Передать белые IP адреса с одного Микротика на другой

[Semka]

Добрый день.
Над задачей бьюсь уже несколько дней. Мозги, уже, сломал. Надеюсь на вашу помощь.
Суть задачи – есть два микротика. Географически разнесены по разным городам. Надо передать белые, бубличные, IP адреса с одно Микротика на другой.
Перечитал кучу информации. Пришел к выводу что лучше попытаться через EoIP.
Имеем:
Mikrotik 1:
От провайдера получаем IP адреса:
- 50.50.50.50
- 60.60.60.60
- 70.70.70.70
Mikrotik 2:
От провайдера получаем P адрес - 80.80.80.80
Первый клиент, который должен выходить в мир через первый микротик -100.100.100.1
Второй клиент, который должен выходить в мир через первый микротик -100.100.100.2
Настроена локальная сеть, DHCP…

Настройки, которые делаю я:
На Микротике -1:
- ether1 – интерфейс от провайдера – присваиваю IP 50.50.50.50
- Поднимаю EoIP тунель на Микротик – 2
- Создаю общий бридж между интерфейс от провайдера и EoIP
- На бридж ставлю IP адрес - 60.60.60.60 и IP адрес - 70.70.70.70
На Микротике 2:
- Поднимаю EoIP – на первый микротик на IP адрес – 50.50.50.50
- Настраиваю Firewall - > Mangle
ip firewall mangle add chain=prerouting src-address=100.100.100.1 dst-address=!100.100.100.0/24 action=mark-routing new-routing-mark=Mikr2_IP passthrough=yes
ip firewall mangle add chain=prerouting src-address=100.100.100.2 dst-address=!100.100.100.0/24 action=mark-routing new-routing-mark=Mikr2_IP passthrough=yes
- Настраиваю ip -> Route
ip route add dst-address=0.0.0.0/0 gateway=eoip-tunnel distance=5 routing-mark=Mikr2_IP

Проверяю туннель – работает.
Проверяю трассировку со второго роутера на IP 60.60.60.60 ы на IP 70.70.70.70 – показывает на прямую без каких-либо дополнительных серверов.
Иду на клиента и понимаю, что интернета нету. Трассировка дальше Mikrotik 2 не проходит.

Подскажите, пожалуйста, в чем, где может проблема?
Или может кто знает какой-то другой способ реализации данной задачи так что оно заработало?

[Chupaka]

Каким образом от провайдера получаются адреса? Просто прописываются статикой на интерфейсе? Шлюз для всех одинаковый? Может ли провайдер нормально смаршрутизировать дополнительные адреса через основной (даже серый), чтобы его не надо было прописывать на самом роутере?

[Semka]

- Адреса просто прописываются на интерфейсе роутера.
- Шлюз для всех одинаковый
- "Может ли провайдер нормально смаршрутизировать дополнительные адреса через основной (даже серый" - Не уточнял. Но скорее нет чем да.

[Chupaka]

Так, я тут перечитал ваш первый пост и понял, что вы спрашиваете об одном, а реализуете как будто другое. Спрашиваете, как передать адреса на другой роутер, а реализуете выход в Интернет клиентов второго роутера через первый... Если вам достаточно просто выпустить клиентов в Интернет, снатировав их адресами на первом микротике, то в вашей схеме удалите eoip из бриджа (это не надо) и на первом микротике пропишите маршрут к 100.100.100.0/30 (или какая там подсеть у клиентов) через eoip - видимо, это ключевое, ведь он не знает, куда отправлять обратные пакеты для этих адресов.

[Semka]

"Если вам достаточно просто выпустить клиентов в Интернет, снатировав их адресами на первом микротике" - Да вполне достаточно.
Если я правильно понял:
- Удалить eoip из бриджа – сделано
- Прописать маршрут в сетку через туннель по «/24» – сделано, компы пингуются
- Снатировать адреса – тут вопросы…
Прописываю:
/ip firewall nat add chain=srcnat src-address=100.100.100.1 action=netmap to-addresses=60.60.60.60
То есть на втором роутрее делаю нат с локального адреса клиента на внешний адрес первого роутера через внешний интерфейс EoIP.

И нечего не работает.
Или надо еще какие то наты делать?

[Chupaka]

Нат должен быть на первом роутере. Там, где адрес.

Ну и netmap я бы без надобности не использовал, чтобы не запутаться. action=srcnat вполне подойдёт

[Semka]

То, что вы пишете работает если нужен один ИП адрес для одного туннеля.
А если нужно несколько ИП адресов на один туннель повесить - то как объяснить роутерам с какого ИП должен выходить тот или иной клиент?
Получается, что первый роутер не знает про локальные адреса второго роутера, а второй роутер не знает про публичные ИП адреса первого роутреа.
Именно поэтому и идет речь про то как передать Публичные адреса первого роутера на второй. Что бы иметь возможность разруливать вопросы с маршрутизацией на втором роутере.

[Chupaka]

Получается, что первый роутер не знает про локальные адреса второго роутера

Так расскажите ему. В чём проблема?

Код: Выделить всё

/ip firewall nat add chain=srcnat src-address=100.100.100.1 action=src-nat to-addresses=60.60.60.60

Именно так и надо на первом роутере сделать

Именно поэтому и идет речь про то как передать Публичные адреса первого роутера на второй. Что бы иметь возможность разруливать вопросы с маршрутизацией на втором роутере.

Можно попробовать включить ARP Proxy на первом роутере на интерфейсе провайдера - и смаршрутизировать (не добавляя на сам роутер) публичный адрес на второй роутер. Увы, проверить схему мне не на чем.

[Semka]

А можно немного подробней про «смаршрутизировать публичный адрес на второй роутер»?
Подскажите какие именно методы необходимо использовать для такой маршрутизации? Или в каких разделах на роутерах это необходимо реализовывать?

[Chupaka]

Дальше рассуждения полностью теоретические, на каком шаге может дать осечку - не представляю Я бы делал так:

На первом роутере включить Proxy ARP на интерфейсе провайдера. Прописать маршрут к 60.60.60.60/32 через тоннель. В результате на ARP-запросы адреса 60.60.60.60 роутер должен начать отвечать своим MAC-адресом (в этой части я наименее уверен ). Если прокатит - провайдер пакеты для 60.60.60.60 начнёт слать роутеру, роутер их будет дальше в тоннель пересылать.

На втором роутере настроить NAT пакетов в обе стороны:
/ip firewall nat
add chain=dstnat dst-address=60.60.60.60 action=dst-nat to-addresses=100.100.100.1
add chain=srcnat src-address=100.100.100.1 out-interface=тоннель action=src-nat to-addresses=60.60.60.60

Останется отправить пакеты от 100.100.100.1 в тоннель:
/ip firewall mangle
add chain=prerouting src-address=100.100.100.1 dst-address=!100.100.100.0/24 action=mark-routing new-routing-mark=GoTunnel
/ip route add routing-mark=GoTunnel gateway=тоннель

[Semka]

Благодарю за развернутый ответ.
Буду экспериментировать.
Отпишусь по итогу что получилось.