Можно ли прописать внешний ip адрес на компьютере в локальной сети?

Question

[Gor Mna]

Мне дали диапазон адресов 47.185.73.153/29, могу ли я прописать ip 47.185.73.153 на микротик, а 47.185.73.154 прописать на компьютер который находится во внутренной сети? Между компьютером и микротиком есть l3 свич.

Comments

[Akina]

Вынесите его в DMZ. Какая-никакая, а всё защита.

[aleks-th]

Да, если это не адрес шлюза



Только зачем, это делать напрямую?

По хорошему лучше всегда иметь файерволл между компами и внешней сетью, чтобы тебя тупо не сломали какиенить школьники, через уязвимости...

[Yami-no-Ryuu]

Тоннель понадобится же.
Что за сеть за микротиком? Не один же ваш ПК и свитч?

[Вальдемар Маяковцев]

aleks-th, но это так. адрес шлюза.

Answer 1

[Юрий MikroTik]

Можешь, если это не адрес шлюза.

1. Делаешь Vlan, например 11
2. Гонишь его на порт к провайдеру и на порт к ПК

Comments

[Gor Mna]

Шлюз 152

[Valentin Barbolin]

Зачем для это vlan? Можно просто объединить два порта (порт провайдера и порт ПК) в новый бридж, перенести адрес 47.185.73.153 на бридж и ПК так же стане доступна возможность работать в сети провайдера и соответственно назначить на него IP из то же сети.

[Юрий MikroTik]

Valentin Barbolin, более 1 бриджа не будет работать hw. offloading, к тому же как кроме влана пропихнуть L2 провайдера дальше на коммутаторы? Кидать ещё кабеля?

[aleks-th]

Gor Mna, точно ?
По идее 152 должен быть адресом сети.

Обычно в сети обязательно выделяются - адрес сети(обычно первый адрес в диапазоне), шлюз(тут как провайдер назначит) и широковещательный адрес(обычно последний).

То-есть из твоего диапазона три каких то адреса вот под это все зарезервированы.

Чаще всего это вот так.

[Valentin Barbolin]

Юрий MikroTik, Нашел рекомендации что для hw. offloading все порты должны быть в бридж, так же нашел что порт не входящий в бридж так же может использовать hw. offloading. Основное условие что у всех портов должен быть один чип. Соответственно делаю вывод что два бриджа так же должны поддерживать между собой hw. offloading если их порты на одном чипе.

[Юрий MikroTik]

Valentin Barbolin,

должны поддерживать

Не должны. Создай, убедись лично

Answer 2

[Komrus]

Повесив публичный IP адрес на комп - будьте готовы к мощным вирусным атакам. Причём это делается буднично, рутинно - скриптами. Просканировали адреса и порты от XXX до YYY. По вот таким получили сигнатуру ответа, имеющууюся в базе. Ага. Туда ещё поболее сканировать полезут. Попробуют применить зловредов, эксплуатирующих вот такие и этакие уязвимости...
И всё это - на автомате, с ботнетов...

Comments

[Maksim Herasim]

Мои рекорды - микротик с нулевым конфигом взломали через 30 секунд как я его включил в сеть (конфиг по умолчанию, с админом без пароля), с тех пор интернет на микротике я настраиваю в последнюю очередь. Винду взломали через 2 дня после подключения к интернету - но там я сам постарался конечно, старая win 8.1, фтп сервер, mysql сервер, отключенный фаервол, рдп. Начали появляться странные папки, запускаться cmd само по себе. В общем машину грохнули - развернули новую, со свежими апдейтами и засунули за фаервол)
Так что на 100% с вами согласен

Answer 3

[Кот Абсолютный]

Задача какова?

Тебе выдали подсетку из 8 адресов, из которых ты можешь использовать шесть. Прописать конечно можно - но при этом комп переносится из локалки в сеть провайдера - напрямую. Если там винда - это примерно то же самое, что гулять ночью по окраинному частному сектору - может быть люлей и не получишь...

Ну и еще придется сбриджевать порт микротика, куда пришел провод от провайдера с портом, куда воткнут корд от компа.

Comments

[AKimovd]

Вы просто не умеете её готовить.

[Кот Абсолютный]

AKimovd, Разумеется, потому что мне винда нужна в превую очередь для развлечения меня, любимого. И во-вторую, и в третью и в сто пицот первую - думать о защите информации, приоритетах и утечках - на работе хватает.

Answer 4

[RomanKu]

Начнем с того, действительно ли он выдал диапазон?
На скрине с калькулятором в комментарии видно, что для 47.185.73.153/29 диапазон будет от *.152 до *.159, провайдер бы выдал или список адресов через запятую или 47.185.73.150/29.

Из этого можно сделать вывод, что если это не было оговорено отдельно (и оплачено т.к. ipv4 нынче дорогие), провайдер выдал только 1 IP адрес 47.185.73.153/29 с роутером 47.185.73.152 или типа того, а соседу достался адрес 47.185.73.154/29 с роутером 47.185.73.152. Т.е. это говорит не о выдилении клиенту подсети, а о внутренней ифраструктуре самого провайдера.

Точно также как если домашний роутер по DHCP выдал компьютеру адрес 192.168.0.10/24, то это не значит, что компьютеру выделили 254 IP адреса, а только то, что в рамках данного L3 сегмента без маршрутизации доступно создание 253 узлов (255 - роутер - широковещательный адрес)

Если мы таки вернемся к варианту, что провайдер предоставил подсеть, то.....

1. в идеальной схеме ставится свитч вместо роутера и за ним несколько роутеров или серверов.
   Либо на роутере
   1. создаешь bridgeWAN
   2. в него добавляешь WAN интерфейс
   3.на этот bridgeWAN навешиваешь IP 47.185.73.153
   4. добавляешь vlan54 на LAN порт в одном l2 сегменте с желаемым сервером
   5. vlan 54 тоже добавляешь этот бридж.
   6. по желанию повторяешь процедуру для 55 IP и 55 vlan
   
   На компе
   - Либо на компе поднимаешь vlan54 в этом же l2 сегменте, что и lan интерфейс роутера
   - Либо на управляемом L3 свитче на порт, к которому подключен нужный компьютер делаешь access vlan 54
   
   
2. Для дома оптимальным вариантом будет поднятие нескольких интерфейсов WAN на роутере, а потом на уровне NAT направление трафика определенный хост, например все, что приходит на 47.185.73.154 на порты n1-n2, n3-n4 (порты можно все, но в плане безопасности лучше сфаерволить и выбрать только нужные порты ) DNAT ится на 192.168.0.10, а все, что приходит с 192.168.0.10 SNATится (маскарадится) в интернет с 47.185.73.154, тут еще надо заниматься маркировкой трафика и vrf, чтобы все работало
   
   Т.е на роутере, условно, 47.185.73.153:80,443 направить на веб сервер 192.168.0.2, а 47.185.73.154:80,443,3306 на другой сервер 192.168.0.10
   
   По сути, это MultiWAN, по которому уже 100500 статей написано
   
   
3. В целом, выделить внешний IP можно, но там маски подсетей будут /32, через netmap и прочие приколы, в интернете есть статьи, но достаточно сложный вариант + в по хорошему, надо выносить этот сервер в отдельный сегмент либо на уровне vlan, либо прям отдельный порт в роутере, чтобы не получала смесь внешних и внутренних адресов в одном L2 сегменте + не помню уже, но вроде как теряется часть IP адресов на таких схемах
   

Итого

1 вариант скорее для датацентров, минимум безопасности, как писали в ответах, но зато максимальная производительность
2 вариант оптимален для дома и малого офиса с точки зрения безопасности и настройки клиента (для комьютеров в сети ничего не меняется)
3 вариант сложен всегда как с точки зрения настройки как роутера, так и клиента, большие вопросы к маршрутам по-умолчанию и т.д. и т.п.

Comments

[Вальдемар Маяковцев]

Типичный ниочемный вопрос в две строки, требующий ответа на пару страниц текста с таблицами и схемами. Нам регулярно ТЗ в таком стиле прилетают: хотим то, не знаем чего, и не знаем, зачем (но хотим, и бесплатно, желательно).

Answer 5

[agpecam]

Прописать так или иначе всегда можно, но непонятно что имел ввиду ваш провайдер, выдавая вам этот диапазон. Возможны 2 случая:
1) Коммутируемая подсеть (в терминологии одного из моих провайдеров "плоская сеть"). Провайдер полагает, что вы его провод воткнете в свой коммутатор, подключите к нему компы или другие девайсы с адресами 154-158 и шлюзом 153. В этом случае все эти устройства будут иметь белый IP и торчать голой жопой во всемирный интернет, заботясь о своей безопасности своими средствами. Основной признак "плоской сети" - это то, что шлюз по умолчанию лежит в том же диапазоне, который вам выдал провайдер.
2) Маршрутизируемая подсеть (в терминологии моего провайдера "сеть за сетью"). Провайдер полагает, что его провод воткнут в ваш маршрутизатор, у которого уже есть его сеть для вашего интернета, скажем, A.B.C.D/30, а он дает вам еще одну сеть E.F.G.H/29, скажем, для DMZ. Он настраивает у себя маршрут, что шлюзом в сеть E.F.G.H/29 является ваш маршрутизатор A.B.C.2/30.
Вот этот момент следовало бы прояснить.
Впрочем, вы всегда можете, независимо от мнения провайдера, превратить коммутируюмую сеть в маршрутизируемую, спрятав таким образом ваши девайсы за брандмауэром микротика.
Нужно побить сеть пополам:
47.185.73.152/30 и 47.185.73.156/30 - первая сеть настраивается на WAN микротика 47.185.73.153 - default gateway, 47.185.73.154/30 - IP WAN микротика. Вторая сеть настраивается на одном из LAN интерфейсов микротика, интерфейсу дается адрес 47.185.73.157/30, а компу с виндой, подключенному к этому интерфейсу 47.185.73.158/30 с шлюзом по умолчанию 47.185.73.157. На этом LAN интерфейсе в его свойствах на вкладке General в выпадающем списке ARP выбираете proxy-arp. И все, у винды белый адрес, но она за брандмауэром микротика
Написано только что

Answer 6

[Valery_A]

Микрот и сам то не образец безопасности.
Поддержу, что лучше пробросить порт. Ну и если ещё поставить внутри реверс прокси, если там веб на винде крутится.

Answer 7

[Dupych]

Маска подразумевает 6 адресов.
Учти один из них это шлюз провайдера.153 или 158.
Уже тебе написали в самом начале как можно.

1. Для извращенцев.
Ставишь неуправляемый свитч. В него втыкаешь провайдера. В этот свитч втыкаешь микрот и что хочешь. Например ПК. Или L3 маршрутизатор.
Микроту 154, пк 155.

2. Для простых людей.
На микроте два порта в единый бридж. Например 1 и 2. Это как бы мини-свитч из двух портов
В 1 порт провайдера. На микроте 154.
2 порт микрота втыкаешь гонишь до L3 и из коммутатора в ПК и 155 .

3. Для продвинутых
На микроте поднимаешь VLAN 100 и на порту который идет в L3 коммутатор. Тоже поднимаешь VLAN 100.
На L3 один порт нетегипованный VLAN 100. В него втыкаешь ПК и ему 155 IP.

Comments

[hrabrahrabr]

почему это пункт 1 для извращенцев ?
если мне нужно до пяти роутеров в офисе , нужно с белыми адресами? под очень разные задачи, с резервиорванием.
обычный нормальный сисадмин.
конечно свич всё же управляемый для сбора статистики больше и тонкой натсройки.

Answer 8

[SunTechnik]

Уточните у провайдера адрес default router. Скорее всего это будет 47.185.73.153, и его Вы использовать не можете.
Компьютер, на который Вы пропишите публичный адрес должен быть в одном L2 сегменте с портом, куда подключён провайдер.
То-есть это компьютер уже будет во внешней сети, а не в локальной.
Так как у Вас микротик и есть управляемый коммутатор, то есть много вариантов как это организовать. Как вариант несколько портов на коммутаторе выделить в отдельный vlan для внешней сети.

Comments

[Gor Mna]

А филтрацию трафика как сделать? Чтобы видовс не взломали

[Drno]

Gor Mna, ненадо вешать внешний IP на винду))
повесте на микротик и пробросьте нужные порты, вот и всё

тогда винда и локалке останется и доступ изВне будет

[Юрий MikroTik]

Gor Mna, на самом Windows делать брандмауэр, если хочешь видеть именно белый ip.

[SunTechnik]

Gor Mna,
Правильно сформулированный - половина ответа.

Если Вы на Windows повесили белый адрес, микротик его фильтровать не сможет.

Либо настраиваете firewall на Windows (очень спорное решение) или не вешаете на Windows белый адрес, а просто на микротике прокидываете нужные порты.

Answer 9

[Максим Корнеев]

Прописать ты можешь что угодно. Но вот, видать, задать вопрос так, чтобы тебя поняли - непосильная задача :(