Mikrotik: Проброс внешнего (белого) IP + вторая сеть, с другим IP + резервирование канала (комплексный вопрос), как сделать (RB3011)?

Question

[Станислав Осколков]

Вопрос комплексный. Хотя, особый затык сейчас с правильным пробросом белого IP клиенту.
К сути:

Есть хорошая железка RB3011
От провайдера получаем два разных "комплекта" настроек (ip, маска, шлюз разные, а DNS одинаковые). Получаемые "внешние" ip - белые.

Порт eth1 - uplink (входящий)
Порт eth2 - резервный провайдер.
Порты eth3-5 (бридж) - организация 1, которой выдаётся внешний ip 111.111.111.111, внутренние - 192.168.88.*
Порты eth6-8 (не в бридже) - организации 2,3,4, которым выдаётся внешний ip 111.111.111.111, внутренние - 192.168.99.* (Вернее, каждой - свой диапазон серых ip или отдельный серый адрес, не важно)
Порт eth9 - организация 5, которой выдаётся (пробрасывается) внешний ip 122.222.222.222

Пока что у нас затык с тем как правильно пробросить eth9 во внешку, чтобы клиент прозрачно выходил сразу на провайдера, но мы при этом могли резать скорость на порту. Порты резаться не будут.
И как лучше поступать в будущем, когда подключим второго провайдера - пока тоже непонятно. Надо же все правила переписывать, а клиента с "бывшим" белым ip выпускать через серую сеть (допустим, сделаем, временно, внутреннюю сеть 122.222.222.*), как я понял. А переключение нужно сделать максимально безболезненным и автоматическим.

Возможно, активное сообщество сможет подсказать как, по его мнению, сделать лучше.

Примерную схему прилагаю.

Answer 1

[Сергей]

Клиент сидящий на eth9 пролучает адреса из AS провайдера 1?
Я бы даже убрал роутер на eth9, назначил бы бридж, повесил бы на него dhcp и режте что хотите.Если схема с дополнительным роутером обязательна, ну мне на ум приходит только маркировать и пересылать все пакеты для ip 122.222.222.222 на eth9, точнее даже на directly connected host (роутер).

Comments

[Станислав Осколков]

Да, клиент на eth9 получает адрес от провайдера 1, настройки у клиента прописаны статикой.

Роутер убирали, ставили бридж между eth1 и eth9.
Интернет пропадал везде, не появляясь на eth9.
На другом месте проверял с другим микротиком, интернет у машинки на аналогичном порту появлялся, получая настройки от провайдера, но на первых портах, в бридже, - падал.

[Сергей]

Станислав Осколков, вы забыли общий бридж и vlan1 видимо

[Станислав Осколков]

Сергей,
А подробнее? Реально без VLAN'ов?
А если с вланами, то как лучше будет.

[Сергей]

Станислав Осколков, С Вашей схемой...наверное это не спасет, я попытался нарисовать схему внутреннего соединения между виланами и бриджами, хреново получается. Если делать общий бридж на 1,3,4,5,9 то вешать адреса некуда, точнее правильно не повесишь....
У вас только одна железка?

[Станислав Осколков]

Сергей, Задача как раз в том что есть 1 железка.
Можно реализовать всё, конечно, на связке D-Link DES-3526 + Mikrotik RB3011, воткнув клиента уже в свитч (или пробросив уже со свитча через микротик, для управления трафиком), но пока желательно реализовать через 1 роутер. Да и задача тем интереснее.

Хорошо, по пунктам, как мне выдать одной подсети настройки с внешним 1-м адресом, а клиенту, на 9 порту, пробросить внешний 2-й?

[upd]
Что есть сейчас:
1 порт - входящий присвоен первый белый айпи
2 порт - на будущий резерв
3-5 порты - организация 1, получает серые IP по DHCP (или статикой) - работает
6 - клиенты получают другие серые IP (из другой подсети) - работает
7 - клиенты получают другие серые IP - работает
8 - клиенты получают другие серые IP - работает
9 - должен получать второй белый IP напрямую (желательно) - не работает.

На тестовой машинке мне удалось сделать бридж с 1 на 9 порт, при котором на 9 порту всё заработало, но интернет на 1 порту отвалился (с 1 айпишником).

[Vladimir Zhurkin]

Станислав Осколков, Клиент обязательно должен получать белый ip или все запросы должны приходить и уйти на этот ip ?
Те все, что попадает на внешний ip уйдет клиенту и наоборот от клиента будет от этого ip.

Но я попробую завтра более подробно ответить с разными вариантами.

[Станислав Осколков]

Vladimir Zhurkin, Клиент должен получать, условно, прямой линк к провайдеру, как через "мыльницу".

[Vladimir Zhurkin]

Станислав Осколков, Те у клиента должен быть белый Ip , те на его устройстве ?
Если да, то для шейпинга вам надо будет маркировать пакеты.

[Станислав Осколков]

Vladimir Zhurkin, Да, белый IP должен быть у клиента, на его оборудовании.