Как правильно подключить две сети к интернету, по отдельным IP одной подсети?

Question

[YgrecK]

Имеется от провайдера сеть /29, то есть, мне доступны 5 белых IP. Через два из них должны подключатся к интернету две разные, внутренние, физически непересекающиеся сети. Допустим, по х.х.х.1 – LAN1 и по х.х.х.2 – LAN2. Сейчас у меня работает условный LAN1 на Mikrotik RB3011.

Вопрос, как подключить вторую сети? Возможно ли это через этот же Микротик? Тогда как? Или поставить управляемый коммутатор перед своим маршрутизатором и маршрутизатором LAN2? Есть в наличие и валяется без дела L2-управляемый 6-портовый коммутатор Moxa EDS-408A-MM-SC (вот такой https://www.moxa.com/en/products/industrial-networ...).

В общем, как правильно подключить эти две сети к интернету, по отдельным IP одной подсети, выданные провайдером (от провайдера приходит один кабель), чтобы они не пересекались?

Answer 1

[Юрий MikroTik]

Вешаешь на WAN интерфейс адрес в формате 1.1.1.2/29
Дополнительные адреса в формате 1.1.1.3/32

В IP Firewall NAT настраиваешь выход сетей или адресов с нужного IP с помощью src-nat

Comments

[YgrecK]

Спасибо за отклик.

Это подразумевается делать на единственный Микротик, правильно понимаю? Тогда, не понимаю, что подключать ко второму WAN, ведь у меня от провайдера один только кабель идет. Или, все-таки, перед Микротик свитч ставить?

[Юрий MikroTik]

YgrecK,
Единственный микрот
Зачем второй WAN если у вас /29 сеть в один кабель?

Вставляешь кабель в 1 порт и настраиваешь на нем все нужные адреса.

[AntHTML]

Юрий MikroTik, ТС, скорее, не понял, что MTK это не туполинк и там на бридж первого порта можно вешать хоть 100 wan-ов nat-интерфейсов и вообще многие вещи в виртуале рулить по нескольку каскадов.

[hrabrahrabr]

Юрий MikroTik,

Дополнительные адреса в формате 1.1.1.3/32

ну только маска также должна быть тоже /29.

[Юрий MikroTik]

hrabrahrabr, не должны. Но могут быть.

[hrabrahrabr]

YgrecK,
всё просто: на физически порт wan
вешаешь два белых ип адреса х.х.х.1/29 WAN1 и х.х.х.2/29 WAN2
физический порт один, но адресов два или все пять можно.
Конечно можешь выделить два физических порта на негротике, но нужен перед ним дополнительный коммутатор минимум на три порта (провайдер + два в негоритик) - но смысла нет и доп.точка отказа.

Для внутренних сетей выделяешь для каждой свой физический порт LAN1 и LAN2 и серые адреса, которые для каждой сети будут шлюзами.

а далее рулишь правилами первые (верхние)
полный запрет трафика между сетями LAN1 и LAN2
полный запрет трафика между сетями WAN1 и WAN2
полный запрет трафика между сетями WAN1 и LAN2
полный запрет трафика между сетями LAN1 и WAN2

ну и правила НАТ с LAN1 на WAN1 и с LAN2 на WAN2
профит

ЗЫ и да забыл для каждого wan отдельно надо указать шлюз - хотя он один и тот же.

[hrabrahrabr]

Юрий MikroTik, как белый ип адрес с маской /32 будет общаться белым ип адресом шлюза провайдера из сети с маской /29?

[Юрий MikroTik]

hrabrahrabr, 1 адрес вешается с /29 маской, остальные с /32

Connected маршрут будет на интерфейсе, незачем их делать несколько штук.

[hrabrahrabr]

Юрий MikroTik, и на улицу будет светится один адрес?
это противоречит заданию.

[Юрий MikroTik]

hrabrahrabr, на улицу будут светиться все адреса, т.к. интерфейс с connected маршрутами. И одного маршрута хватит для ответа провайдеру.

Аналогично настраиваются адреса на vrrp и /32 является правильным.

Answer 2

[Артём]

Вставлю свои 5 копеек:

/ip firewall nat
add action=src-nat chain=srcnat src-address=LAN1 to-addresses=x.x.x.1 out-interface=WAN
add action=src-nat chain=srcnat src-address=LAN2 to-addresses=x.x.x.2 out-interface=WAN

Соответственно то, что выделено жирным - заменить на своё

Comments

[YgrecK]

Спасибо. Получается, маскарад надо отключать, верно?



Можно ли сделать чтобы этот второй IP был что-то типа проходным? Грубо говоря, из ether2 уходит в WAN маршрутизатора LAN2?

[Артём]

YgrecK, "проходным" в какую сторону: из ЛВС в интернет, или из интернета в ЛВС?

[YgrecK]

Артём, из ЛВС в интернет, получается. На WAN маршрутизатора LAN2 задавать x.x.x.2. Или так не получится?

[Артём]

YgrecK, смотрите:
- Все ваши пять белых IP-адресов вешаете на WAN-интерфейс в разделе IP->Addresses (как Вам посоветовал Юрий в соседнем ответе)
-Затем, к вашему примеру, во второй порт вашего микротика подключена подсеть LAN2: для того, чтобы дать ей выход в интернет, нужно правило

src-nat

add action=src-nat chain=srcnat src-address=LAN2 to-addresses=x.x.x.2 out-interface=WAN

, опять же повторюсь: то что выделено жирным - заменить на свои значения
- И так далее, к примеру, в третий порт вашего микротика вы подключите другую подсеть, допустим LAN3, соответственно, для того чтобы выпустить и её в интернет под другим вашим белым IP-адресом, понадобится следующее

правило

add action=src-nat chain=srcnat src-address=LAN3 to-addresses=x.x.x.3 out-interface=WAN

- Надеюсь, к этому моменту вы уже поняли, что для каждой вашей связки "Подсеть - Белый IP" нужно отдельное правило src-nat
- Если не чувствуете уверенность при работе с командной строкой - делайте через WInbox по аналогии

Answer 3

[Crazy_Cooler]

А вот ещё вариант: можно перед маршрутником влепить свитч в него хвост провайдера из него в микротик сколько надо хвостов, можно сделать хоть 5 Wan портов и на каждом свой белый ip. В файрволе запретить трафик между подсетями лан.

Comments

[YgrecK]

Я тоже склоняюсь больше к этому решению. Тем более, у второй сети хотят свой маршрутизатор поставить, с этим белым IP, поднимать там себе кучу сервисов и т.д.

[Crazy_Cooler]

YgrecK, единственный минус в таком подключении - невозможность централизовано контролировать загрузку общего канала. Нельзя отследить или ограничить нагрузку от каждого маршрутизатора (это как воркгруппу админить ).. А-ля своеобразное перетягивание одеяла..
Вообще такую модель сети лучше использовать при условии 1 админ управляет всеми или впереди нужен свитч с возможностью честно делить канал...

[YgrecK]

Crazy_Cooler, Да, вы несомненно правы, но, увы, не могу найти как реализовать на микротике чтобы этот IP для второй сети проходил "насквозь" микротика.

Answer 4

[Akina]

Через два из них должны подключатся к интернету две разные, внутренние, физически непересекающиеся сети.

Вы фактически хотите объединить две физически изолированные сети? Вы уверены в том, что делаете? Если этот вопрос контролируется соотв. службой, вы сильно рискуете...
Гораздо разумнее запросить от провайдера второй порт подключения (с изоляцией портов) и поставить отдельную железку.

Comments

[YgrecK]

Наоборот. Вот прям в данный момент это одна сеть, но часть клиентов нужно вывести в отдельную сетку со своим внешним IP. Но, как вы заметили, порт подключения один, белых адресов - несколько. Запросить еще один порт у провайдера, конечно, можно, но это любо дорого, увы.

[Akina]

YgrecK, тогда поправьте текст вопроса - приведённая мной цитата и ваше пояснение по ней резко противоречат друг другу.

[YgrecK]

Akina, не суть. Что разделил бы я эти сети вчера, что разделю их завтра. К решению вопроса не имеет отношения.

Answer 5

[Dupych]

Все просто. Маркируем трафик и направляем в тот Маршрут, который маркирован под него.
IP - MANGLE
Маркируем трафик из Первой Сети как - GW_1
Маркируем трафик из Второй Сети как - GW_2

IP - ROUTES - Работают с маркированным траффиком.
0.0.0.0/0 - Gateway (1 провайдер) - Routing Mark - GW_1
0.0.0.0/0 - Gateway (2 проавайдер) - Routing Mark - GW_2

Пример
У немя есть маршрут до OpenVPN Германия. 0.0.0.0/0 c Мркировкой OpenVPN
Есть 2 адреслиста OpenVPN-Sites и OpenVPN-PC
Создаю Адреслдист OpenVPN-Sites=Intel.com
Теперь траффик на intel.com маркируется как OpenVPN и попадает в маршрут и идет ччерез Германию.
Просто и удобно. Если хочу отельный ПК кинуть через VPN, то делаю адреслист OpenVPN-PC=192.168.1.10
И весь этот ПК ходит только через Германию.
Удобно.