Mikrotik e NAT / Routing

Navegue suas respostas
6

Eu tenho um problema básico de NAT / Roteamento com o Mikrotik RB750 que não consegui resolver nos últimos dias. Do nosso ISP, temos 26 endereços IP: 10.10.10.192/27 , com 10.10.10.193 sendo o gateway e 10.10.10.194 o primeiro IP disponível.

O que eu preciso é que tudo conectado a ether2 obtenha um IP público do servidor DHCP, e tudo conectado a ether3 obtenha um IP local de outro DHCP (192.168. 100,0 / 24). Todos os clientes devem ter acesso à Internet (eu descobrirei o afogamento de largura de banda mais tarde) e otimamente apenas 'ver' uns aos outros (todas as caixas são Win7, eu acho que isso pode ser tratado com VPN).

Aqui está minha configuração: ether1 (10.10.10.194) está conectado diretamente ao ISP.

20 clientes conectados a ether2 (10.10.10.195), e outros 20 a ether3 (10.10.10.196) (ambos através dos mesmos switches de 24 portas).

Esta é minha configuração, que não funciona, todos os 20 clientes de ether2 podem acessar a Internet, apesar de todos os comunicados. parece vir de 10.10.10.194 (isso é devido ao masquerade em ether1?), e ether3 não pode acessar a internet.

Eu acho que preciso mascarar ether3 , e SNAT / DNAT ou NETMAP ether2 , mas isso não funciona também, eu acho que preciso de alguma forma ' conecte 'ambos ether2 + 3 a ether1 .

Lista de endereços: 

 #   ADDRESS            NETWORK         INTERFACE                                                          
 0   ;;; public
     10.10.10.194/32  10.10.10.192  ether1-gateway
 1   ;;; inner DHCP
     192.168.100.0/24   192.168.100.0   ether3-private
 2   ;;; public
     10.10.10.195/32  10.10.10.192  ether2-pub
 3   ;;; public
     10.10.10.196/32  10.10.10.192  ether3-private

NAT 

 0   ;;; ether3 nat
     chain=srcnat action=src-nat to-addresses=10.10.10.196 
     src-address=192.168.100.0/24 out-interface=ether3-private 

 1   ;;; ether3 nat
     chain=dstnat action=dst-nat to-addresses=192.168.100.0/24 
     in-interface=ether3-private 

 2   ;;; ether1 masquerade
     chain=srcnat action=masquerade to-addresses=10.10.10.194 
     out-interface=ether1-gateway

Rotas: 

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          ether1-gateway            1
 2 A S  10.10.10.192/27  10.10.10.195  ether2-pub                1
 3 ADC  10.10.10.192/32  10.10.10.195  ether2-pub                0
                                           ether1-gateway    
                                           ether3-private    
 4 ADC  192.168.100.0/24   192.168.100.0   ether3-private            0

Pools de IP: 

 # NAME             RANGES                         
 0 public-pool     10.10.10.201-10.10.10.220  
 1 private-pool    192.168.100.2-192.168.100.254

Configurações do DHCP: 

 #   NAME               INTERFACE              RELAY           ADDRESS-POOL              LEASE-TIME ADD-ARP
 0   public-dhcp        ether2-pub                             public-pool               3d        
 1   private-dhcp       ether3-private                         private-pool              3d

Obrigado!

    
por arul 10.12.2012 / 07:16

2 respostas

3

Você precisa tomar decisões e projetar sua rede.

No ether1 que está conectado ao seu ISP, você deve definir uma rede menor. por exemplo, / 30 (para dizer a verdade, é muito mais fácil se você solicitar um intervalo menor do seu ISP do que dividir o que você tem agora).

Então, em ether1 10.10.10.192/30 seu gw é 10.10.10.193 e 10.10.10.194/30 é seu IP (no mikrotik - ether1). Você então pede ao seu ISP para rotear

  • 10.10.10.196/30
  • 10.10.10.200/29
  • 10.10.10.208/28

para o endereço 10.10.10.194 e para configurar a mesma / 30 máscara de rede do lado deles como você fez no seu.

Então, em ether2 você configura um (ou mais) dos intervalos de endereços vistos acima. Nesta interface você não faz qualquer NAT. Você configura o pool de acordo com os intervalos de endereços configurados na interface.

Em ether3 você configura endereços privados como desejar. Os exemplos que você forneceu parecem bons. Aqui você configura MASQUERADE e este é o único lugar onde você tem NAT.

E o que havia de errado com sua configuração original?

  • Você não deve atribuir / 32 redes como você fez.
  • O ISP abordará todos como estando na mesma rede, no entanto, esse não é o caso.
  • Você não faz SNAT e DNAT ao mesmo tempo em uma interface. Neste caso, você só faz SNAT, que altera o endereço source . Quando os pacotes retornam, o subsistema netfilter lembra o que ele fez, a vontade fará automaticamente a transformação reversa. (MASQUERADE é um caso especial do SNAT)

EDIT Se você não quer envolver seu ISP neste, então faça o mesmo e ative o proxy-arp, isso é bem descrito aqui: link

    
por 10.12.2012 / 16:57
0

  1. Você comete erros ao configurar o IP ether3 com o prefixo 32. deve ser 24.

  2. Eu não entendo, o que você quer dizer com dst-nat tudo de ether3? Parece que bloqueia a internet em ether3 1 ;;; ether3 nat chain=dstnat action=dst-nat to-addresses=192.168.100.0/24 in-interface=ether3-private

  3. Quando você muda o IP, normalmente fecha o campo da rede e deixa que seja calculado automaticamente. Por exemplo address=10.10.10.195/32 network=10.10.10.195 interface=ether2-pub

  4. Você pode tentar excluir sua rede pública da regra masqarade src-address =! 10.10.10.192/27 e ativar o proxy-arp no ether1-public. Talvez funcione. Eu não sei, porque eu usei mais nova configuração 'estranho'.

PS. Para mim, parece melhor dar uma subnet privada em ether2 e definir 1 para 1 nat (src-nat e dst-nat)

    
por 06.05.2014 / 01:00

Tags

A Instalação do BitLocker requer que o sistema de arquivos da unidade seja NTFS Como a autenticação entre domínios funciona em um ambiente com firewall?