Как использовать второй белый IP?

Question

[fdroid]

Провайдер предоставляет мне белый статический IP, который использую для доступа извне к домашней сети и т.д. В какой-то момент возникла не то что бы необходимость, но было бы неплохо использовать ещё один белый IP. Позвонил провайдеру, провайдер сказал "Okay" и выделил мне ещё один IP, который я прописал на ether1 (который служит WAN) микротика, там же где прописан первый IP. В итоге, второй IP пингуется и как бы существует, но: 1) в интернете я определяюсь под первым IP 2) тестовый проброс портов на домашнюю виртуалку с веб сервером не работает. Т.е., for example, первый действующий белый IP - 1.2.3.4, второй - 1.2.3.5, шлюз провайдера - 1.2.3.1, внутренний IP виртуалки с веб-сервером на 80 порту - 10.10.10.10. Проброс на микротике сделан, захожу "извне" по первому IP - есть заглушка nginx, захожу по второму IP - ничего нет. Вопрос - что вообще нужно сделать для того чтобы заработало? Провайдер должен у себя что-то подтюнить или нужно на микротике что-то донастроить? У меня просто нет понимания логической связки структуры, которая должна получиться.

Answer 1

[АртемЪ]

Настроить ваш роутер.
Сейчас у вас все по умолчанию идет через первый IP.

Answer 2

[sash999]

Настраивайте роутинг у себя так, как вы хотите. И несколько непонятно вот это -

возникла не то что бы необходимость, но было бы неплохо использовать ещё один белый IP

- какая необходимость и зачем вам еще один белый ip?

Answer 3

[AkaZLOY]

Маркируйте исходящий трафик в Mangle, а в NATе прописываете с помощью src-nat какому трафику подменять source ip на один из доступных вам адресов.

Answer 4

[Drno]

Настройте проброс - условие - dst-address - там пропишите нужный внешний IP

Answer 5

[lubezniy]

По-видимому, Ваш роутер должен самостоятельно обрабатывать запросы из локалки на второй IP, а не роутить их на шлюз по умолчанию. Проверить, так ли это, можно с помощью traceroute из локальной сети на второй IP-адрес. А дальше смотреть уже на маршруты.

Answer 6

[Александр Карабанов]

Всё настраивается на вшей стороне. Проверьте правила dst-nat для доступа снаружи к внутренним ресурсам. И измените правило src-nat что бы траффик в интернет ходил через другой IP.

Comments

[fdroid]

Маскарадинг у меня сейчас настроен так:

/ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=srcnat action=masquerade log=no log-prefix=""

dstnat для тестового веб-сервера:

3    ;;; Web-test
      chain=dstnat action=dst-nat to-addresses=10.10.10.10 to-ports=80 
      protocol=tcp in-interface=ether1wan dst-port=80 log=no log-prefix=""

Не могли бы вы более подробно пояснить что нужно изменить/добавить? Честно - не догоняю...

[Александр Карабанов]

/ip firewall nat
add action=dst-nat chain=dstnat comment="Web-test" dst-address=YourWhiteIP dst-port=80 protocol=tcp to-addresses=10.10.10.10 log=no log-prefix=""

Чтобы траффик в интернет шёл с другого IP можно action=masquerade заменить на action=srcnat и вписать конкретный IP

[AkaZLOY]

fdroid, вместо masquerade используйте src-nat. Первое используется, когда у вас серый ip и он у вас постоянно меняется, второй подходит для белых, т.к. ваш адрес меняться не будет.