Как сделать проброс двух внешних интернет IP в внутренние IP LAN?

Question

[kovalr]

Дано:
- роутер Mikrotik
- сеть 192.168.0.0/24
- три интернет адреса - 95.125.125.2,
95.125.125.3,
95.125.125.4 по одному кабелю

- два сервера с IP - 192.168.0.10,
192.168.0.11
-пользователи - 192.168.0.12-192.168.0.254

Нужно сделать статический NAT
95.125.125.2 =192.168.0.10
95.125.125.3=192.168.0.11
Адрес 95.125.125.4 NAT для всех пользователей сети.

Что сделано:
bridge интерфейс, адрес 192.168.0.1
WAN интерфейс 95.125.125.4
Включен masquarade.
Интернет в пользователей работает.

Как сделать проброс трафика c 192.168.0.10, 192.168.0.11 на внешние IP ?

В Cisco RV 042 функция называется One to One NAT

Answer 1

[Кирилл Васильев]

Насоветовали тебе я смотрю =)
то что ты пытаешься сделать называется NAT один к одному, распространнёная настройка
лови решение
wiki.mikrotik.com/wiki/How_to_link_Public_addresse...

Answer 2

[Vladimir Zhurkin]

Как по мне, делать проброс ip черз NAT костыль.
Почему бы не воспользоваться и не сделать vlan ?
Как второй вариант использовать proxy_arp - как пример olezhek.net/2011-04-03-probros-belogo-ip-adresa-na...

Ну а если все же NAT, то примерно как то так

/ip firewall nat add chain=dstnat in-interface=[Interface] action=dst-nat to-addresses=[IP_Address_host]

Comments

[Никита Сизов]

С одной стороны костыль, с другой - позволит полноценно использовать брандмауэр.
Я бы делал через NAT.

Answer 3

[Никита Сизов]

VLAN тут не особо нужен.
Можно тупо подключить сервера в отдельные порты (скажем, ethernet4 и ethernet 5) и добавить их в бридж с ethernet-wan:
/interface bridge
add mtu=1500 name=bridge-wan
/interface bridge port
add bridge=bridge-wan interface=ethernet-wan
add bridge=bridge-wan interface=ethernet4
add bridge=bridge-wan interface=ethernet5
После этого назначить внешний адрес 95.125.125.4 бриджу
/ip address
add address=95.125.125.4/хх interface=bridge-wan network=92.125.xx.xx
А адреса 95.125.125.2 и 95.125.125.3 прописать напрямую на сервера.
Это будет работать.
Но в этом случае функции фаерволла должны будут исполнять сами сервера. Логично централизовать эту функцию на маршрутизаторе. Поэтому я бы делал через NAT.
прописываем все три адреса на интерфейсе ethernet-wan:
/ip address
add address=95.125.125.2/хх interface=ethernet-wan network=92.125.xx.xx
add address=95.125.125.3/хх interface=ethernet-wan network=92.125.xx.xx
add address=95.125.125.4/хх interface=ethernet-wan network=92.125.xx.xx

делаем так, чтобы серверы ходили в интернет через свои адреса (а не через общий NAT)
/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.0.10 to-addresses=95.125.125.2
add action=src-nat chain=srcnat src-address=192.168.0.11 to-addresses=95.125.125.3

и делаем трансляцию с внешних адресов на серверы (предполагаю, что у вас веб-сервера и нужно пробрасывать только один порт)
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=95.125.125.2 dst-port=80 protocol=tcp to-addresses=192.168.0.10 to-ports=80
add action=dst-nat chain=dstnat dst-address=95.125.125.3 dst-port=80 protocol=tcp to-addresses=192.168.0.11 to-ports=80

Comments

[kovalr]

"Можно тупо подключить сервера в отдельные порты (скажем, ethernet4 и ethernet 5)" подключить не можно, так как сервера виртуальные, находятся на одном физическом ethernet.
Загвоздка в том, чтобы начисто вывести сервер в Интернет. Фаерволл планируется на сервере настраивать.

[kovalr]

Прокинуть нужно как TCP так и UDP.
Может так
add action=dst-nat chain=dstnat dst-address=95.125.125.2 dst-port=1-65535 protocol=tcp to-addresses=192.168.0.10 to-ports=1-65535
add action=dst-nat chain=dstnat dst-address=95.125.125.2 dst-port=1-65535 protocol=udp to-addresses=192.168.0.10 to-ports=1-65535

[Никита Сизов]

kovalr: А, понятно. Я не уловил, что серверы виртуальные. Тогда VLAN все-таки нужен.
Примерно так:
ethernet-server - интерфейс, к которому подключен физический сервер.
add interface=ethernet-server l2mtu=1594 name=vlan-servers vlan-id=100

/interface bridge
add mtu=1500 name=bridge-wan
/interface bridge port
add bridge=bridge-wan interface=ethernet-wan
add bridge=bridge-wan interface=vlan-servers

/ip address
add address=95.125.125.4/хх interface=bridge-wan network=92.125.xx.xx

Если физический сервер напрямую воткнут в Микротик, то этого должно быть достаточно. Если есть промежуточный свитч - могут быть иные сложности, но тут надо говорить конкретно.
Теперь нужно настроить в гипервизоре, чтобы пакеты на эти / с этих виртуальных машин маркировались меткой VLAN 100.

[nimbo]

Никита Сизов: зачем vlan? всё же спокойно разделяется на уровне IP.

[kovalr]

nimbo: на уровне IP можно пример?

[nimbo]

kovalr: NAT вполне сгодится для этих целей. вы, конечно, можете прогнать vlan до виртуалок и назначить виртуалкам белые айпишники, но тут скорее вопрос каким именно образом пользователи локальной сети должны взаимодействовать с вашими серверами. то что вам предлагают выше делать так называемые soft-vlan'ы - абсолютно никак не отличается в использовании ресурсов mikrotik. так же точно жрётся cpu. но я бы всё же предложил сделать маскарадинг только на пользовательские айпи, маскарадинг для каждого айпи ваших виртуалок и пробросил только нужные сервисы для ваших серверов внутрь - мало ли какая уязвимость найдётся.

[Vladimir Zhurkin]

nimbo: soft-vlan на microtik (на самом деле там не soft, а точнее сильно зависит от модели и как делаем vlan) жрет меньше ресурсов чем nat просто по определению.

Answer 4

[kovalr]

NAT костыль. А как через vlan сделать?

Напомню что кабель в котором 95.125.125.2, 95.125.125.3, 95.125.125.4 один воткнут в ethernet-wan.
Нужно как то завести ethernet-wan с 95.125.125.2 в vlan 2, а потом отдать в ethernet-1 для 192.168.0.10. Не могу понять как это через vlan сделать...

Дополнительный свитч ставить нельзя.