Есть исторически сложившаяся конфигурация сети, на входе стоит прозрачный шлюз на древней версии FreeBSD, за ним обычный микротик, работающий главным шлюзом для пользователей LAN. BSD настроена следующим образом - первый сетевой интерфейс смотрит на провайдера с белым IP: net="1.1.1.128" mask="255.255.255.240" ip="1.1.1.132" Вторая сетевуха смотрит во внутреннюю сеть с белым и серым IP: net="2.2.2.0" mask="255.255.255.240" ip="2.2.2.1" net_nat="172.16.0.0" mask_nat="255.255.255.0" ip_nat="172.16.0.11" В ipnat.rules исходящий трафик с 172.16.0.0/24 натится на 2.2.2.1/32, там же прописана служебная дырка для подключения снаружи для определенных IP. Внутри локальной сети возможны как белые (в пределах выделенной подсети), так и серые IP адреса, весь bogon трафик рубится на шлюзе. У провайдера на циске прописана какая-то специфическая маршрутизация (к сожалению не совсем понимаю какая) - в результате чего этот BSD прозрачный шлюз становится промежуточным хопом для пакетов, идущих на 2.2.2.0/28. Надо заменить этот древний BSD шлюз на микротик, встает вопрос - стОит ли так извращаться, или можно упростить схему (провайдером выделена белая подсеть /28, половина из которой закреплена за серверами, физически находящимися в LAN)? Как реализовать подобный шлюз на микротике, просто дать внешние адреса на интерфейсы и для исходящих пакетов с серым адресом делать NAT, или есть какие-то подводные камни с маршрутизацией и т.п.?
Добрый день. Да схема реализуема средствами микротик. Разберитесь только с вопросом как прокидывать будите белые IP внутрь локальной сети, все остальное стандартно.
Извините, а можно поподробнее про "все остальное стандартно."? На этом форуме стандартной конфигурации прозрачного фаервола не нашлось. Имеется одна внутренняя сеть, и её надо разделить на 2 части: более внешнюю и более внутреннюю с использованием фаервола. Сеть одна и та же, бродкасты, мультикасты и всякие ICMP, ND IPv6 должны безпрепятственно летать туда обратно в обе стороны. Из более внутреенней в более внешнюю часть всё разрешается. Но TCP / UDP трафик в сторону более внутренней сети разрешается только специальным правилом фаервола. Можно ткнуть носом, пожалуйста, в какой-нибудь готовый конфиг или его кусок? Как это правильно делается? Спасибо