+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Маскарад или src-nat для адресов назначения??

Маскарад или src-nat для адресов назначения??, RouterOS

samsoft08 Guest	#1 0 11.10.2006 00:30:00 В чём разница между: masquerade network chain=srcnat out-interface=internet src-address=192.168.1.0/24 action=masquerade и chain=srcnat out-interface=internet src-address=192.168.1.0/24 action=src-nat to-addresses=xx.xx.xx.xx to-ports=0-65535 ??
	Цитировать Имя

sergejs Guest	#2 0 11.10.2006 07:44:00 Маскарад — это особый вид SRC-NAT, вы не можете указать ‘to-addresses’, исходящий интерфейс используется автоматически. Action=src-nat вам нужно указать исходящий ‘src-address’ для пакетов.
	Цитировать Имя

Mitak

Guest

11.10.2006 09:34:00

И еще один пример: если у вас две /или больше/ частных сети, и вы хотите сделать src-nat для них под разные src-адреса: chain=srcnat out-interface=internet src-address=192.168.1.0/24 action=src-nat to-addresses=xx.xx.xx.xx to-ports=0-65535

chain=srcnat out-interface=internet src-address=192.168.2.0/24 action=src-nat to-addresses=yy.yy.yy.yy to-ports=0-65535 С помощью masquerade можно это сделать, но только если адреса xx.xx.xx.xx и yy.yy.yy.yy назначены разным интерфейсам, как вот так: chain=srcnat out-interface=internet src-address=192.168.1.0/24 action=masquerade
chain=srcnat out-interface=internet1 src-address=192.168.2.0/24 action=masquerade

Цитировать Имя

samsoft08

Guest

11.10.2006 21:03:00

В твоем примере это значит, что у меня 2 приватные сети и 2 публичных адреса. Если у меня больше 1 публичного IP и 1 приватная сеть, могу ли я разделить свои приватные адреса, например, 192.168.1.100-150 src-nat к одному публичному, а 151-200 — к другому публичному?

Цитировать Имя

sergejs Guest	#5 0 12.10.2006 05:49:00 Да, это возможно с SRC-NAT, одна группа будет использовать один публичный адрес в качестве SRC-адреса для исходящих подключений, а вторая группа — другой публичный адрес.
	Цитировать Имя

Mitak

Guest

12.10.2006 06:32:00

Да, например: у вас есть сеть 192.168.0.0/25, и вы разделяете её на: 192.168.0.0/26 и 192.168.0.64/26. Первый публичный адрес: 1.2.3.4, второй: 5.6.7.8.
chain=srcnat out-interface=internet src-address=192.168.0.0/26
action=src-nat to-addresses=1.2.3.4 to-ports=0-65535

chain=srcnat out-interface=internet* src-address=192.168.0.64/26
action=src-nat to-addresses=5.6.7.8 to-ports=0-65535

* - если ваш второй IP-адрес назначен на другой интерфейс, просто укажите его имя здесь.

Цитировать Имя

rakis1985

Guest

06.08.2016 15:42:00

Привет всем, что мне нужно сделать? У меня RouterOS 750g (5 Ethernet-портов). Мой провайдер дал мне 2 IP-адреса (48.48.48.0/30), пиринговую сеть (47.47.47.0/29) по каким-то причинам, и я хочу использовать приватную сеть (10.10.0.0/24). IP-адрес роутера (48.48.48.2), шлюз (48.48.48.1), ether1 назначен 48.48.48.2, создать статический маршрут для шлюза, ether2 назначен IP-адрес (10.10.0.1/24) + DHCP-сервер, ether3 и ether4 — слепые (slave) к ether2, ether5 назначен (47.47.47.1/29). Если пиринговая сеть маршрутизируется напрямую от провайдера (это значит, что мне не нужно делать NAT для этого адресного пространства, верно?), то что мне нужно сделать, чтобы NATить только приватную сеть? Заметка: я пробовал NATить с действием masquerade (chain=srcnat out-interface=ether1 action=masquerade), но тогда обе подсети NATтились. Я пробовал NATить с опцией src-address, но тогда ничего не работало... (chain=srcnat out-interface=ether1 src-address=10.10.0.0/24 action=masquerade). Спасибо!!

Цитировать Имя

Sob

Guest

06.08.2016 22:27:00

Поздравляю с открытием достижения "кладбищенского копателя"! Ответил на пост десятилетней давности... В общем, то, что ты описываешь, должно было сработать. Если только у тебя не больше одного адреса, назначенного на ether1. Также можешь попробовать указать адрес вручную: /ip firewall nat
add action=src-nat chain=srcnat out-interface=ether1 src-address=10.10.0.0/24 \
to-addresses=48.48.48.2

Цитировать Имя

mjsabri Guest	#9 0 07.08.2016 04:10:00 Привет! В src-nat нужно указывать параметр to-address в действии, а в masquerade его указывать не обязательно, он задаётся автоматически.
	Цитировать Имя

LaZyLion Guest	#10 0 24.08.2023 15:04:00 В чем минус использования masquerade вместо src-nat, если у тебя статический IP?
	Цитировать Имя

anav Guest	#11 0 24.08.2023 15:31:00 Прочитай здесь, Пара H. → https://forum.mikrotik.com/viewtopic.php?t=191442
	Цитировать Имя

Тимофей Листопадов

User

Сообщений: 6 Регистрация: 16.07.2025

#12

16.07.2025 10:37:44

Цитата
LaZyLion написал: В чем минус использования masquerade вместо src-nat, если у тебя статический IP?

Если у тебя статический IP, лучше использовать src-nat, а не masquerade.

masquerade каждый раз сбрасывает соединения при изменении состояния интерфейса — могут обрываться VPN, игры, торренты. Он нужен, когда IP динамический (меняется).

src-nat — стабильнее: явно указываешь IP, ничего лишнего не пересчитывается.

Коротко:
– Статический IP? ➜ src-nat
– Динамический IP (PPPoE/DHCP)? ➜ masquerade

Цитировать Имя

Mix User Сообщений: 1 Регистрация: 23.08.2025	#13 0 23.08.2025 17:08:51 Можно ли сделать след: белый аипи ввести на компьютере, убрав с интерфейса на роутере, пропадет интернет у других устройств? нужно белый аипи на компьютер перенести с роутера.
	Цитировать Имя

Читают тему

BBCode Правила

Форма ответов

Ваше имя*

Текст сообщения*

Перетащите файлы

Ничего не найдено

Загрузить картинки

Показывать графические смайлы в этом сообщении

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры