forum.opennet.ru - "Mikrotik & BGP & NAT" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Mikrotik & BGP & NAT"

Форум Маршрутизаторы CISCO и др. оборудование. (Разное)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Mikrotik & BGP & NAT"	+/–
Сообщение от merlin_metso (ok) on 24-Дек-12, 16:59
Здравствуйте. Совсем не понимаю как подобное моржно реализовать, но есть подозрение, что это всё таки возможно. BGP сессии подняты. Мои два провайдера анонсируют мою AS в Мир. У меня есть подсеть PI адресов, предположим, 184.114.112.0/24. Я могу присвоить компьютеру в локальной сети IP из этой подсети и компьютер получит доступ в Мир скажем, через 184.114.112.1/24, и будет виден из Мира. А это потенциальная проблема. Я не хочу выпускать свои офисные компьютеры в Мир напрямую, я хочу как и раньше скрыть их за НАТ'ом. То есть присвоить компьютерам в локальной сети адреса вида 192.168.0.х при этом чтобы иметь возможность некоторым другим компьютерам или фирмам по соседству выдавать Мировые IP из моей подсети 184.114.112.0/24 Но в таком случае уж больно заковыристая система получается в которой я никак не могу разобраться. Т.е. чтобы мой почтовый сервак, файлопомойка, терминальные сервер, пользователи и т.д. имели IP типа 192.168.0.1-254 и все выходили в Мир через, скажем, 184.114.112.12. Но, никак не придумаю как это устроить. Готовых конфигов не надо, я и сам допетрю, знать бы в каком направлении двигаться. Можете пнуть в правильном направлении? PS. Мануалы Микротика читал, там есть описания всех его фичей, а мне бы знать какие именно надо использовать и как это будет работать. PPS. Использую два роутера у меня получилась описанная мною схема. Но хотелось бы чтоб один роутер и Мировые IP раздавал (предположим потенциальным клиентам или серверам, которые не страшно в мир высунуть напрямую) и как мой собственный роутер работал, скрывая мою подсеть (192.168.0.0) за NAT'ом с гейтвеем 184.114.112.12 Что было сделано. - Само собой подняты BGP сессии до каждого пира провайдера. Состояние каждого соединения= established - Поднят на роутере локальный интерфейс с IP 192.168.0.1/16 - Поднят на том же локальном интерфейсе IP 184.114.112.1/24 (Через него могут выходить в Мир машины с IP из моей подсети 184.114.112.0/24) что делать дальше ума не приложу. На одном из форумов рекомендовали использовать для этих целей второй роутер, но это как то не красиво получается. Неужели нет другого способа?
Ответить \| Правка \| Cообщить модератору

Оглавление

Mikrotik & BGP & NAT, Аноним, 17:17 , 24-Дек-12, (1)

Mikrotik & BGP & NAT, merlin_metso, 18:04 , 24-Дек-12, (2)

Mikrotik & BGP & NAT, Аноним, 18:13 , 24-Дек-12, (3)

Mikrotik & BGP & NAT, LHC, 11:33 , 25-Дек-12, (4)

Mikrotik & BGP & NAT, merlin_metso, 14:37 , 21-Янв-13, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "Mikrotik & BGP & NAT" +/–

Сообщение от Аноним (??) on 24-Дек-12, 17:17

> Готовых конфигов не надо, я и сам допетрю, знать бы
> в каком направлении двигаться. Можете пнуть в правильном направлении?
> Что было сделано.
> - Само собой подняты BGP сессии до каждого пира провайдера. Состояние каждого
> соединения= established
> - Поднят на роутере локальный интерфейс с IP 192.168.0.1/16
> - Поднят на том же локальном интерфейсе IP 184.114.112.1/24 (Через него могут
> выходить в Мир машины с IP из моей подсети 184.114.112.0/24)
Используйте внутри Вашей сети адресацию из диапазона 192.168.0.0/16 или с меньшей, достаточной для вас маской, а PI-блок можете использовать для src/dst-nat'а на нужные вам хосты внутри вашего сегмента. Ключевое слово binat.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Mikrotik & BGP & NAT" +/–

Сообщение от merlin_metso (ok) on 24-Дек-12, 18:04

>[оверквотинг удален]
>> в каком направлении двигаться. Можете пнуть в правильном направлении?
>> Что было сделано.
>> - Само собой подняты BGP сессии до каждого пира провайдера. Состояние каждого
>> соединения= established
>> - Поднят на роутере локальный интерфейс с IP 192.168.0.1/16
>> - Поднят на том же локальном интерфейсе IP 184.114.112.1/24 (Через него могут
>> выходить в Мир машины с IP из моей подсети 184.114.112.0/24)
> Используйте внутри Вашей сети адресацию из диапазона 192.168.0.0/16 или с меньшей, достаточной
> для вас маской, а PI-блок можете использовать для src/dst-nat'а на нужные
> вам хосты внутри вашего сегмента. Ключевое слово binat.
Спасибо за ответ.
Но ведь тогда машинам можно будет присваивать только локальные IP адреса. А нет ли возможности, чтобы и машины (каким это надо) получали Мировые IP адреса и в идеале не проходили через фильтры firewall'а. И моя сеть скрывалась за одним IP адресом (184.114.112.12) и проходила фильтрацию роутера?
Или возможно я не правильно понял смысл binat?
********************************
*Двунаправленное отображение может быть установлено использованием правила binat. Правило *binat устанавливает один к одному отображение между внутренним IP адресом и внешним. Это *может быть полезно, например, для предоставления веб сервера во внутренней сети со своим *личным внешним IP адресом. Соединения из Интернета на внешний адрес будут транслироваться *на внутренний адрес а соединения от веб сервера (такие как DNS запрос) будут *преобразовываться во внешний адрес. TCP и UDP порты никогда не изменяются с binat *правилом.
*Пример:
*
*web_serv_int = "192.168.1.100"
*web_serv_ext = "24.5.0.6"
*
*binat on tl0 from $web_serv_int to any -> $web_serv_ext
********************************

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Mikrotik & BGP & NAT" +/–

Сообщение от Аноним (??) on 24-Дек-12, 18:13

binat в данном случае лишь подсказка в какую сторону изучать вопрос, как собственно Вы и хотели.
По существу вопроса: можно сделать так как вы хотите, но как минимум Ваша внутренняя сеть и "реальная" сеть должны быть разделены по интерфейсам. Тогда правила фильтрации разделяете по in/out интерфейсам и получаете то что хотите.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Mikrotik & BGP & NAT" +/–

Сообщение от LHC on 25-Дек-12, 11:33

>[оверквотинг удален]
> гейтвеем 184.114.112.12
> Что было сделано.
> - Само собой подняты BGP сессии до каждого пира провайдера. Состояние каждого
> соединения= established
> - Поднят на роутере локальный интерфейс с IP 192.168.0.1/16
> - Поднят на том же локальном интерфейсе IP 184.114.112.1/24 (Через него могут
> выходить в Мир машины с IP из моей подсети 184.114.112.0/24)
> что делать дальше ума не приложу. На одном из форумов рекомендовали использовать
> для этих целей второй роутер, но это как то не красиво
> получается. Неужели нет другого способа?
Сделать 2 VLAN, один для public-подсети, другой для private, чтобы на канальном уровне разделить трафик и запретить использовать публичные адреса в частном VLAN-е.
После этого сделать SNAT для частных подсетей через публичный адрес или пул публичных адресов, а хосты с публичным IP из PA-блока выпускать наружу обычным роутингом.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Mikrotik & BGP & NAT" +/–

Сообщение от merlin_metso (ok) on 21-Янв-13, 14:37

Большое всем спасибо за помощь. Так и поступил. Освоил binat. Теперь PI роутится а локальная подсеть выходит в МИР через NAT.
add action=src-nat chain=srcnat disabled=no src-address="Local_subnet/16" \
    to-addresses="WORLD_IP"
Был минус. При том, что всё работало, мой WORLD_IP не пинговался по причине отсутствия такового на интерфейсе. Выход- просто его создать и будет что пинговать :)
Полезными так же оказались два маленьких правила не дающих НАТить адреса при посещении других локальных подсетей (у нас на них OpenVPN висит например)
add action=accept chain=srcnat comment="don't NAT local-to-local req!" \
    disabled=no dst-address=192.168.0.0/16 src-address="Local_subnet/16"
add action=accept chain=srcnat comment="don't NAT local-to-local req!" \
    disabled=no dst-address="Local_subnet/16" src-address="Local_subnet/16"
всё было проще чем я предполагал.
Тему можно закрыть.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Mikrotik & BGP & NAT"	+/–
Сообщение от Аноним (??) on 24-Дек-12, 17:17
> Готовых конфигов не надо, я и сам допетрю, знать бы > в каком направлении двигаться. Можете пнуть в правильном направлении? > Что было сделано. > - Само собой подняты BGP сессии до каждого пира провайдера. Состояние каждого > соединения= established > - Поднят на роутере локальный интерфейс с IP 192.168.0.1/16 > - Поднят на том же локальном интерфейсе IP 184.114.112.1/24 (Через него могут > выходить в Мир машины с IP из моей подсети 184.114.112.0/24) Используйте внутри Вашей сети адресацию из диапазона 192.168.0.0/16 или с меньшей, достаточной для вас маской, а PI-блок можете использовать для src/dst-nat'а на нужные вам хосты внутри вашего сегмента. Ключевое слово binat.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Mikrotik & BGP & NAT"	+/–
	Сообщение от merlin_metso (ok) on 24-Дек-12, 18:04
	>[оверквотинг удален] >> в каком направлении двигаться. Можете пнуть в правильном направлении? >> Что было сделано. >> - Само собой подняты BGP сессии до каждого пира провайдера. Состояние каждого >> соединения= established >> - Поднят на роутере локальный интерфейс с IP 192.168.0.1/16 >> - Поднят на том же локальном интерфейсе IP 184.114.112.1/24 (Через него могут >> выходить в Мир машины с IP из моей подсети 184.114.112.0/24) > Используйте внутри Вашей сети адресацию из диапазона 192.168.0.0/16 или с меньшей, достаточной > для вас маской, а PI-блок можете использовать для src/dst-nat'а на нужные > вам хосты внутри вашего сегмента. Ключевое слово binat. Спасибо за ответ. Но ведь тогда машинам можно будет присваивать только локальные IP адреса. А нет ли возможности, чтобы и машины (каким это надо) получали Мировые IP адреса и в идеале не проходили через фильтры firewall'а. И моя сеть скрывалась за одним IP адресом (184.114.112.12) и проходила фильтрацию роутера? Или возможно я не правильно понял смысл binat? ******************************** Двунаправленное отображение может быть установлено использованием правила binat. Правило binat устанавливает один к одному отображение между внутренним IP адресом и внешним. Это может быть полезно, например, для предоставления веб сервера во внутренней сети со своим личным внешним IP адресом. Соединения из Интернета на внешний адрес будут транслироваться на внутренний адрес а соединения от веб сервера (такие как DNS запрос) будут преобразовываться во внешний адрес. TCP и UDP порты никогда не изменяются с binat правилом. Пример: * web_serv_int = "192.168.1.100" web_serv_ext = "24.5.0.6" * binat on tl0 from $web_serv_int to any -> $web_serv_ext *******************************
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Mikrotik & BGP & NAT"	+/–
	Сообщение от Аноним (??) on 24-Дек-12, 18:13
	binat в данном случае лишь подсказка в какую сторону изучать вопрос, как собственно Вы и хотели. По существу вопроса: можно сделать так как вы хотите, но как минимум Ваша внутренняя сеть и "реальная" сеть должны быть разделены по интерфейсам. Тогда правила фильтрации разделяете по in/out интерфейсам и получаете то что хотите.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

4. "Mikrotik & BGP & NAT"	+/–
Сообщение от LHC on 25-Дек-12, 11:33
>[оверквотинг удален] > гейтвеем 184.114.112.12 > Что было сделано. > - Само собой подняты BGP сессии до каждого пира провайдера. Состояние каждого > соединения= established > - Поднят на роутере локальный интерфейс с IP 192.168.0.1/16 > - Поднят на том же локальном интерфейсе IP 184.114.112.1/24 (Через него могут > выходить в Мир машины с IP из моей подсети 184.114.112.0/24) > что делать дальше ума не приложу. На одном из форумов рекомендовали использовать > для этих целей второй роутер, но это как то не красиво > получается. Неужели нет другого способа? Сделать 2 VLAN, один для public-подсети, другой для private, чтобы на канальном уровне разделить трафик и запретить использовать публичные адреса в частном VLAN-е. После этого сделать SNAT для частных подсетей через публичный адрес или пул публичных адресов, а хосты с публичным IP из PA-блока выпускать наружу обычным роутингом.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Mikrotik & BGP & NAT"	+/–
	Сообщение от merlin_metso (ok) on 21-Янв-13, 14:37
	Большое всем спасибо за помощь. Так и поступил. Освоил binat. Теперь PI роутится а локальная подсеть выходит в МИР через NAT. add action=src-nat chain=srcnat disabled=no src-address="Local_subnet/16" \ to-addresses="WORLD_IP" Был минус. При том, что всё работало, мой WORLD_IP не пинговался по причине отсутствия такового на интерфейсе. Выход- просто его создать и будет что пинговать :) Полезными так же оказались два маленьких правила не дающих НАТить адреса при посещении других локальных подсетей (у нас на них OpenVPN висит например) add action=accept chain=srcnat comment="don't NAT local-to-local req!" \ disabled=no dst-address=192.168.0.0/16 src-address="Local_subnet/16" add action=accept chain=srcnat comment="don't NAT local-to-local req!" \ disabled=no dst-address="Local_subnet/16" src-address="Local_subnet/16" всё было проще чем я предполагал. Тему можно закрыть.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору