсе LAN, чтобы каждый клиент мог использовать только один IP-адрес в соответствии с их MAC-адресом. Надеюсь, это поможет, Роб. Гай.

pbailly

Guest

#12

25.09.2004 16:40:00

Proxy ARP будет работать только в том случае, если совпадение, происходящее на MT-машине, "бьет" в маршрут LAN раньше, чем в WAN: пакет совпадает с маршрутом LAN и, следовательно, перенаправляется туда, но представьте, что он совпал бы с маршрутом WAN сначала? Тогда он будет отправлен обратно, откуда пришел. Легко проверить, когда есть только 2 варианта (2 сетевые карты): переверни роутер и используй LAN-карту как WAN, а WAN-карту как LAN, и тогда все заработает. Но представьте себе MT-машину с 5 или 6 сетевыми адаптерами: тогда все сломается. MT 2.5, казалось, использовал какой-то другой тип совпадения (возможно, наименьшая совпадающая сеть), потому что то, что вы предлагаете, работало с MT 2.5, но не работало после обновления до 2.8. А потом однажды вы решите подключить второй MT к вашему роутеру, возможно, в качестве будущей замены, и использование proxy-arp для этого однажды действительно испортит вашу сеть, потому что вам придется иметь маршруты от вашего первого MT (с высокой стоимостью), а затем некоторые TCP-пакеты будут перехвачены одним роутером… а некоторые другим (оба имеют одинаковые маршруты, разница только в стоимости). Подумайте об этом! Но использование небольшой сети (/29) для роутера и MT, и использование RIP на роутере и 2 MT позволит вам использовать ARP-ENABLED вместо этого, чтобы добавить этот дополнительный MT и сделать очень плавный переход от одного MT к другому, или позволить использовать оба MT одновременно. Patrick

GJS

Guest

#13

26.09.2004 00:03:00

Хм… не уверен, что я понимаю, Патрик. У меня работает 2.8.13 без проблем, хотя у меня всего два интерфейса на роутере. Почему пакет должен совпадать с маршрутом LAN? Маршрут имеет интерфейс, к которому подключена хост-машина, в качестве шлюза: DST-ADDRESS G GATEWAY DISTANCE INTERFACE 1 S X.X.X.1/32 r 192.168.51.1 1 private Если бы она была подключена к другому интерфейсу, я бы просто использовал IP-адрес этого интерфейса. На хосте шлюз тот же интерфейс (192.168.51.1 в данном случае). Я думаю, что возможно маршрутизировать публичный IP-адрес через любое количество роутеров, при условии, что на обоих соответствующих интерфейсах включен proxy arp. Смотрите сообщения mp3turbo в этой теме: http://forum.mikrotik.com/phpbb2/viewtopic.php?t=534&highlight= Guy

pbailly Guest	#14 0 26.09.2004 07:51:00 Я говорил о маршрутизации /26 официальных IP-адресов. При этом LAN-сеть состоит из официальных адресов, а WAN-сеть подключена к роутеру ADSL или роутеру линии аренды, конечно. Маскирование приватного адресного пространства — это не проблема с proxy-arp, Patrick.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры