Несколько ip-адресов через ethernet на один интерфейс Mikrotik

Question

[kodi]

Провайдер отдает по ethernet пул ip-адресов. В качестве роутера стоит Mikrotik.

К примеру возьмем такую схему: интернет-шнурок от провайдера подключен в первый порт (и есть два внешних айпи-адреса), первая локалка во второй порт, вторая локалка в третий порт.
Надо чтобы первая локалка ходила в интернет от одного адреса, вторая от другого и все через первый порт. Возможно такое на микротиках и как? Или в какую сторону читать?

Удалось сделать такую схему: шнурок от провайдера в коммутатор, из коммутатора два шнурка в первый и второй порты Микротика, на кажлом порту свой интерфейс настраиваем, в третий и в четвертый порты локалки, и соответственно настраиваем маршрутизацию.

Answer 1

[Mikhail]

Тебе нужно маркировать пакеты (/ip firewall mangle) в зависимости от источника (с какой локалки они пришли), и добавить два маршрута по умолчанию в инет, с разными source address для каждой маркировки. Подробности про mangle смотри в документации.
Если понадобится помощь - обращайся

Comments

[kodi]

@mkorban именно щас так и работает. маркирую пакеты и направляю в разные порты. пробовал в один порт, но с разным source address, как Вы говорите, но не работало. Вы использовали данную схему или это предположение?

[kodi]

@mkorban и еще, под "source address" вы понимаете параметр "Pref.Source"?

[Mikhail]

Да, такая схему работает у одного из моих клиентов. И да, это pref source

[Mikhail]

И еще - маркировать надо именно mark rounting

Answer 2

[Ilya Evseev]

1) на внешний интерфейс Микротика назначаете _три_ публичных адреса - его собственный 1.2.3.4, публичный адрес первой локалки 1.2.3.5 и второй 1.2.3.6

2) в файрволле создаете два правила SNAT: первую локалку 10.20.30.0/24 в 1.2.3.5, вторую 10.20.40.0/24 в 1.2.3.6.

Comments

[kodi]

@IlyaEvseev Вы говорите про теорию, правильно ли я понимаю? или Все же про интерфейс Микротика? так как в его терминах существует SRCNAT вместо SNAT, а так же в файрволле при masquerade нет возможности указать какой ip-address использовать. это указывается в ip -> routes.

[Ilya Evseev]

srcnat - это цепочка правил в таблице NAT микротиковского файрволла.
В srcnat которой надо создать правило с Action=SNAT (Source NAT).

Маскарадинг - это частный случай SNAT, более простой в настройке, менее быстрый и менее гибкий. Т.к. у вас на внешнем интерфейсе несколько адресов, маскарадинг не годится.

Я говорю не про теорию. Сугубо про практику.

[kodi]

спасибо, понял, почитаю.
но есть одно "но", в интерфейсе микротика не вижу "snat", только "src-nat":
[********@Mikrotik_********] > ip firewall nat add action=
accept dst-nat masquerade redirect src-nat
add-dst-to-address-list jump netmap return
add-src-to-address-list log passthrough same

У нас разные прошивки? или я Вас не правильно понял и не туда заглянул?

[Ilya Evseev]

Это одно и то же. SNAT называется в Линуксе, Микротик назвал немного иначе.

[kodi]

@IlyaEvseev в первом комментарии я писал: "или Все же про интерфейс Микротика? так как в его терминах существует SRCNAT вместо SNAT" я это и имел ввиду. Спасибо.

Но когда выставляешь действие SRCNAT доступны два параметра To-addresses и to-ports, что как я понимаю все же "адрес назначения", а не "адрес отправителя". Поправьте, если я не прав.

[Ilya Evseev]

To-ports не заполняйте, To-address означает "на какой адрес заменить адрес отправителя пакета".