The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Mikrotik NAT in Transparent mode"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Mikrotik NAT in Transparent mode"  +/
Сообщение от jahon55564 email(ok) on 11-Мрт-14, 07:47 
Может , ли микротик транслировать нат в режиме прозрачный мост?
Микротик ни имеет ip адрес в ин и в аут интерфейсе. Проходящий
трафик через микротик с ядро на пограничный маршрутизатор транслировалась.
И в этом реальные ip адреса не транслировались а левые транслировались.
Точна такая схема работает с другим оборудованием.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Mikrotik NAT in Transparent mode"  +/
Сообщение от PavelR (ok) on 11-Мрт-14, 10:01 
> Может , ли микротик транслировать нат в режиме прозрачный мост?
> Микротик ни имеет ip адрес в ин и в аут интерфейсе. Проходящий
> трафик через микротик с ядро на пограничный маршрутизатор транслировалась.
> И в этом реальные ip адреса не транслировались а левые транслировались.
> Точна такая схема работает с другим оборудованием.

расскажите пожалуйста подробнее схему, как будут обрабатываться пакеты и почему железка должна будет себя повести именно так, как вы описываете. Я имею ввиду следующее:

"пакет от клиентского компьютера будет получен на интерфейс Х микротика, потому что он туда будет отправлен ... , микротик посчитает его нужным к обработке, потому что....  и сделает с ним [такую-то трансляцию]". Ну и про ответные пакеты не забудьте, а то соединение не установится.

------

Бесконечны лишь Вселенная и [...]. Хотя насчет первой у меня имеются сомнения. Эйнштейн.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Mikrotik NAT in Transparent mode"  +/
Сообщение от jahon55564 email(ok) on 11-Мрт-14, 10:29 
>[оверквотинг удален]
>> трафик через микротик с ядро на пограничный маршрутизатор транслировалась.
>> И в этом реальные ip адреса не транслировались а левые транслировались.
>> Точна такая схема работает с другим оборудованием.
> расскажите пожалуйста подробнее схему, как будут обрабатываться пакеты и почему железка
> должна будет себя повести именно так, как вы описываете. Я имею
> ввиду следующее:
> "пакет от клиентского компьютера будет получен на интерфейс Х микротика, потому что
> он туда будет отправлен ... , микротик посчитает его нужным к
> обработке, потому что....  и сделает с ним [такую-то трансляцию]". Ну
> и про ответные пакеты не забудьте, а то соединение не установится.

Цель такой, в локальной сети  есть реальные и не реальные ip адреса, не реальные ip адреса в локальной сети должны работать без НАТ-а , только при выходе интернету они должны натироваться. Реальные ip адреса выходят без не каких трансляции. Eudemon Firewall от Huawei выполняет эту задачу. Он у меня работает в активном линке. А вот в Микротика что та не получается.

Скажем что интерфейс 1 смотрит на локал а 2 на инет. Создаем бридж1 и включаем интерфейсов  на бридж1. Реальный ip адреса проходящие через бридж1 должны проходить без не каких изменение , а не реальные адреса 192.168.55.0/24 транслировались на диапазон ip адресов (69.69.69.0/28).              

> ------
> Бесконечны лишь Вселенная и [...]. Хотя насчет первой у меня имеются сомнения.
> Эйнштейн.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Mikrotik NAT in Transparent mode"  +/
Сообщение от Andrey (??) on 12-Мрт-14, 08:39 
>[оверквотинг удален]
> адреса выходят без не каких трансляции. Eudemon Firewall от Huawei выполняет
> эту задачу. Он у меня работает в активном линке. А вот
> в Микротика что та не получается.
> Скажем что интерфейс 1 смотрит на локал а 2 на инет. Создаем
> бридж1 и включаем интерфейсов  на бридж1. Реальный ip адреса проходящие
> через бридж1 должны проходить без не каких изменение , а не
> реальные адреса 192.168.55.0/24 транслировались на диапазон ip адресов (69.69.69.0/28).
>> ------
>> Бесконечны лишь Вселенная и [...]. Хотя насчет первой у меня имеются сомнения.
>> Эйнштейн.

Ну и сделайте 2 VLAN. Один для 192.168.55.0/24 второй для внешних IP. Все равно общение между этими IP подсетями будет происходить через маршрутизатор. Соответственно для трафика 192.168.55.0/24 -> {внешние IP} не натить ничего, а для остального трафика с 192.168.55.0/24 - натить. Для внешних IP вообще ничего не натить.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Mikrotik NAT in Transparent mode"  +/
Сообщение от jahon55564 email(ok) on 12-Мрт-14, 08:54 
>[оверквотинг удален]
>> через бридж1 должны проходить без не каких изменение , а не
>> реальные адреса 192.168.55.0/24 транслировались на диапазон ip адресов (69.69.69.0/28).
>>> ------
>>> Бесконечны лишь Вселенная и [...]. Хотя насчет первой у меня имеются сомнения.
>>> Эйнштейн.
> Ну и сделайте 2 VLAN. Один для 192.168.55.0/24 второй для внешних IP.
> Все равно общение между этими IP подсетями будет происходить через маршрутизатор.
> Соответственно для трафика 192.168.55.0/24 -> {внешние IP} не натить ничего, а
> для остального трафика с 192.168.55.0/24 - натить. Для внешних IP вообще
> ничего не натить.

Микротик будет натить сети 192.168.55.0/24 если ихний шлюз находиться не на микротике ?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Mikrotik NAT in Transparent mode"  +/
Сообщение от PavelR (ok) on 12-Мрт-14, 09:20 

>>>> Бесконечны лишь Вселенная и [...]. Хотя насчет первой у меня имеются сомнения.
>>>> Эйнштейн.
> Микротик будет натить сети 192.168.55.0/24 если ихний шлюз находиться не на микротике
> ?

Вы термин прозрачность вообще как понимаете?  
С какого перепугу микротик вообще должен трогать пакеты этих сетей?

Сделайте нормальную сеть с нормальными раутерами и забудьте про "прозрачность и мосты".


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Mikrotik NAT in Transparent mode"  +/
Сообщение от Virtual email(??) on 28-Мрт-14, 13:01 
>[оверквотинг удален]
>>>> ------
>>>> Бесконечны лишь Вселенная и [...]. Хотя насчет первой у меня имеются сомнения.
>>>> Эйнштейн.
>> Ну и сделайте 2 VLAN. Один для 192.168.55.0/24 второй для внешних IP.
>> Все равно общение между этими IP подсетями будет происходить через маршрутизатор.
>> Соответственно для трафика 192.168.55.0/24 -> {внешние IP} не натить ничего, а
>> для остального трафика с 192.168.55.0/24 - натить. Для внешних IP вообще
>> ничего не натить.
> Микротик будет натить сети 192.168.55.0/24 если ихний шлюз находиться не на микротике
> ?

          ---bridge1---
ISP ----- 1 mikrotik 2----

примерно так должно получиться
создаем брижд
в бридж засовываем порт ISP и свой локальный порт
на брижд назначаете одновременно два адреса 192.168.55.1/24 и 69.69.69.2/28
в правилах Firewall - Nat говорите что сеть 192.168.55.0/24 маскарадим
а белые ИП будут ходить напрямую через бридж

но это откровенная дыра в безопасности вашей сети т.к. локальный трафик "поплывет" в сторону ISP - реальный косой костыль

Рассмотрите схему с DMZ зоной на микротике и не парьтесь, если нужна помощь могу помочь, но нужно корректное тех.задание

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру