Задать вопрос
@nikweter
Системный администратор

Как настроить белую подсеть на микротике?

Добрый день.
Впервые столкнулся с выделением белой подсети от провайдера. Что-то совсем запутался с маршрутизацией, прошу помощи.
Есть микротик, wan 1 и wan2 от разных провайдеров со своими белыми адресами. Купили подсеть /29 у второго провайдера, маршрутизируется через его белый ip (не совсем понимаю что это означает). Прислали инструкцию как пробросить за микротик и выдавать белые ip серверам:

Настроить на два разных bridge (часть lan портов в одном часть в другом).
В первом bridge настроить dhcp на серую подсеть и функцию masquerade/srcnat в разделе IP > Firewall > NAT.
Во втором bridge настроить dhcp на белую подсеть и сделать исключение в IP > Firewall > NAT для данной подсети


Примерно также выглядят все нагугленные инструкции. Но у меня по умолчанию трафик идет через другого провайдера. У wan2, через который и предполагается маршрутизировать подсеть, маршрут с distance 3. Как-то надо прописать отдельный маршрут для подсети? Как?

Ну и мне не хотелось бы прокидывать подсеть через микротик. Идеальный вариант был бы присвоить все адреса на роутере, а локальные подсети натить через них. Но таких инструкций я нигде не нашел.

Не подскажете, куда копать?
  • Вопрос задан
  • 2688 просмотров
Подписаться 5 Средний 2 комментария
Решения вопроса 2
@dronmaxman
VoIP Administrator
Николай Савельев, Провайдер молодец)).
Тут 2 варианты, NAT или BRIDGE. Схема с bridge проще в настройке и исключает проблемы с протоколами которые не любят NAT.

> Адрес на интерфейсе 5.128.х.х, подсеть выдали 178.49.х.х/29, маршрутизируется через тот адрес
Схема через NAT. Делают обычно через bridge интерфейс, допустим сеть серверов 10.10.10.0/24.
- создаешь bridge
- назначаешь на него все адреса из сети 178.49.10.0/29
- добавляешь правила NAT для серверов src-addr 10.10.10.1 src-nat 178.49.10.1, 10.10.10.1 - 178.49.10.2 и т.д.
- правишь правило чтобы src 178.49.10.0/29 НЕ натились через 5.128.х.х
- добавляешь маршрут, чтобы src 178.49.10.0/29 ходят через 5.128.х.х (отдельная таблица маршрутизации через preroute)
Ответ написан
Самый простой способ сделать нужное - выделить отдельный интерфейс для внешней подсети и организовать маршрутизацию через нужный внешний канал с помощь правил маршрутизации по источнику. Можно и натить, но этот вариант на самом деле хуже.
  1. Выделяете порт или бридж для подсети /29, которую купили у провайдера
  2. Вешаете на него первый ip из диапазона (если подсеть 100.100.100.0/29, то это будет с указанием маски 100.100.100.1/29)
  3. Создаете в IP -> Route -> Routes дополнительный дефотный маршрут (в 0.0.0.0/0) через провайдера, у которого купили подсеть, с явным указанием имени таблицы маршрутизации (поле Routing Mark, в которое можно прописать wan2 или что-то вроде)
  4. Создаете правило маршрутизации в IP -> Route -> Rules, которое маршрутизирует трафик с интерфейса, которому назначена провайдерская подсеть, через эту таблицу маршрутизации. Т.е. в в правиле заполняете поля Interface (интерфейс, на который назначена подсеть провайдера), Action (оставляете дефолтное значение Lookup) и Table (туда вписываете wan2 или свое название таблицы маршрутизации из предыдущего пункта)
  5. Проверяете, что в IP -> Firewall -> Filter нужный трафик из/в подсеть разрешен, а в IP -> Firewall -> NAT нет правил ната, которые срабатывают для такого трафика.

В случае, если хотите натить, то это можно сделать практически аналогичным образом. Также потребуется второй именованный дефолтный маршрут, и правило маршрутизации, только вместо интерфейса в нем нужно будет в Src. Address вписать вашу внешнюю подсеть.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Микротик, это елки-палки роутер :) У него сколько интерфейсов столько и "сетевых карт" (если представить себе микротик, как обычный комп, набитый сетевыми картами).
У Вас должно быть:
- реквизиты подключения к Провайдеру1
- реквизиты подключения к Провайдеру2
- подсетка, выданная Провайдером2

Допустим, ether1 - Провайдер1, ether2 - Провайдер2. Тогда группируем допустим ether3 - ether5 - и говорим "это у нас белая подсетка", bridge1. А также ether6 - ether10 - "это у нас локалка", bridge2
Настраиваем адреса:
- на ether1 - по реквизитам Провайдера1
- на ether2 - по реквизитам Провайдера2
- на bridge1 - любой из подсетки, маску должен дать провайдер. Этот адрес будет default gateway для серверов!
- на bridge2 - локалку

Натим все, что пришло с bridge2, с bridge1 не натим. Маршруты прописываем как считаем нужным, если должны работать одновременно оба - раскидываем трафик метками, если второй резервный - через distance, трафик идет через маршрут с меньшей distance.

Гуглить "микротик два провайдера"
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы