+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Настройка двух публичных IP-адресов, NAT, почтового сервера и веб-сервера.

Настройка двух публичных IP-адресов, NAT, почтового сервера и веб-сервера., RouterOS

godovic

Guest

21.12.2016 14:39:00

Нужен совет, как настроить 2 публичных IP-адреса на Mikrotik RB951G. Один адрес используется для NAT всех локальных IP и веб-сервера. Второй — только для почтового сервера, у которого тоже есть веб-сервер. Почтовый сервер находится на приватном IP.

Нужно ли ставить свитч перед Mikrotik, чтобы разделить эти два IP на два порта (ether1 и ether2), или просто назначить оба публичных адреса на ether1?

Хочу сделать NAT из локальной сети 192.168.88.0/24 на публичный IP 181.x.x.79 и пробросить порты 80 и 443 на локальный веб-сервер 192.168.88.11 — с этим всё понятно. Но также хочу пробросить все порты почтового сервера (25,80,143,443,465,587,993) на публичный IP 181.x.x.80 к почтовому серверу с локальным IP 192.168.88.10. Почтовый сервер должен использовать только 181.x.x.80 как публичный IP.

И не хочу, чтобы пользователи локальной сети выходили в интернет, чтобы получить доступ к почтовому серверу и зря тратили трафик.

Почтовый сервер нужно подключать к роутеру напрямую или через свитч?

Sob Guest	#2 0 06.01.2017 02:12:00 В этой теме указаны два публичных адреса, но только один WAN-порт, мост не используется. Если у вас два WAN-подключения, не объединяйте их в мост.

godovic

Guest

05.01.2017 14:24:00

Почему при поиске роутера в соседях Winbox я вижу публичный IP, а не локальный?
правка: когда я ставлю выходной интерфейс public в src nat, то не могу зайти на почтовый сервер... Нужно ли мне использовать hairpin или статическую DNS-запись для локального IP почтового сервера?

zipvault

Guest

06.01.2017 02:05:00

Я пытаюсь понять, как правильно настроить балансировку двух провайдеров для одновременного использования — чтобы обеспечить резервирование и увеличить скорость: если один отключится, другой всё равно останется в деле. А не так, чтобы при отключении одного автоматически переключалось на другого. Может быть, кто-то захочет подключиться к обсуждению sob: http://forum.mikrotik.com/t/balance-and-failsafe/104882/1

Sob

Guest

05.01.2017 20:01:00

Чтобы избавиться от публичного адреса у соседей, добавьте в второе правило src-nat параметр src-address-type=!local. В этом решении Hairpin NAT встроен по умолчанию. Если вы обращаетесь к почтовому серверу через публичный адрес из любой точки LAN, сервер увидит исходный адрес клиента как 181.x.x.79, и всё будет работать. Обычный Hairpin NAT с masquerade использовал бы внутренний адрес роутера, но это не принципиально, оба варианта работают отлично. Мне даже больше нравится первый, потому что он хотя бы позволяет отличать соединения, сделанные самим роутером, от соединений других клиентов. Можно также добавить DNS-запись, указывающую прямо на внутренний адрес почтового сервера — это не повредит. На самом деле, в некотором смысле так даже лучше, но это дополнительная работа. Хотя добавить одну запись — не так уж и сложно. Но если, например, у вас было несколько доменных имён, и потом вы перенесли один на внешний сервер, не забудьте удалить его отсюда.

godovic

Guest

05.01.2017 20:11:00

Итак, ты предпочитаешь не добавлять out-interface, как указано в wiki primer, например: add chain=srcnat src-address=192.168.1.0/24 action=src-nat to-addresses=1.1.1.1 out-interface=Public? Не используешь hairpin nat? Добавляешь src-address-type=!local к второму src-nat в правило NAT с to-addresses? Спасибо.

Sob

Guest

05.01.2017 20:26:00

Верно, не добавляйте out-interface, оно вам не нужно. Не совсем так. В этой конфигурации есть hairpin NAT, просто не в виде дополнительного srcnat правила. Необходимое поведение достигается только главным srcnat правилом. Да: добавьте action=src-nat chain=srcnat src-address=192.168.88.0/24 src-address-type=!local to-addresses=181.x.x.79

godovic Guest	#8 0 05.01.2017 21:00:00 Сейчас кажется, что стало быстрее, а может, это просто так выглядит... Это действительно нужно? /ip firewall filter add action=accept chain=forward connection-nat-state=dstnat — потому что вроде всё работает нормально?

Sob Guest	#9 0 05.01.2017 22:27:00 Это необходимо, если у вас настроен правильный файервол, который по умолчанию не пропускает весь трафик.

godovic

Guest

#10

05.01.2017 22:52:00

Это мои правила фильтрации файрвола, но IP-адреса из списка blockbad не блокируются?

/ip firewall filter
add action=accept chain=forward connection-nat-state=dstnat
add action=drop chain=forward in-interface=ether1 src-address-list=blockbad
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1

Sob Guest	#11 0 06.01.2017 00:40:00 В общем, у вас стоит штатный файрвол. В этом случае правило «разрешить все пересылаемые порты» особо не нужно: add action=accept chain=forward connection-nat-state=dstnat Потому что вот это правило — «блокировать всё с WAN, кроме пересланных портов» — защищает вас от нежелательных соединений с WAN, но при этом разрешает пересланные порты: add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1 При этом переадресация портов с локальной LAN разрешена по умолчанию. Что касается вашего блок-листа, правила обрабатываются по порядку, так что если вы хотите запретить некоторым внешним адресам доступ к вашим внутренним серверам, это не сработает, если правило находится под номером 2 — потому что все пересылаемые порты уже разрешены правилом №1, и правило №2 просто не успеет ничего сделать.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры