+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

У каждого Ethernet — свой публичный IP.

У каждого Ethernet — свой публичный IP., RouterOS

ReneF

Guest

10.07.2012 16:57:00

Привет! У меня RB 1200 – v5.11. Есть 12 Public IP, и я хочу использовать их как попало в каждой сетевой карте, кроме первой, потому что к ней я буду подключать свой WAN-линк. Например, в Eth1 я хочу подключить свой интернет-линк, а в Eth2 – сервер с одним публичным IP. Базовая конфигурация такая:
[admin@MikroTik] /ip address> print
ADDRESS NETWORK INTERFACE
1 192.168.0.254/24 192.168.0.0 1LAN
2 8.8.8.25/28 8.8.8.16 2WAN

[admin@MikroTik] /ip route> print
DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 8.8.8.17 1
1 S 0.0.0.0/0 8.8.8.17 1
2 ADC 8.8.8.16/28 8.8.8.25 2WAN 0
3 ADC 192.168.0.0/24 192.168.0.254 1LAN 0

[admin@MikroTik] /ip firewall nat> print
1 chain=srcnat action=src-nat to-addresses=8.8.8.0-8.8.8.255 src-address=192.168.0.0/24

Если я пытаюсь подключиться через Eth2 (интерфейс 1LAN) к серверу с публичным IP, например, 8.8.8.26, это не работает. Что не так? Большое спасибо.
Рене

CelticComms

Guest

10.07.2012 17:19:00

Какая природа публичного IP-адреса, который вам был назначен? У вас отображается сеть /28 — обычно это даёт 14 используемых IP-адресов. Как ваш провайдер передаёт трафик для этих IP-адресов? Например, провайдер передаёт весь трафик для публичных IP-адресов на один IP-адрес в частной сетевой ссылке?

ReneF

Guest

10.07.2012 22:03:00

Спасибо за помощь. Да, мой провайдер выдал маску 255.255.255.240. Мои публичные IP-адреса (первые три цифры я изменил, чтобы привести сюда, а последняя цифра – реальная) – 8.8.8.17 (шлюз до 8.8.8.30). Мой провайдер пропускает весь трафик на все мои публичные IP, никаких приватных IP. Они дали мне интернет-соединение по ethernet-кабелю, который подключен к коммутатору, и к этому коммутатору я подключаю мои серверы с публичными IP. Теперь я хочу изменить коммутатор, подключив интернет-соединение к Eth1 на Mikrotik-роутере, а к Eth2, Eth3 и т.д. роутера – настроить публичные IP (чтобы я мог контролировать полосу пропускания, настроить DHCP в одной LAN, HotSpot и т.д.). Если изменить правило брандмауэра NAT на правило "masquerade" (chain=srcnat action=masquerade), я смогу подключиться к интернету, если настрою локальный IP на моем сервере (192.168.0.2).

CelticComms

Guest

11.07.2012 10:40:00

Похоже, твой провайдер ожидает, что подсеть x.x.x.x/28 будет на этом коммутаторе, и это создает проблему, если ты захочешь разместить роутер между этой подсетью и некоторыми устройствами, которым назначены эти публичные IP-адреса. Почему нельзя использовать NAT?

ReneF

Guest

11.07.2012 12:49:00

Если я использую NAT, мне нужно использовать LAN IP в моих серверах, и я предпочитаю использовать публичный IP. Судя по тому, что я прочитал, команда ‘chain=srcnat action=src-nat’ должна помочь сделать то, что мне нужно, что я делаю не так? Спасибо за вашу помощь.

CelticComms

Guest

11.07.2012 16:39:00

Схема, показывающая, что у вас есть и адреса/маски подсети на интерфейсах, помогла бы. Возможно, вы пытаетесь выделить адреса из диапазона x.x.x.x/28 для нескольких интерфейсов на роутере, что проблематично, если ваш провайдер (ISP) рассматривает этот диапазон как /28.

JP_Wireless

Guest

11.07.2012 17:46:00

Что ты на самом деле хочешь добиться? Чтобы можно было получить доступ ко всем интерфейсам на 1200? Потому что те IP-адреса, которые тебе выделил провайдер, предназначены для использования в твоей сети, предполагая, что тебе нужно будет делать NAT. Поэтому размещать их на коммутаторе может быть просто для удобства доступа, что позволяет использовать только один адрес, а остальные — для систем/серверов в твоей сети. И если ты используешь их вместо LAN или в LAN, тебе просто нужно указать шлюз, и всё будет работать отлично.

ReneF

Guest

12.07.2012 00:05:00

Окей, в посте прикрепняю схему, чтобы лучше разобраться.

Если коротко, у меня есть интернет-соединение, которое я хочу подключить к моему RB1200, и я хочу использовать остальные Ethernet-порты в RB1200 для подключения серверов с публичными IP. На схеме я приложил пример того, что мне нужно:

Eth1: Подключить моё WAN-соединение.
Eth2: Подключить сервер с публичным IP.
Eth3: Настроить DHCP-сервер на этом интерфейсе и делать NAT для подключения к интернету.
Eth4: Подключить ещё один сервер с публичным IP.

Если я настраиваю правило NAT с masquerade (chain=srcnat action=masquerade), Eth3 работает отлично. Я хочу настроить Eth2 и Eth4 так, чтобы они использовали мой пул публичных IP (я не хочу, чтобы Eth2 был связан с IP 8.8.8.18, я хочу использовать каждый доступный публичный IP в Eth2 или Eth4). Сейчас я использую коммутатор вместо RB1200, но я не могу контролировать пропускную способность каждого публичного IP (например, в моей интернет-связи на 10 Мбит/с я хочу ограничить 2 Мбит/с для Eth2, 3 Мбит/с для Eth3 и 5 Мбит/с для Eth4).

Спасибо за вашу помощь!
Рене

ithink

Guest

05.12.2012 15:52:00

Привет, ReneF! Спасибо за вопрос. У меня такой же вопрос, я хочу настроить бридж для одного сервера с публичным IP на Mikrotik RB2011. У меня есть 3 публичных IP. Можешь объяснить процедуру настройки Mikrotik? Большое спасибо!

CelticComms

Guest

#10

12.07.2012 11:33:00

Схема не показывает, как вам предоставляется публичный IP-диапазон. Это: A) Маршрутизируется к вам через промежуточную сеть (link net) — например, маршрутизируется на 172.26.31.2 или B) Просто представлен на ISP-соединении, что предполагает, что X.X.X.X/28 доступен напрямую на подключении к ISP?

Помните: вы можете использовать мост/свитч внутри подсети, но как только вы вставляете роутер, вы разбиваете подсеть, и для полноценной маршрутизации обычно требуется дальнейшее разделение подсети, чтобы у всех была одинаковая точка зрения на подсети (то есть, это /24, /25, /26 и т.д.). Дальнейшее разделение подсети, как правило, приводит к потере используемых IP-адресов. Можно придумать кучу ухищрений, чтобы обойти такие проблемы, но в некоторых случаях NAT было бы проще реализовать и поддерживать.

ReneF

Guest

#11

12.07.2012 14:07:00

Диапазон публичного IP: 8.8.8.18-8.8.8.30 - Маска 255.255.255.240 - Шлюз 8.8.8.17. Ответ на ваш вопрос: «B) Просто представлен на подключении к провайдеру, что предполагает наличие X.X.X.X/28 напрямую на подключении к провайдеру». Спасибо.

CelticComms

Guest

#12

12.07.2012 18:45:00

Ладно, так вот, провайдер ожидает, что вся подсеть будет напрямую видна в broadcast domain, связанном с их интерфейсом, смотрящим на вас. Это очень затрудняет выделение некоторых IP-адресов и размещение их на устройствах, подключенных к другим интерфейсам RouterOS-устройства, потому что в целом с помощью роутера уровня 3 так подсеть разделить не получится. Думаю, у тебя есть 3 чистых варианта: использовать Routerboard как коммутатор/мост, если это всё ещё даст тебе нужные настройки и подходящую защиту upstream. Использовать NAT. Получить другое выделение IP-адресов и механизм доставки, например, /30 для канального подключения.

ReneF

Guest

#13

16.07.2012 16:13:00

Спасибо за помощь, CelticComms. Я не понимаю, в чем именно проблема с моими публичными IP-адресами. Я работал с другими провайдерами и обычно использовал подобную маску (например, 255.255.255.240 или 255.255.255.248, в зависимости от количества публичных IP-адресов). Что мне нужно спросить у своего провайдера, чтобы это заработало? В первом предложенном вами варианте, как мне сделать эту конфигурацию "switch-bridge"? Rene

CelticComms

Guest

#14

16.07.2012 17:57:00

Насчет IP-диапазона особого ничего нет. Проблематично другое — идея размещать (скажем) 8.8.8.18/28 и 8.8.8.19/28 на разных интерфейсах одного и того же роутера и ожидать, что роутер сможет это маршрутизировать. У провайдеров есть множество способов представить IP-адреса. Например, они могут просто исходить из того, что весь сабнет виден на линии от них — то есть, все важные IP-адреса будут напрямую отвечать на ARP-запросы в сетевом канале. Иногда они могут предоставить публичный IP-диапазон, скажем X.X.X.X/26, но иметь отдельную небольшую сеть Y.Y.Y.Y/30 для подключения. Затем они будут отправлять весь трафик для сабнета X.X.X.X/26 на ваш роутер по IP-адресу в диапазоне Y.Y.Y.Y/30.

ReneF Guest	#15 0 16.07.2012 20:18:00 Окей, спасибо. С уважением, Рене.

samsung172 Guest	#16 0 16.07.2012 20:29:00 Создай интерфейс bridge. Помести все интерфейсы для публичных IP-адресов в этот bridge, и ты будешь готов к работе.

dancho Guest	#17 0 03.11.2014 12:37:00 Нужно добавить эти IP-адреса к серверам, а не к портам. Спасибо, samsung172. Теперь у меня работает.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры