Как настроить белую подсеть на микротике?

Question

[Николай Савельев]

Добрый день.
Впервые столкнулся с выделением белой подсети от провайдера. Что-то совсем запутался с маршрутизацией, прошу помощи.
Есть микротик, wan 1 и wan2 от разных провайдеров со своими белыми адресами. Купили подсеть /29 у второго провайдера, маршрутизируется через его белый ip (не совсем понимаю что это означает). Прислали инструкцию как пробросить за микротик и выдавать белые ip серверам:

Настроить на два разных bridge (часть lan портов в одном часть в другом).
В первом bridge настроить dhcp на серую подсеть и функцию masquerade/srcnat в разделе IP > Firewall > NAT.
Во втором bridge настроить dhcp на белую подсеть и сделать исключение в IP > Firewall > NAT для данной подсети


Примерно также выглядят все нагугленные инструкции. Но у меня по умолчанию трафик идет через другого провайдера. У wan2, через который и предполагается маршрутизировать подсеть, маршрут с distance 3. Как-то надо прописать отдельный маршрут для подсети? Как?

Ну и мне не хотелось бы прокидывать подсеть через микротик. Идеальный вариант был бы присвоить все адреса на роутере, а локальные подсети натить через них. Но таких инструкций я нигде не нашел.

Не подскажете, куда копать?

Comments

[Sand]

Попробуйте убрать из Вашей цепочки рассуждений маршрутизацию и distance. Нужно натить серваки на белые IP, и для этих белых IP прописать свой default gateway. Либо действовать так как предложил провайдер, разделить микротик на два независимых сетевых моста (мост для лан и мост для блока белых IP) и отдельный порт wan1. Но это снова не совсем про маршрутизацию. Это стандартные задачи, что Вы такое искали если найти не получилось? Вроде достаточно детально описано и предложение провайдера и Ваше пожелание

[Николай Савельев]

Sand, ну да, я немного не сетевик.
Про default gateway
Адрес на интерфейсе 5.128.х.х, подсеть выдали 178.49.х.х/29, маршрутизируется через тот адрес. Не совсем понятно какой гэйтвей прописывать. В варианте прова - первый ip подсети на мост вешается. А в моем? Что-то видимо я совсем не понимаю как это работает...

Answer 1

[Valentin Barbolin]

Николай Савельев, Провайдер молодец)).
Тут 2 варианты, NAT или BRIDGE. Схема с bridge проще в настройке и исключает проблемы с протоколами которые не любят NAT.

> Адрес на интерфейсе 5.128.х.х, подсеть выдали 178.49.х.х/29, маршрутизируется через тот адрес
Схема через NAT. Делают обычно через bridge интерфейс, допустим сеть серверов 10.10.10.0/24.
- создаешь bridge
- назначаешь на него все адреса из сети 178.49.10.0/29
- добавляешь правила NAT для серверов src-addr 10.10.10.1 src-nat 178.49.10.1, 10.10.10.1 - 178.49.10.2 и т.д.
- правишь правило чтобы src 178.49.10.0/29 НЕ натились через 5.128.х.х
- добавляешь маршрут, чтобы src 178.49.10.0/29 ходят через 5.128.х.х (отдельная таблица маршрутизации через preroute)

Comments

[Николай Савельев]

Ага, спасибо. Все круто, работает.
Но конечно же сразу получил граблями по лбу.
Думал обойтись без src-addr 10.10.10.1 src-nat 178.49.10.1, так как мне нужно один внутренний адрес транслировать на все внешние по очереди - по 10 минут каждый, по кругу.
Но увы, без src-nat все это ломится через выделенную линию, а не через подсеть. Не подскажете, возможна ли моя хотелка?

[Valentin Barbolin]

Николай Савельев, То есть, в один момент времени все клиенты выходят через один IP адрес из пула 178.49.10.1 и этот адрес надо менять на следующий каждые 10 минут?

Наверное делал бы через шедулер, оставил бы один адрес на bridge, и менял бы его каждые 10 минут. Такой костыль не практиковал, не могу сказать как будет работать)

Answer 2

[Дмитрий]

Самый простой способ сделать нужное - выделить отдельный интерфейс для внешней подсети и организовать маршрутизацию через нужный внешний канал с помощь правил маршрутизации по источнику. Можно и натить, но этот вариант на самом деле хуже.

1. Выделяете порт или бридж для подсети /29, которую купили у провайдера
   
2. Вешаете на него первый ip из диапазона (если подсеть 100.100.100.0/29, то это будет с указанием маски 100.100.100.1/29)
   
3. Создаете в IP -> Route -> Routes дополнительный дефотный маршрут (в 0.0.0.0/0) через провайдера, у которого купили подсеть, с явным указанием имени таблицы маршрутизации (поле Routing Mark, в которое можно прописать wan2 или что-то вроде)
   
4. Создаете правило маршрутизации в IP -> Route -> Rules, которое маршрутизирует трафик с интерфейса, которому назначена провайдерская подсеть, через эту таблицу маршрутизации. Т.е. в в правиле заполняете поля Interface (интерфейс, на который назначена подсеть провайдера), Action (оставляете дефолтное значение Lookup) и Table (туда вписываете wan2 или свое название таблицы маршрутизации из предыдущего пункта)
   
5. Проверяете, что в IP -> Firewall -> Filter нужный трафик из/в подсеть разрешен, а в IP -> Firewall -> NAT нет правил ната, которые срабатывают для такого трафика.
   

В случае, если хотите натить, то это можно сделать практически аналогичным образом. Также потребуется второй именованный дефолтный маршрут, и правило маршрутизации, только вместо интерфейса в нем нужно будет в Src. Address вписать вашу внешнюю подсеть.

Comments

[Николай Савельев]

Что значит выделить отдельный интерфейс?
Он есть, на нем настроен другой белый адрес, не из купленной подсети. Соответственно, подсеть по тому же проводу. Предлагаете коммутатор перед микротом поставить?
По роутам более-менее понятно.
Непонятно с портами и бриджами. Есть локальный бридж. Мне хотелось бы чтобы трафик со всех интерфейсов в нем (ethernet, vlan и тд) можно было транслировать через белую подсеть. Чтобы сервера в интернете видели запросы от этой самой подсети.

[Дмитрий]

Можно и не выделять отдельный интерфейс, а назначить внешнюю подсеть на какой-то из существующих в дополнение к уже прописанным на ней ip-адресам, это не принципиаьный момент. В данном случае интерфейс - это логическая сущность Mikrotik, на которую можно назначить внешний ip (это может быть ethernet порт, бридж, всевозможные туннельные интерфейсы).

[Дмитрий]

Ну и если ip-адрес назначен на бридж, то он равно доступен для всех интерфейсов, включенных в бридж (т.к. это фактически программный коммутатор)

Answer 3

[CityCat4]

Микротик, это елки-палки роутер :) У него сколько интерфейсов столько и "сетевых карт" (если представить себе микротик, как обычный комп, набитый сетевыми картами).
У Вас должно быть:
- реквизиты подключения к Провайдеру1
- реквизиты подключения к Провайдеру2
- подсетка, выданная Провайдером2

Допустим, ether1 - Провайдер1, ether2 - Провайдер2. Тогда группируем допустим ether3 - ether5 - и говорим "это у нас белая подсетка", bridge1. А также ether6 - ether10 - "это у нас локалка", bridge2
Настраиваем адреса:
- на ether1 - по реквизитам Провайдера1
- на ether2 - по реквизитам Провайдера2
- на bridge1 - любой из подсетки, маску должен дать провайдер. Этот адрес будет default gateway для серверов!
- на bridge2 - локалку

Натим все, что пришло с bridge2, с bridge1 не натим. Маршруты прописываем как считаем нужным, если должны работать одновременно оба - раскидываем трафик метками, если второй резервный - через distance, трафик идет через маршрут с меньшей distance.

Гуглить "микротик два провайдера"

Comments

[Николай Савельев]

Микротик два провайдера я настраивал лет так 5 назад.
Может некорректно вопрос сформулировал. Мне не нужно прокидывать к серверам белую подсеть. Я хочу все адреса на микротике поднять.
Соответственно, не понятно как.

[CityCat4]

Николай Савельев, Зачем? Технически это наверное возможно - настроить на ether3 например все выданные IP адреса и натить их в трафик на сервера, только зачем? NAT был придуман именно от недостатка адресов

[Дмитрий]

Сами адреса поднимать не обязательно, т.к. провайдер, насколько я понял из описания, выдал маршрутизируемую сеть, а не непосредственно подключаемую к его внешнему каналу. Достаточно, чтобы были правила DNAT с внешнего ip на внутренний. Это может быть актуально, если через один внешний ip нужно опубликовать несколько серверов на разных портах.

[CityCat4]

Дмитрий, Мне и интересно - какой смысл делать NAT для белых адресов? Я такой финт ушами проворачивал, когда переносили сервисы с одного белого IP на другой, к другому провайдеру. А вот в обычной жизни нафига - никак не пойму.

[Николай Савельев]

CityCat4, не знаю, может я неправильно делаю. Есть сервер, который парсит определенные ресурсы. Годами работало, теперь ограничили запросы по ip. Мне кажется, что проще поднять доп адреса на микротике и разруливать время работы данного сервера с этих адресов. Какие альтернативы? Переписать парсер?

[CityCat4]

Николай Савельев, А, понятно. Не, такими делами я не занимаюсь. Адиос, амигос.

[Дмитрий]

Николай Савельев, под такую задачу можно сделать на микротике SNAT не в один внешний ip, а сразу в подсеть. Тогда tcp-запросы от сервера будут выходить в Интернет рандомно с одного из ip-адресов внешней подсети. Правда есть вероятность, что потом забанят подсеть целиком...

[Дмитрий]

CityCat4, иногда бывает, что через один внешний ip нужно опубликовать целую пачку разнородных сервисов, живущих на разных серверах. Например, в организации, которая не хочет размещать инфраструктуру в облаках или внешних датацентрах, а держит все сервера у себя.

[Николай Савельев]

Дмитрий, а точно ли рандомно?
Вроде да, но не хотелось бы нарваться на блокировку.
А подсеть не забанят, если более менее равномерно распределить.

[Дмитрий]

Н@nikweter, насколько я знаю, ip-адреса будут использоваться рандомно. Вот тут кто-то спрашивает, как сделать, чтобы не было рандомности для запросов с конкретного внутреннего ip - https://forum.mikrotik.com/viewtopic.php?t=109419

[CityCat4]

Дмитрий, Ладно уж, отвечу. Организация, которая держит сервера у себя, не ипет моск какой-то там публикацией, а делает отдельную белую сеть, маршрутизируемую за своим шлюзом и в эту сеть сосредотачивает все сервисы, требующие белые адреса. Это упрощает работу с ними, потому что тут нет никаких мозговывернутых натов.