Заменить прозрачный FreeBSD шлюз

Тема в разделе "Вопросы начинающих", создана пользователем CheshirCa, 22 мар 2018.

  1. CheshirCa

    CheshirCa Новый участник

    Есть исторически сложившаяся конфигурация сети, на входе стоит прозрачный шлюз на древней версии FreeBSD, за ним обычный микротик, работающий главным шлюзом для пользователей LAN.

    BSD настроена следующим образом - первый сетевой интерфейс смотрит на провайдера с белым IP:
    net="1.1.1.128"
    mask="255.255.255.240"
    ip="1.1.1.132"

    Вторая сетевуха смотрит во внутреннюю сеть с белым и серым IP:
    net="2.2.2.0"
    mask="255.255.255.240"
    ip="2.2.2.1"
    net_nat="172.16.0.0"
    mask_nat="255.255.255.0"
    ip_nat="172.16.0.11"

    В ipnat.rules исходящий трафик с 172.16.0.0/24 натится на 2.2.2.1/32, там же прописана служебная дырка для подключения снаружи для определенных IP.

    Внутри локальной сети возможны как белые (в пределах выделенной подсети), так и серые IP адреса, весь bogon трафик рубится на шлюзе. У провайдера на циске прописана какая-то специфическая маршрутизация (к сожалению не совсем понимаю какая) - в результате чего этот BSD прозрачный шлюз становится промежуточным хопом для пакетов, идущих на 2.2.2.0/28.

    Надо заменить этот древний BSD шлюз на микротик, встает вопрос - стОит ли так извращаться, или можно упростить схему (провайдером выделена белая подсеть /28, половина из которой закреплена за серверами, физически находящимися в LAN)? Как реализовать подобный шлюз на микротике, просто дать внешние адреса на интерфейсы и для исходящих пакетов с серым адресом делать NAT, или есть какие-то подводные камни с маршрутизацией и т.п.?
     
  2. Добрый день. Да схема реализуема средствами микротик.
    Разберитесь только с вопросом как прокидывать будите белые IP внутрь локальной сети, все остальное стандартно.
     
  3. dashboard

    dashboard Новый участник

    Извините, а можно поподробнее про "все остальное стандартно."?
    На этом форуме стандартной конфигурации прозрачного фаервола не нашлось. Имеется одна внутренняя сеть, и её надо разделить на 2 части: более внешнюю и более внутреннюю с использованием фаервола. Сеть одна и та же, бродкасты, мультикасты и всякие ICMP, ND IPv6 должны безпрепятственно летать туда обратно в обе стороны. Из более внутреенней в более внешнюю часть всё разрешается. Но TCP / UDP трафик в сторону более внутренней сети разрешается только специальным правилом фаервола.
    Можно ткнуть носом, пожалуйста, в какой-нибудь готовый конфиг или его кусок? Как это правильно делается?
    Спасибо