J'ai un problème de base NAT/acheminement avec Mikrotik RB750 que j'ai été incapable de résoudre ces derniers jours. De notre FAI, nous avons 26 adresses IP: 10.10.10.192/27, avec 10.10.10.19 étant la passerelle et 10.10.10.194 La première adresse IP disponible.
Ce dont j'ai besoin, c'est que tout est connecté à Ether2 Obtient une adresse IP publique du serveur DHCP et tout connecté à éther Obtient une adresse IP locale d'un autre DHCP (192.168.100.0/24 ). Tous les clients devraient avoir accès à Internet (je vais trouver la bande passante plus tard) et simplement "voir" les uns des autres (toutes les cases sont Win7, je suppose que cela peut finalement être traité avec VPN).
Voici ma configuration: éther1 (10.10.10.194) est connectée directement à ISP.
20 clients connectés à éther2 (10.10.10.195), et un autre 20 à éther (10.10.10.196) (à la fois via les mêmes commutateurs de port).
Ceci est ma configuration, qui ne fonctionne pas, tous les 20 clients de éther2 peuvent accéder à Internet, bien que tous comm. Semble provenir du 10.10.10.194 (est-ce dû à la mascarade sur Ether1?), et éther Impossible d'accéder à Internet du tout.
Je pense que j'ai besoin de masquerade éther, et snat/dnat ou NetMap éther2, mais cela ne fonctionne pas non plus, je suppose que j'ai besoin de "fil" à la fois éther2 + à éther1.
Liste d'adresses :
# ADDRESS NETWORK INTERFACE
0 ;;; public
10.10.10.194/32 10.10.10.192 ether1-gateway
1 ;;; inner DHCP
192.168.100.0/24 192.168.100.0 ether3-private
2 ;;; public
10.10.10.195/32 10.10.10.192 ether2-pub
3 ;;; public
10.10.10.196/32 10.10.10.192 ether3-private
NAT
0 ;;; ether3 nat
chain=srcnat action=src-nat to-addresses=10.10.10.196
src-address=192.168.100.0/24 out-interface=ether3-private
1 ;;; ether3 nat
chain=dstnat action=dst-nat to-addresses=192.168.100.0/24
in-interface=ether3-private
2 ;;; ether1 masquerade
chain=srcnat action=masquerade to-addresses=10.10.10.194
out-interface=ether1-gateway
Routes :
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 ether1-gateway 1
2 A S 10.10.10.192/27 10.10.10.195 ether2-pub 1
3 ADC 10.10.10.192/32 10.10.10.195 ether2-pub 0
ether1-gateway
ether3-private
4 ADC 192.168.100.0/24 192.168.100.0 ether3-private 0
piscines IP :
# NAME RANGES
0 public-pool 10.10.10.201-10.10.10.220
1 private-pool 192.168.100.2-192.168.100.254
configs DHCP :
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 public-dhcp ether2-pub public-pool 3d
1 private-dhcp ether3-private private-pool 3d
Merci!
Vous devez prendre des décisions et concevoir votre réseau.
Sur Ether1 qui est connecté à votre fournisseur de services Internet, vous devez définir un réseau plus petit. E.G/30 (Pour dire la vérité, il est beaucoup plus facile si vous demandez une gamme plus petite de votre fournisseur de services Internet que de diviser ce que vous avez maintenant).
Donc, sur éther1 10.10.10.192/30 Votre GW est le 10.10.10.193 et 10.10.10.194/30 est votre adresse IP (sur le Mikrotik - Ether1). Vous demandez ensuite à votre FAI de route
à l'adresse 10.10.10.194 et à configurer le même réseau Netmask de leur côté comme vous l'avez fait sur le vôtre.
Ensuite, sur Ether2 Vous configurez une (ou plusieurs) des gammes d'adresses observées ci-dessus. Sur cette interface, vous ne faire n'importe quel NAT. Vous configurez la piscine en fonction des gammes d'adresses configurées sur l'interface.
Sur éther3 Vous configurez des adresses privées comme vous le souhaitez. Les exemples que vous avez fournis semblent bien. Ici vous configurez MASQUERADE
_ Et c'est le seul endroit que vous avez NAT.
Et qu'est-ce qui n'allait pas avec votre configuration originale?
[~ # ~] éditer [~ # ~ ~] Si vous ne souhaitez pas impliquer votre fournisseur de fournisseurs d'ISP dans cela, vous faites la même chose et activez proxy-arp , c'est bien décrit ici: http://wiki.mikrotik.com/wiki/manualhip/arp#proxy_arp
Vous faites une erreur dans la définition sur éther3 IP avec préfixe 32. Il doit être 24.
Je ne comprends pas, qu'est-ce que vous entendez par dst-nat tout, d'éther3? On dirait que cela bloque Internet dans Ether3 1 ;;; ether3 nat chain=dstnat action=dst-nat to-addresses=192.168.100.0/24 in-interface=ether3-private
Lorsque vous modifiez la propriété intellectuelle, proches du champ Network habituellement et laissez-la calculer automatique. Par example address=10.10.10.195/32 network=10.10.10.195 interface=ether2-pub
Vous pouvez essayer d'exclure votre net public de la règle Masqarade SRC-Adresse =! 10.10.10.192/27 et activez Proxy-ARP sur éther1-public. Peut-être que ça marche. Je ne fais pas shur, car je newer a utilisé de telles "étranges" config.
Ps. Pour moi, regarde mieux donner de sous-réseau privé sur éther2 et définir 1 à 1 NAT (SRC-NAT et DST-NAT)