1 WAN и 5 IP адресов. Нужна помощь.

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Tarakan59
Сообщения: 3
Зарегистрирован: 04 апр 2019, 15:56

1 WAN и 5 IP адресов. Нужна помощь.

Сообщение Tarakan59 »

Всем привет.
Перерыв кучу материалов и гуглов, у меня так и не получается завести 5 ip в микротик.
Итак имеем:
1.RB2011UiAS-2HnD
2.От провайдера приходит шнурок с 5 белыми ip адресами. 1.1.1.1-5 шлюз 1.1.1.254
Предисловие.
Люди попросили перестроить серверную. (придя я прослезился. Все в паутине из проводов и все на скрутках). Потихоньку все разобрал и переделал. Но меня насторожило, что все компы сидят по разному и смотрют в свой интернет. Топология была следующей. Шнурок провайдера был воткнут в простой свитч, и из него по зданию пошла локалка. У каждого компа стоит микротик хап лайт 941. т.е. как таковой локальной сети и нету. В это время на полочке лежал и пылился 2011.
Что было сделано.
Вообщем переделав все у меня получилась следующая картина.
Шнурок провайдера воткнут в 2011 в 10 порт(WAN). Порты 1-9 + wifi объединены в бридж. В "Address List" прописал на бридж локальную сеть 10.0.20.1/24, и прописал внешние ip адреса на WAN порт. 5 штук.
В "Firewall" прописал правила разрешающие пинг. В "NAT" прописал правило "masquerade". Вообщем интернет заработал, и компы стали видеть друг друга в сетке. Заходим на сайт 2IP. показывает IP адрес 1.1.1.1. далее через онлайн пинговалки пытаюсь пропинговать все 5 внешних адресов. Отвечает только 1.1.1.1. Дальше, делаю правило преренаправления. C IP 1.1.1.1 работают все правила и RDP и http. все перенаправляется в локалку на нужные сервера. Но трафик на адреса 1.1.1.2-5 не работают. Пытался сделать на исходящие соединения подмену внешнего ip адреса. В "NAT" делаю правило:
/ip firewall nat
add action=src-nat chain=srcnat log=yes routing-mark=2 src-address=10.0.20.249 to-addresses=1.1.1.2
/ip route
add check-gateway=ping distance=1 gateway=1.1.1.254 pref-src=1.1.1.2 routing-mark=2
Подмены IP адреса не происходит. На сайте 2ip я попрежнему вижу 1.1.1.1
Братцы, помогите, мозг взорван. С 1 IP адресом вообще проблем нету. Но нужно 5. Куда копать? И что еще можно почитать? Ткните носом.

Забыл. Еще я пытался сделать бридж_ван и добавил в него 10 порт. на бридж повесил внешние ип адреса. правила в firewall переписал на работу с бриджем. Но результата 0. я по прежнему вижу только 1.1.1.1.
Аватара пользователя
kardash
Сообщения: 302
Зарегистрирован: 27 апр 2017, 22:08
Откуда: Минск
Контактная информация:

Re: 1 WAN и 5 IP адресов. Нужна помощь.

Сообщение kardash »

Сложно объяснять, но я такое делал:
/ip firewall nat
add action=src-nat chain=srcnat log=yes routing-mark=2 src-address=10.0.20.249 to-addresses=1.1.1.2
это правильно...
/ip route
add check-gateway=ping distance=1 gateway=1.1.1.254 pref-src=1.1.1.2 routing-mark=2
"pref-src=1.1.1.2" - не обязательно

Думаю вам осталось только 1.1.1.2/24 прописать на внешнем интерфейсе если не прописано...
И правило в манглах добавить типа какае-то сеть 10.0.20.249(192.168.88.0/27) идёт в интернет через роутинг марк 2
Мой блог по MikroTik: https://netflow.by/blog/tweak-isp/mikrotik 8-)
Tarakan59
Сообщения: 3
Зарегистрирован: 04 апр 2019, 15:56

Re: 1 WAN и 5 IP адресов. Нужна помощь.

Сообщение Tarakan59 »

Пока ничего не получилось. :(
Гадать на кофейной гуще, очень сложно. Прикладываю /export hide-sensitive - он поможет, понять почему у меня руки кудрявые. И где я туплю. Порты 6-9 просто выкинуты пока из бриджа.

Код: Выделить всё

[admin@MK_PROM_1] > export hide-sensitive 
# apr/06/2019 01:42:29 by RouterOS 6.44.1
# software id = X2SC-GC9G
#
# model = 2011UiAS-2HnD
/caps-man channel
add band=2ghz-b/g/n extension-channel=Ce name=channel1 tx-power=20
/interface bridge
add name=bridge_LAN
/interface ethernet
set [ find default-name=ether10 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=WAN \
    name=WAN
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether7 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether8 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
    "Video Server"
set [ find default-name=ether9 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
    GRADIENT
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(20dBm), SSID: PROM-WIFI, CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n basic-rates-b="" \
    channel-width=20/40mhz-XX frequency=auto frequency-mode=superchannel \
    mode=ap-bridge name=PROM_WIFI ssid=PROM_WIFI supported-rates-b="" \
    wireless-protocol=802.11 wps-mode=disabled
/interface wireless nstreme
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(20dBm), SSID: PROM-WIFI, CAPsMAN forwarding
set PROM_WIFI enable-polling=no
/caps-man datapath
add bridge=bridge_LAN client-to-client-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm,tkip group-encryption=\
    aes-ccm name=security1
/caps-man configuration
add channel=channel1 datapath=datapath1 mode=ap name=cfg1 rx-chains=0,1,2 \
    security=security1 ssid=PROM-WIFI tx-chains=0,1,2
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk disable-pmkid=\
    yes eap-methods="" group-ciphers=tkip,aes-ccm mode=dynamic-keys \
    supplicant-identity=MikroTik unicast-ciphers=tkip,aes-ccm
/ip pool
add name=dhcp_pool0 ranges=10.0.20.20-10.0.20.250
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge_LAN name=dhcp1
/caps-man manager
set enabled=yes
/caps-man manager interface
add disabled=no forbid=yes interface=WAN
add disabled=no interface=bridge_LAN
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
    cfg1
/interface bridge port
add bridge=bridge_LAN hw=no interface=ether2
add bridge=bridge_LAN hw=no interface=ether3
add bridge=bridge_LAN hw=no interface=ether4
add bridge=bridge_LAN hw=no interface=ether5
add bridge=bridge_LAN interface=PROM_WIFI
add bridge=bridge_LAN hw=no interface=ether1
/interface wireless cap
# 
set bridge=bridge_LAN caps-man-addresses=10.0.20.1 discovery-interfaces=\
    bridge_LAN enabled=yes interfaces=PROM_WIFI
/ip address
add address=10.0.20.1/24 comment=Local_Network interface=bridge_LAN network=\
    10.0.20.0
add address=1.1.1.5/24 comment="1_5 for OLD Server" interface=WAN \
    network=1.1.1.0
add address=1.1.1.2/24 comment=1_2 interface=WAN network=\
    1.1.1.0
add address=1.1.1.3/24 comment=1_3 interface=WAN network=\
    1.1.1.0
add address=1.1.1.4/24 comment="1_4 for Gradient 12CH" interface=\
    WAN network=1.1.1.0
add address=1.1.1.6/24 comment="1_6 for Video AHDR-2016" interface=\
    WAN network=1.1.1.0
add address=1.1.1.1/24 interface=WAN network=1.1.1.0
/ip dhcp-server lease
add address=10.0.20.52 client-id=1:70:85:c2:2b:52:58 mac-address=\
    70:85:C2:2B:52:58 server=dhcp1
add address=10.0.20.51 client-id=1:74:d4:35:8c:5c:aa mac-address=\
    74:D4:35:8C:5C:AA server=dhcp1
add address=10.0.20.2 client-id=1:64:d1:54:b4:9b:df mac-address=\
    64:D1:54:B4:9B:DB server=dhcp1
add address=10.0.20.12 client-id=GRADIENT
add address=10.0.20.13 client-id="Video AHDR-2016HL" mac-address=\
    00:12:16:C1:28:4A
add address=10.0.20.10 client-id=1:30:9c:23:e0:b4:88 mac-address=\
    30:9C:23:E0:B4:88 server=dhcp1
add address=10.0.20.33 client-id=1:80:5e:c0:2:3b:4a mac-address=\
    80:5E:C0:02:3B:4A server=dhcp1
add address=10.0.20.11 client-id=1:0:25:22:cc:ea:2b mac-address=\
    00:25:22:CC:EA:2B server=dhcp1
/ip dhcp-server network
add address=10.0.20.0/24 dns-server=10.0.20.1,77.88.8.88 gateway=10.0.20.1
/ip dns
set allow-remote-requests=yes servers=10.0.20.1,77.88.8.88
/ip firewall address-list
add address=83.1.1.141 list=MED_foto
add address=193.1.1.76 list=MED_foto
/ip firewall filter
add action=accept chain=input comment="CAPsMAN Enable local trafics" \
    dst-address=10.0.20.0/24 src-address=10.0.20.0/24
add action=accept chain=output connection-mark=200_50 dst-address=\
    !10.0.20.0/24 out-interface=WAN src-address=10.0.20.1
add action=accept chain=input comment="Enable Ping" in-interface=WAN \
    log-prefix=PING protocol=icmp
add action=accept chain=input comment=DNS disabled=yes in-interface=WAN \
    protocol=udp src-port=53
add action=accept chain=input comment="Enable NTP Time server" in-interface=\
    WAN log=yes log-prefix=TIME protocol=udp src-address=109.195.19.73 \
    src-port=123
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=forward connection-state=\
    established,related,untracked
add action=accept chain=input dst-port=8291 in-interface=WAN log=yes \
    log-prefix=WINBOX_MED protocol=tcp src-address-list=MED_foto
add action=accept chain=input dst-port=22 in-interface=WAN log=yes \
    log-prefix=SSH_MED protocol=tcp src-address-list=MED_foto
add action=drop chain=input in-interface=WAN log=yes log-prefix=DROP
/ip firewall mangle
add action=mark-connection chain=input dst-address=1.1.1.6 \
    in-interface=WAN new-connection-mark=1_6 passthrough=yes
add action=mark-connection chain=input dst-address=1.1.1.4 \
    in-interface=WAN new-connection-mark=1_4 passthrough=yes
add action=mark-connection chain=input dst-address=1.1.1.5 \
    in-interface=WAN new-connection-mark=1_5 passthrough=yes
add action=mark-routing chain=prerouting dst-address=!10.0.20.0/24 \
    new-routing-mark=1_5 passthrough=yes src-address=10.0.20.11
add action=mark-routing chain=prerouting dst-address=!10.0.20.0/24 \
    new-routing-mark=1_6 passthrough=yes src-address=10.0.20.13
add action=mark-routing chain=prerouting dst-address=!10.0.20.0/24 \
    new-routing-mark=1_4 passthrough=yes src-address=10.0.20.12
/ip firewall nat
add action=src-nat chain=srcnat dst-address=!10.0.20.0/24 log=yes \
    out-interface=WAN routing-mark=1_5 src-address=10.0.20.11 \
    to-addresses=1.1.1.5
add action=src-nat chain=srcnat dst-address=!10.0.20.0/24 log=yes \
    out-interface=WAN routing-mark=1_4 src-address=10.0.20.12 \
    to-addresses=1.1.1.4
add action=src-nat chain=srcnat dst-address=!10.0.20.0/24 log=yes \
    out-interface=WAN routing-mark=1_6 src-address=10.0.20.13 \
    to-addresses=1.1.1.6
add action=masquerade chain=srcnat out-interface=WAN src-address=10.0.20.0/24
add action=netmap chain=dstnat comment="SIP Phone 10.0.20.33" in-interface=\
    WAN log=yes log-prefix=SIP_33 src-address=109.69.176.249 to-addresses=\
    10.0.20.33
add action=dst-nat chain=dstnat comment="RDP to 1C" dst-address=\
    1.1.1.1 dst-port=31113 in-interface=WAN log=yes log-prefix=\
    RDP_1_1 protocol=tcp to-addresses=10.0.20.10 to-ports=31113
add action=dst-nat chain=dstnat comment="WEB to 1C" dst-address=\
    1.1.1.1 dst-port=80 in-interface=WAN log=yes log-prefix=WEB_1C \
    protocol=tcp to-addresses=10.0.20.10 to-ports=80
add action=netmap chain=dstnat comment="RDP to OLD_Server" dst-address=\
    1.1.1.5 dst-port=3389 in-interface=WAN log=yes log-prefix=RDP_OLD \
    protocol=tcp to-addresses=10.0.20.11 to-ports=3389
add action=netmap chain=dstnat dst-address=1.1.1.4 in-interface=WAN \
    log=yes log-prefix=GRADIENT to-addresses=10.0.20.12
add action=netmap chain=dstnat comment="Incomming Video" dst-address=\
    1.1.1.6 dst-port=34567 in-interface=WAN log=yes log-prefix=Video \
    protocol=tcp to-addresses=10.0.20.13 to-ports=34567
/ip route
add check-gateway=arp distance=1 gateway=1.1.1.254 pref-src=\
    1.1.1.5 routing-mark=1_5
add check-gateway=arp distance=1 gateway=1.1.1.254 pref-src=\
    1.1.1.6 routing-mark=1_6
add check-gateway=arp distance=1 gateway=1.1.1.254 pref-src=\
    1.1.1.4 routing-mark=1_4
add distance=10 gateway=WAN pref-src=1.1.1.1
/ip route rule
add src-address=10.0.20.11/32 table=1_5
add src-address=10.0.20.13/32 table=1_6
add src-address=10.0.20.12/32 table=1_4
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set www-ssl certificate=cert_Promishlennaya disabled=no
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=WAN type=external
add interface=bridge_LAN type=internal
/lcd pin
set pin-number=6140
/lcd interface pages
set 0 interfaces=PROM_WIFI
/system clock
set time-zone-name=Asia/Yekaterinburg
/system identity
set name=MK_PROM_1
/system ntp client
set enabled=yes primary-ntp=109.195.19.73
/tool graphing interface
add interface=WAN
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 1 WAN и 5 IP адресов. Нужна помощь.

Сообщение Chupaka »

Вместо gateway=WAN должно быть gateway=1.1.1.254. Первый вариант работает не так, как вы, судя по всему, считаете.
Tarakan59
Сообщения: 3
Зарегистрирован: 04 апр 2019, 15:56

Re: 1 WAN и 5 IP адресов. Нужна помощь.

Сообщение Tarakan59 »

Поправил, но результата нет.
Что еще можно предпринять, кроме банального. Перед микротом ставить свитч и из него 5 проводов в микротик.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 1 WAN и 5 IP адресов. Нужна помощь.

Сообщение Chupaka »

Результата нет - это значит, вообще никаких изменений не проявилось?

Слегка странная у вашего провайдера конфигурация адресного пространства... Я бы, если уж работать вслепую, попробовал ещё адреса добавить как

Код: Выделить всё

/ip address add address=1.1.1.5/32 interface=WAN network=1.1.1.254
Костыльный вариант - включить proxy-arp на интерфейсе WAN, но это может помешать соседям с адресами 1.1.1.7-1.1.1.253 :)
Ответить