web-dev-qa-db-fra.com

Mikrotik et Nat / Numéro de routage

J'ai un problème de base NAT/acheminement avec Mikrotik RB750 que j'ai été incapable de résoudre ces derniers jours. De notre FAI, nous avons 26 adresses IP: 10.10.10.192/27, avec 10.10.10.19 étant la passerelle et 10.10.10.194 La première adresse IP disponible.

Ce dont j'ai besoin, c'est que tout est connecté à Ether2 Obtient une adresse IP publique du serveur DHCP et tout connecté à éther Obtient une adresse IP locale d'un autre DHCP (192.168.100.0/24 ). Tous les clients devraient avoir accès à Internet (je vais trouver la bande passante plus tard) et simplement "voir" les uns des autres (toutes les cases sont Win7, je suppose que cela peut finalement être traité avec VPN).

Voici ma configuration: éther1 (10.10.10.194) est connectée directement à ISP.

20 clients connectés à éther2 (10.10.10.195), et un autre 20 à éther (10.10.10.196) (à la fois via les mêmes commutateurs de port).

Ceci est ma configuration, qui ne fonctionne pas, tous les 20 clients de éther2 peuvent accéder à Internet, bien que tous comm. Semble provenir du 10.10.10.194 (est-ce dû à la mascarade sur Ether1?), et éther Impossible d'accéder à Internet du tout.

Je pense que j'ai besoin de masquerade éther, et snat/dnat ou NetMap éther2, mais cela ne fonctionne pas non plus, je suppose que j'ai besoin de "fil" à la fois éther2 + à éther1.

Liste d'adresses :

 #   ADDRESS            NETWORK         INTERFACE                                                          
 0   ;;; public
     10.10.10.194/32  10.10.10.192  ether1-gateway
 1   ;;; inner DHCP
     192.168.100.0/24   192.168.100.0   ether3-private
 2   ;;; public
     10.10.10.195/32  10.10.10.192  ether2-pub
 3   ;;; public
     10.10.10.196/32  10.10.10.192  ether3-private

NAT

 0   ;;; ether3 nat
     chain=srcnat action=src-nat to-addresses=10.10.10.196 
     src-address=192.168.100.0/24 out-interface=ether3-private 

 1   ;;; ether3 nat
     chain=dstnat action=dst-nat to-addresses=192.168.100.0/24 
     in-interface=ether3-private 

 2   ;;; ether1 masquerade
     chain=srcnat action=masquerade to-addresses=10.10.10.194 
     out-interface=ether1-gateway 

Routes :

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          ether1-gateway            1
 2 A S  10.10.10.192/27  10.10.10.195  ether2-pub                1
 3 ADC  10.10.10.192/32  10.10.10.195  ether2-pub                0
                                           ether1-gateway    
                                           ether3-private    
 4 ADC  192.168.100.0/24   192.168.100.0   ether3-private            0

piscines IP :

 # NAME             RANGES                         
 0 public-pool     10.10.10.201-10.10.10.220  
 1 private-pool    192.168.100.2-192.168.100.254

configs DHCP :

 #   NAME               INTERFACE              RELAY           ADDRESS-POOL              LEASE-TIME ADD-ARP
 0   public-dhcp        ether2-pub                             public-pool               3d        
 1   private-dhcp       ether3-private                         private-pool              3d

Merci!

6
arul

Vous devez prendre des décisions et concevoir votre réseau.

Sur Ether1 qui est connecté à votre fournisseur de services Internet, vous devez définir un réseau plus petit. E.G/30 (Pour dire la vérité, il est beaucoup plus facile si vous demandez une gamme plus petite de votre fournisseur de services Internet que de diviser ce que vous avez maintenant).

Donc, sur éther1 10.10.10.192/30 Votre GW est le 10.10.10.193 et ​​10.10.10.194/30 est votre adresse IP (sur le Mikrotik - Ether1). Vous demandez ensuite à votre FAI de route

  • 10.10.10.196/30
  • 10.10.10.200/29
  • 10.10.10.208/28

à l'adresse 10.10.10.194 et à configurer le même réseau Netmask de leur côté comme vous l'avez fait sur le vôtre.

Ensuite, sur Ether2 Vous configurez une (ou plusieurs) des gammes d'adresses observées ci-dessus. Sur cette interface, vous ne faire n'importe quel NAT. Vous configurez la piscine en fonction des gammes d'adresses configurées sur l'interface.

Sur éther3 Vous configurez des adresses privées comme vous le souhaitez. Les exemples que vous avez fournis semblent bien. Ici vous configurez MASQUERADE _ Et c'est le seul endroit que vous avez NAT.

Et qu'est-ce qui n'allait pas avec votre configuration originale?

  • Vous ne devriez pas attribuer/32 réseaux comme vous l'avez fait.
  • L'ISP traitera tout comme être sur le même réseau, mais ce n'est pas le cas.
  • Vous ne faites pas de snat et de DNAT en même temps sur une interface. Dans ce cas, vous ne faites que Snat qui modifie l'adresse Source . Lorsque les paquets reviennent, le sous-système NetFilter se souvient de ce qu'il a fait de la volonté effectuée automatiquement la transformation inverse. (La mascarade est un cas particulier de Snat)

[~ # ~] éditer [~ # ~ ~] Si vous ne souhaitez pas impliquer votre fournisseur de fournisseurs d'ISP dans cela, vous faites la même chose et activez proxy-arp , c'est bien décrit ici: http://wiki.mikrotik.com/wiki/manualhip/arp#proxy_arp

3
cstamas
  1. Vous faites une erreur dans la définition sur éther3 IP avec préfixe 32. Il doit être 24.

  2. Je ne comprends pas, qu'est-ce que vous entendez par dst-nat tout, d'éther3? On dirait que cela bloque Internet dans Ether3 1 ;;; ether3 nat chain=dstnat action=dst-nat to-addresses=192.168.100.0/24 in-interface=ether3-private

  3. Lorsque vous modifiez la propriété intellectuelle, proches du champ Network habituellement et laissez-la calculer automatique. Par example address=10.10.10.195/32 network=10.10.10.195 interface=ether2-pub

  4. Vous pouvez essayer d'exclure votre net public de la règle Masqarade SRC-Adresse =! 10.10.10.192/27 et activez Proxy-ARP sur éther1-public. Peut-être que ça marche. Je ne fais pas shur, car je newer a utilisé de telles "étranges" config.

Ps. Pour moi, regarde mieux donner de sous-réseau privé sur éther2 et définir 1 à 1 NAT (SRC-NAT et DST-NAT)

0
mmv-ru