Здравствуйте. Почитывая на просторах инете о Микротиках, наткнулся на статью: http://habrahabr.ru/post/182166/ . Вопрос, чем отличается netmap от dst-nat ?
Netmap - это преобразование одной подсети в другую 1:1 Как следствие это действие доступно в обоих цепочках NAT (srcnat и dstnat)
Например у тебя 2 офиса. У обоих офисов подсеть 192.168.0.0/24 Ты ее не можешь поменять (много сложностей) и у тебя адреса пересекаются. Тогда ты поднимаешь VPN и делаешь netmap так, чтобы: С офиса 1 офис 2 выглядел как 192.168.2.0/24 С офиса 2 офис 1 выглядел как 192.168.1.0/24 А внутренняя адресация осталось той же. Тогда Офис 1 Код: /ip firewall nat add action=netmap chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.0.0/24\ to-addresses=192.168.1.0/24 add action=netmap chain=dstnat dst-address=192.168.1.0/24 src-address=192.168.2.0/24\ to-addresses=192.168.0.0/24 Офис 2 Код: /ip firewall nat add action=netmap chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24\ to-addresses=192.168.2.0/24 add action=netmap chain=dstnat dst-address=192.168.2.0/24 src-address=192.168.1.0/24\ to-addresses=192.168.0.0/24 Теперь из офиса-1 в офис-2 мы идем по адресам 192.168.2.х, а из офиса-2 в офис-1 по адресам 192.168.1.х Схема:
Подскажите пожалуйста. Провайдер выделил сетку с белыми ip/28 бридж не вариант. как правильно настроить маршрутизатор чтобы 1 адрес остался за маршрутизатором а каждый следующий назначен за определенным серым ip. делал так у меня не получилось, /ip address add address=78.23.17.2/29 interface=INET /ip address add address=78.23.17.3/29 interface=INET /ip address add address=78.23.17.4/29 interface=INET /ip address add address=78.23.17.5/29 interface=INET /ip address add address=78.23.17.6/29 interface=INET /ip address add address=192.168.0.1/24 interface=LAN Адрес 78.23.17.2/29 мы оставим для нужд самого микротика и последующего NAT. Итого имеем 4 свободных адреса. Делаем NAT для адресов которые не попали в список "netmap_ip" /ip firewall nat add action=masquerade chain=srcnat src-address-list=!netmap_ip disabled=no out-interface=INET NetMap адресов которым будет замаплен белый адрес: /ip firewall nat add chain=srcnat src-address=192.168.0.3 action=netmap to-addresses=78.23.17.3 /ip firewall nat add chain=dstnat dst-address=78.23.17.3 action=netmap to-addresses=192.168.0.3 /ip firewall nat add chain=srcnat src-address=192.168.0.4 action=netmap to-addresses=78.23.17.4 /ip firewall nat add chain=dstnat dst-address=78.23.17.4 action=netmap to-addresses=192.168.0.4 /ip firewall nat add chain=srcnat src-address=192.168.0.5 action=netmap to-addresses=78.23.17.5 /ip firewall nat add chain=dstnat dst-address=78.23.17.5 action=netmap to-addresses=192.168.0.5 /ip firewall nat add chain=srcnat src-address=192.168.0.6 action=netmap to-addresses=78.23.17.6 /ip firewall nat add chain=dstnat dst-address=78.23.17.6 action=netmap to-addresses=192.168.0.6 Ну и внесем их в список для того чтобы они не попали в маскарадинг: /ip firewall address-list add list="netmap_ip" address=192.168.0.3 /ip firewall address-list add list="netmap_ip" address=192.168.0.4 /ip firewall address-list add list="netmap_ip" address=192.168.0.5 /ip firewall address-list add list="netmap_ip" address=192.168.0.6 Таким образом мы получили двойные адреса для пользователей, но в большой сети их будет видно по белым адресам и соответственно все их порты. Так же с помощью Netmap можно мапить целые диапазоны но это только по документации, на самом же деле winbox просто не дает вписать диапазон вида 192.168.0.2-192.168.0.254, только так 192.168.0.0/24 а это нам не совсем подходит. меняеш серый ип а внешний остается тот же самый
Что-то вы как-то намутили. Вам выдано /29 Два адреса - зарезервировано. 1=шлюз. Остается 5 адресов в диапазоне 78.23.17.2-78.23.17.6 78.23.17.2 - оставляем роутеру. Назначение адресо ву вас правильное. Далее: Создаем 4 штуки dst-nat и 5 штук src-nat Код: /ip firewall nat add chain=dst-nat in-interface=WAN dst-address=78.23.17.3 action=dst-nat to-addresses=192.168.0.3 add chain=dst-nat in-interface=WAN dst-address=78.23.17.4 action=dst-nat to-addresses=192.168.0.4 add chain=dst-nat in-interface=WAN dst-address=78.23.17.5 action=dst-nat to-addresses=192.168.0.5 add chain=dst-nat in-interface=WAN dst-address=78.23.17.6 action=dst-nat to-addresses=192.168.0.6 Это чтобы пакеты ушли внутрь сети. Теперь изнутри (тут важна последовательность). Код: /ip firewall nat add chain=src-nat out-interface=WAN src-address=192.168.0.3 action=src-nat to-addresses=78.23.17.3 add chain=src-nat out-interface=WAN src-address=192.168.0.4 action=src-nat to-addresses=78.23.17.4 add chain=src-nat out-interface=WAN src-address=192.168.0.5 action=src-nat to-addresses=78.23.17.5 add chain=src-nat out-interface=WAN src-address=192.168.0.6 action=src-nat to-addresses=78.23.17.6 add chain=src-nat out-interface=WAN action=src-nat to-addresses=78.23.17.2 Последнее правило закрывает все пакеты которые не попали под первые четыре. Так же неплохо прописать pref-source=78.23.17.2 для маршрута 0.0.0.0/0
Помогите!!! Провайдер выдал два разных белых ip адреса с одинаковыми DNS но у каждого свой шлюз. IP1: 37.57.XXX.YYY/24 G: 37.57.XXX.0 IP2: 178.151.XXX.YYY/24 G: 178.151.XXX.0 Я запустил их в разные порты. ether1 - 37.57.XXX.YYY/24 ether3 - 178.151.XXX.YYY/24 На ether3 - 178.151.XXX.YYY/24 поднять l2tp сервер. Клиент находится на микротик за NAT другого провайдера. Как этому клиенту отдать ip ether3 - 178.151.XXX.YYY/24. Если можно подробней я сильно не разбираюсь. За ранее спасибо.
Клиент находится на микротик за NAT другого провайдера. За первым провайдером: IP1: 37.57.XXX.YYY/24 ?
IP1: 37.57.XXX.YYY/24 и IP2: 178.151.XXX.YYY/24 у первого Микротик 1. А клиент Микротик 2 за NAT другого провайдера.
Я не до конца понял что вы хотите сделать. 1. Добиться чтобы клиент из-за NAT выходил в Инет с 178.151.XXX.YYY/24 и, если пробросить порты то они уходили к клиенту. 2. Назначить на роутер клиента IP 178.151.XXX.YYY/24
Постараюсь объяснить. Микротик1 В городе дома мощный провайдер с сервисами и плюшками который выдает два белых ip адреса. Микротик2 За городом мелкий провайдер без плюшек держит меня за NAT. Вопрос как мне один белый ip адрес с Микротик1 пробросить через интернет на Микротик2, чтобы он через него выходил в интернет???
Если нужно что бы Интернет заворачивался на домашний микротик, сделайте туннель до дома и заверните весь трафик с загородного микротика в туннель.