Mikrotik: как назначить внешние IP серверам в локальной сети?

Question

[Максим]

Есть сервер на freebsd, используется в том числе как роутер. От провайдера в него приходит один шнурок, провайдер выдает один IP + подсеть /30. Все эти адреса используются самим сервером. Второй шнурок идёт в локалку на раздачу интернета.

Настройки такие:

defaultrouter="1.1.252.1"
gateway_enable="YES"
ifconfig_rl0="inet 1.1.252.244 netmask 255.255.255.0"
ifconfig_rl0_alias0="inet 2.2.138.172 netmask 255.255.255.252"
ifconfig_rl0_alias1="inet 2.2.138.173 netmask 255.255.255.252"
ifconfig_rl0_alias2="inet 2.2.138.174 netmask 255.255.255.252"
ifconfig_fxp0="inet 192.168.2.100  netmask 255.255.255.0"

ifconfig соответственно такой:

rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 1.1.252.244 netmask 0xffffff00 broadcast 1.1.252.255
        inet 2.2.138.172 netmask 0xfffffffc broadcast 2.2.138.175
        inet 2.2.138.173 netmask 0xfffffffc broadcast 2.2.138.175
        inet 2.2.138.174 netmask 0xfffffffc broadcast 2.2.138.175
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.2.100 netmask 0xffffff00 broadcast 192.168.2.255

В общем всё просто и стандартно.

Внезапно на меня сваливается Mikrotik RB951G-2HnD вместе с необходимостью изготовить шлюз на нём.
Основной IP переходит на mikrotik. А вот с подсетью хотелось бы поступить следующим образом: 1 ip из подсети назначить mikrotik'у, а второй - серверу в локалке. Оставшаяся ёмкость подсети не интересует.

Собственно, вопросы:

1. Как назначить один IP из подсети на mikrotik на тот же интерфейс, что и основной IP?
2. Как назначить ещё один IP из подсети на сервер внутри локалки?
3. Потребуется ли для этого подключать сервер двумя шнурками, один для 192.168.2.x, другой для внешки (и соответственно занимать этим вторым шнурком лишний порт в mikrotik), или есть возможность на сервере получить оба IP (и локальный и внешний) на один интерфейс по одному шнурку с LAN-порта mikrotik?

Есть подозрение, что все эти вещи - базовые для сетевого инженера, но к сожалению я таковым не являюсь. Методом тыка и вдумчивых чтений, думаю, смогу настроить всё что нужно рано или поздно, но пикантность ситуации в том, что переключаться нужно как можно быстрее, а простой сервера нужно минимизировать.

В дополнение к вопросам - если кто-то готов помочь с сетевыми делами касаемо mikrotik в частной переписке, напишите пожалуйста в личку, буду очень благодарен.

Comments

[Армянское Радио]

Максим мои контактные данные, в том числе, джаббер и TOX ID, есть в профиле

Answer 1

[Армянское Радио]

Вариант без использования дополнительной линии: Использовать VLAN. Не знаю, как дела с этим у последних windows, но версиях XP и около - никак, VLAN работали только на карточках, драйверы которых поддерживали его.

У linux проблем с vlan нет.

Вы просто соединяете в мост гнездо с провайдерским кабелем и vlan сервера, а мостовой интерфейс настраиваете как подключение роутера к интернету.

Без VLAN вы делаете все тоже самое, только в мост пойдет не vlan, а еще одна розетка на роутере, в которую пойдет дополнительный кабель.

Comments

[Максим]

Спасибо. Не уверен, что смогу сходу разобраться с VLAN, да ещё и на этом: FreeBSD 6.0-RELEASE.
Да и как бы не в этом суть, я тупее чем вы видимо предполагаете, и очень далёк от сетей, насколько может быть далёк администратор серверов приложений )
К сожалению, мне нужно нечто вида:
"втыкаешь этот кабель сюда а этот сюда, запускаешь winbox, тыкаешь тут тут и тут, на бывшем роутере прописываешь в rc.conf вот это шлюзом, а вот это на интерфейсы - вуаля, базовый функционал работает, а тебе можно колупать настройку mikrotik дальше."

[Армянское Радио]

Максим: к сожалению, в таком виде я инструкцию написать не смогу. Но смогу проконсультировать в режиме чата, как если бы у меня на руках был этот микротик.

[Максим]

Меня больше всего вводит в ступор непонимание, что нужно будет прописывать на сервере.
Допустим есть 1.1.1.1 и 2.2.2.[1-4]
Сейчас IP и подсеть на одном интерфейсе. Подсеть при этом маршрутизируется провайдером через 1.1.1.1, всё работает.
Почему я не могу ту же схему применить в новых условиях без vlan'ов? 1.1.1.1 уходит на шлюз на WAN порт. 192.168.2.1 туда же на LAN порт.
Соединяем порт LAN шлюза с единственным портом сервера. На интерфейс сервера вешаем 192.168.2.2, и алиасом к нему - 2.2.2.1. Гейтвей на сервере прописываем 192.168.2.1

У меня в голове вроде как всё сходится, не могу понять где я ошибся:
В локалке все всех видят через 192.168.
Если обращаются снаружи к 2.2.2.1, то от провайдера запрос приходит на 1.1.1.1, микротик знает (затрудняюсь ответить как именно), что 2.2.2.1 маршрутизируется через 192.168.2.2, запрос приходит на сервер на 192.168.2.2, сервер работает как раньше.

Прошу прощения, если порю очевидную чушь ;(

[Армянское Радио]

Максим: мешать в одну физику интернет и локальную сеть не следует - это фактически означает, что вы в свою сеть втыкаете кабель который идет неизвестно куда. У провайдера на этом кабеле могут быть домашние клиенты толпой, которые таким образом окажутся подключены к вашей внутренней сети.

[ldv]

Максим: вроде mikrotik будет знать, если ему на LAN алиас 2.2.2.2 добавить

[Максим]

По сути мне нужно повторить внутри локалки в точности то же самое что делает наш провайдер.

Он свыше даёт мне один статический IP и подсеть, которую маршрутизирует через этот IP.

Теперь я сам становлюсь на место провайдера:
в качестве провайдера выступает мой микротик
в качестве клиента провайдера - мой сервер
я даю своему серверу один статический IP - 192.168.2.2 и подсеть (пусть из одного адреса), которую должен маршрутизировать через этот IP.

Вроде как схема полностью аналогичная.

[Армянское Радио]

Максим: Тут есть два варианта:
1. IP подключен к сетевому интерфейсу роутера, дальше выполняется NAT на интерфейс сервера. У сервера один частный сетевой адрес и один интерфейс. (L3)
2. IP подключен к интерфейсу сервера. У сервера два сетевых интерфейса: частный (192.168.0.0/16) и Интернет. (L2)
3. (неправильный) вся физика свалена в одну кучу, на одном интерфейсе у сервера два IP адреса. Это ужас. В топку. (L1)

Второй вариант предпочтительней, так как снимает с роутера задачу NAT и делает работу сервера более прозрачной (сервер за натом = куча граблей, особенно если там VoIP)

[Максим]

Армянское Радио: про разделение интернета и локалки понятно, но ведь тут физика заходит на WAN-порт и локалки более не касается. При такой топологии, какую придумала моя больная фантазия, неужели как-то снаружи получится достучаться допустим до моего 192.168.2.2?

[Армянское Радио]

Максим: у вас нафантазировано лишнее. Фактически, реализован вариант 1. Неясно, какая конфигурация сделана на роутере, но алиас ip на сервере - явно лишний, так как все шлюзование очевидно идет через частную сеть и NAT.

[Максим]

Армянское Радио: ок, допустим по пункту 2.
правильно ли я понимаю, что в этом случае гейтом на сервере мне нужно будет прописывать нечто из той же подсети? то есть действуем так:
на WAN микротика накидываю 1.1.1.1 и 2.2.2.1
на WAN сервера накидываю 2.2.2.2
шлюзом на сервере указываю 2.2.2.1
на микротике делаю мост из двух портов, в первый приходит провайдер, во второй приходит WAN с сервера
всё правильно?

в связи с этим появляется некоторое недопонимание, а что если допустим мне дадут подсеть побольше, и нужно будет раскидать по одному внешнему IP на кучу внутренних серверов? (про VLAN пока забудем). могу ли я взять обычный аппаратный свич, и поставить его перед WAN-портом микротика? в свич заходит шнур провайдера, шнур из WAN-порта микротика, и WAN-шнуры всех желающих получить внешний ip-адрес из внутренней сети. как-то так?

[Армянское Радио]

Вариант 2 вы поняли абсолютно правильно: в этом случае вы просто пускаете провайдерский провод в свитч и затем распускаете интернет по wan нужных серверов отдельными кабелями. Это наиболее надежно и прозрачно.

В случае с объединением портов на микротике мостами, вы фактически сооружаете такой де свитч, но уже из мостов.

Answer 2

[Арчи Кузнецов]

Добрый день.
Если линк от провайдера один, то используйте туннель ip-ip/
Примерно так:
netwild.ru/linuxipip

(если я правильно понял условие вашей задачи =))

Answer 3

[Василий]

интерфейсу назначается адрес локальной сети и на него же пробрасывается адрес провайдера. как это сделать можно посмотреть здесь:www.lan23.ru/FAQ-Mikrotik-RouterOS-part2.html

Answer 4

[alexnov66]

Провайдер выдаёт адрес с маской 30, это значит что вам выдаётся один адрес а не два, второй адрес идёт как шлюз для первого.

Comments

[Максим]

вы не поверите, но провайдер даёт ТРИ адреса, и они все работают. шлюза в этой же подсети нет.

[Vladimir Zhurkin]

Максим:
Он имеет ввиду, что по классики выдается 3 адреса. 1 бродкаст, 1 роутер, 1 вам.

alexnov66 Посмотрите например, что такое ip unnumbered :)

Answer 5

[Кирилл Васильев]

Если провайдер разрешает вам светить несколькими MAC адресами в его линк, то смотрите в торону arp-proxy или бриджуйте интерфейс провайдера, а локалку заверните в vlan

Comments

[Александр Жеведенко]

Я понимаю что некропост, но можно пожалуйста детальней? У меня очень похожая ситуация и я не знаю как настроить железку. От провайдера заходит один шнурок и два IP с привязкой к двум MAC-адресам. Тоесть по идее у меня первым устройством должен быть свитч, а за ним уже всё остальное.

[Кирилл Васильев]

Александр Жеведенко: всё правильно, в чем проблема?

[Александр Жеведенко]

Кирилл Васильев: Прошу простить, не заметил что отправилось не всё сообщение. Смысл в том, что у меня нету возможности поставить свитч. У провайдера настроен MAC based VLAN. Тэги ко мне не попадают. Соответственно по одному физическому шнурку я могу иметь определённое количество IP адресов, но на каждый IP мне нужен новый MAC. В итогу я пока проблему решил костылём в виде пачки VRRP на интерфейс, но я не уверен что такой костыль не приведёт к глюкам или проблемам в других местах. Ну и железка у меня CRS109 на RouterOS. Но я не смог найти в расширенных настройках ничего подходящего :(

[Кирилл Васильев]

Александр Жеведенко: если не справились со свичём он там действительно "не такой как у всех", поднимите бридж и в этот бридж засунте интерфейс провайдера и интерйсы накоторые наджо повесить адреса

[Александр Жеведенко]

Кирилл Васильев: Пробовал. Но оно мне не подходит. Адреса мне нужно раздать виртуальным машинам. Плюс на роутере нету свободных физических портов. И вроде ж в таком случае все запросы будут уходить с MAC адресом бриджа, а не портов. Ну и вишенка на торте: при добавлении в бридж порта провайдера, он уходит в защиту и отрубается.

[Кирилл Васильев]

Александр Жеведенко: тогда настраивайте arp-proxy