Задать вопрос

Можно ли прописать внешний ip адрес на компьютере в локальной сети?

Мне дали диапазон адресов 47.185.73.153/29, могу ли я прописать ip 47.185.73.153 на микротик, а 47.185.73.154 прописать на компьютер который находится во внутренной сети? Между компьютером и микротиком есть l3 свич.
  • Вопрос задан
  • 11342 просмотра
Подписаться 4 Простой 4 комментария
Решения вопроса 1
b1ora
@b1ora Куратор тега MikroTik
Контакты в профиле
Можешь, если это не адрес шлюза.

1. Делаешь Vlan, например 11
2. Гонишь его на порт к провайдеру и на порт к ПК
Ответ написан
Пригласить эксперта
Ответы на вопрос 8
@Komrus
CIO в системном интеграторе.
Повесив публичный IP адрес на комп - будьте готовы к мощным вирусным атакам. Причём это делается буднично, рутинно - скриптами. Просканировали адреса и порты от XXX до YYY. По вот таким получили сигнатуру ответа, имеющууюся в базе. Ага. Туда ещё поболее сканировать полезут. Попробуют применить зловредов, эксплуатирующих вот такие и этакие уязвимости...
И всё это - на автомате, с ботнетов...
Ответ написан
CityCat4
@CityCat4
Жил да был черный кот за углом...
Задача какова?

Тебе выдали подсетку из 8 адресов, из которых ты можешь использовать шесть. Прописать конечно можно - но при этом комп переносится из локалки в сеть провайдера - напрямую. Если там винда - это примерно то же самое, что гулять ночью по окраинному частному сектору - может быть люлей и не получишь...

Ну и еще придется сбриджевать порт микротика, куда пришел провод от провайдера с портом, куда воткнут корд от компа.
Ответ написан
@RomanKu
Начнем с того, действительно ли он выдал диапазон?
На скрине с калькулятором в комментарии видно, что для 47.185.73.153/29 диапазон будет от *.152 до *.159, провайдер бы выдал или список адресов через запятую или 47.185.73.150/29.

Из этого можно сделать вывод, что если это не было оговорено отдельно (и оплачено т.к. ipv4 нынче дорогие), провайдер выдал только 1 IP адрес 47.185.73.153/29 с роутером 47.185.73.152 или типа того, а соседу достался адрес 47.185.73.154/29 с роутером 47.185.73.152. Т.е. это говорит не о выдилении клиенту подсети, а о внутренней ифраструктуре самого провайдера.

Точно также как если домашний роутер по DHCP выдал компьютеру адрес 192.168.0.10/24, то это не значит, что компьютеру выделили 254 IP адреса, а только то, что в рамках данного L3 сегмента без маршрутизации доступно создание 253 узлов (255 - роутер - широковещательный адрес)

Если мы таки вернемся к варианту, что провайдер предоставил подсеть, то.....
  1. в идеальной схеме ставится свитч вместо роутера и за ним несколько роутеров или серверов.
    Либо на роутере
    1. создаешь bridgeWAN
    2. в него добавляешь WAN интерфейс
    3.на этот bridgeWAN навешиваешь IP 47.185.73.153
    4. добавляешь vlan54 на LAN порт в одном l2 сегменте с желаемым сервером
    5. vlan 54 тоже добавляешь этот бридж.
    6. по желанию повторяешь процедуру для 55 IP и 55 vlan

    На компе
    - Либо на компе поднимаешь vlan54 в этом же l2 сегменте, что и lan интерфейс роутера
    - Либо на управляемом L3 свитче на порт, к которому подключен нужный компьютер делаешь access vlan 54

  2. Для дома оптимальным вариантом будет поднятие нескольких интерфейсов WAN на роутере, а потом на уровне NAT направление трафика определенный хост, например все, что приходит на 47.185.73.154 на порты n1-n2, n3-n4 (порты можно все, но в плане безопасности лучше сфаерволить и выбрать только нужные порты ) DNAT ится на 192.168.0.10, а все, что приходит с 192.168.0.10 SNATится (маскарадится) в интернет с 47.185.73.154, тут еще надо заниматься маркировкой трафика и vrf, чтобы все работало

    Т.е на роутере, условно, 47.185.73.153:80,443 направить на веб сервер 192.168.0.2, а 47.185.73.154:80,443,3306 на другой сервер 192.168.0.10

    По сути, это MultiWAN, по которому уже 100500 статей написано

  3. В целом, выделить внешний IP можно, но там маски подсетей будут /32, через netmap и прочие приколы, в интернете есть статьи, но достаточно сложный вариант + в по хорошему, надо выносить этот сервер в отдельный сегмент либо на уровне vlan, либо прям отдельный порт в роутере, чтобы не получала смесь внешних и внутренних адресов в одном L2 сегменте + не помню уже, но вроде как теряется часть IP адресов на таких схемах


Итого

1 вариант скорее для датацентров, минимум безопасности, как писали в ответах, но зато максимальная производительность
2 вариант оптимален для дома и малого офиса с точки зрения безопасности и настройки клиента (для комьютеров в сети ничего не меняется)
3 вариант сложен всегда как с точки зрения настройки как роутера, так и клиента, большие вопросы к маршрутам по-умолчанию и т.д. и т.п.
Ответ написан
@agpecam
Прописать так или иначе всегда можно, но непонятно что имел ввиду ваш провайдер, выдавая вам этот диапазон. Возможны 2 случая:
1) Коммутируемая подсеть (в терминологии одного из моих провайдеров "плоская сеть"). Провайдер полагает, что вы его провод воткнете в свой коммутатор, подключите к нему компы или другие девайсы с адресами 154-158 и шлюзом 153. В этом случае все эти устройства будут иметь белый IP и торчать голой жопой во всемирный интернет, заботясь о своей безопасности своими средствами. Основной признак "плоской сети" - это то, что шлюз по умолчанию лежит в том же диапазоне, который вам выдал провайдер.
2) Маршрутизируемая подсеть (в терминологии моего провайдера "сеть за сетью"). Провайдер полагает, что его провод воткнут в ваш маршрутизатор, у которого уже есть его сеть для вашего интернета, скажем, A.B.C.D/30, а он дает вам еще одну сеть E.F.G.H/29, скажем, для DMZ. Он настраивает у себя маршрут, что шлюзом в сеть E.F.G.H/29 является ваш маршрутизатор A.B.C.2/30.
Вот этот момент следовало бы прояснить.
Впрочем, вы всегда можете, независимо от мнения провайдера, превратить коммутируюмую сеть в маршрутизируемую, спрятав таким образом ваши девайсы за брандмауэром микротика.
Нужно побить сеть пополам:
47.185.73.152/30 и 47.185.73.156/30 - первая сеть настраивается на WAN микротика 47.185.73.153 - default gateway, 47.185.73.154/30 - IP WAN микротика. Вторая сеть настраивается на одном из LAN интерфейсов микротика, интерфейсу дается адрес 47.185.73.157/30, а компу с виндой, подключенному к этому интерфейсу 47.185.73.158/30 с шлюзом по умолчанию 47.185.73.157. На этом LAN интерфейсе в его свойствах на вкладке General в выпадающем списке ARP выбираете proxy-arp. И все, у винды белый адрес, но она за брандмауэром микротика
Написано только что
Ответ написан
Комментировать
@Valery_A
Микрот и сам то не образец безопасности.
Поддержу, что лучше пробросить порт. Ну и если ещё поставить внутри реверс прокси, если там веб на винде крутится.
Ответ написан
Комментировать
@Dupych
Маска подразумевает 6 адресов.
Учти один из них это шлюз провайдера.153 или 158.
Уже тебе написали в самом начале как можно.

1. Для извращенцев.
Ставишь неуправляемый свитч. В него втыкаешь провайдера. В этот свитч втыкаешь микрот и что хочешь. Например ПК. Или L3 маршрутизатор.
Микроту 154, пк 155.

2. Для простых людей.
На микроте два порта в единый бридж. Например 1 и 2. Это как бы мини-свитч из двух портов
В 1 порт провайдера. На микроте 154.
2 порт микрота втыкаешь гонишь до L3 и из коммутатора в ПК и 155 .

3. Для продвинутых
На микроте поднимаешь VLAN 100 и на порту который идет в L3 коммутатор. Тоже поднимаешь VLAN 100.
На L3 один порт нетегипованный VLAN 100. В него втыкаешь ПК и ему 155 IP.
Ответ написан
@SunTechnik
Уточните у провайдера адрес default router. Скорее всего это будет 47.185.73.153, и его Вы использовать не можете.
Компьютер, на который Вы пропишите публичный адрес должен быть в одном L2 сегменте с портом, куда подключён провайдер.
То-есть это компьютер уже будет во внешней сети, а не в локальной.
Так как у Вас микротик и есть управляемый коммутатор, то есть много вариантов как это организовать. Как вариант несколько портов на коммутаторе выделить в отдельный vlan для внешней сети.
Ответ написан
MaxLK
@MaxLK
сети, виртуализация, СХД...
Прописать ты можешь что угодно. Но вот, видать, задать вопрос так, чтобы тебя поняли - непосильная задача :(
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы