Настройка маршрутизатора Mikrotik RB951G-2HnD на несколько внешних IP адресов

Тема в разделе "Общий форум", создана пользователем phantom, 11 июл 2017.

  1. phantom

    phantom Новый участник

    Добрый день,
    Задача такая на объекте планируется установить несколько IP камер и видеорегистратор NVR, каждому устройству нужны внешние IP адреса (белые), не спрашивайте зачем, так нужно.
    Планирую настроить маршрутизатор Mikrotik RB951G-2HnD на несколько внешних IP адресов, интернет канал будет один, провайдер выдает 5 внешних (белых) IP адресов. С помощью PPPoE я полагаю, что так можно сделать, а можно ли прописать несколько статических IP адресов на одном маршрутизаторе и перенаправить данные с этих IP адресов по разным устройствам?

    Главное задать несколько IP адресов, а перенаправление трафика уверен, что смогу сделать.
     
  2. AlexShoroh

    AlexShoroh Участник

    С большим трудом представляю как это возможно при помощи PPPoE. Обычно пулы выдают статикой. Либо роутят, опять же статикой на адрес, который вам выдается по PPPoE (оч. плохой вариант). Надо смотреть, какие адреса пров даст, то есть с какой маской. Мы обычно делаем как: из обычной подсети клиентов /27 выдаем адрес абоненту, он прописывает его на пограничном своем оборудовании, и на этот адрес роутим подсеть /29, все статикой. И все. Абонент волен раскидывать адреса из /29 в своей сети как угодно.
     
  3. phantom

    phantom Новый участник

    Как задумывал сделать не получается нефига(
    Думаю проблема где-то в NAT, так как на самом микротике пинги проходят, а за ether2-master уже не идут.
    Что я сделал:
    1. Прописал статические IP адреса интернет провайдера на один интерфейс
    [​IMG]

    2. Прописал дефолтный шлюз
    [​IMG]

    3. Данные поперли
    [​IMG]

    4. На скорую руку настроил Фаервол, выделенный красным цветом это я экспериментировал с правилами. Если все-таки удастся раздать Интернет за NAT, буду файрволом перенаправлять пакеты на IP камеры.
    [​IMG]

    5. Настроил NAT как обычно настраиваю с PPPoE, только выбрал интерфейс WAN.
    [​IMG]

    6. Пинги с микротика проходят если выбрать интерфейс
    [​IMG]

    7. Если убрать или указать любой другой интерфейс то пинги не проходят.
    [​IMG]

    Грешу на неправильную настройку фаервола или неправильную настройку NAT, кто знает подскажите?
     
  4. AlexShoroh

    AlexShoroh Участник

    А зачем вам дефолт на 192.168.1.1 ?
    И думаю что, вешать так адреса, это не комильфо.
    Если Вам требуется развесить публичные адреса на камеры, то тут на форуме что-такое обсуждали. микрот прозрачный для 2-го ( 3-го и т.д) адреса, но сам так же с адресом.
    Что-то вроде 1 и 2 порты в один бридж. ( получается минисвитч).
    на 1 порт 1-й ip адрес. во 2-й порт камеры с 2-м ip адресом ( шлюз - провайдер а не микрот).
    В грубом приближении так. Надо поискать тут темку.
     
    Последнее редактирование: 13 июл 2017
  5. phantom

    phantom Новый участник

    Мне нужно чтобы он NATил.
     
  6. AlexShoroh

    AlexShoroh Участник

    У вас же /29 подсеть. что через что натить?
     
  7. Вам нужно создать бридж к первому порту, привязать к этому бриджу нужные интерфейсы которые пойдут к камерам, и на камерах прописывать внешние IP провайдеров. Как-то так.
     
  8. AlexShoroh

    AlexShoroh Участник

    Спасибо, что подтвердили мою память. ))
    Значит я правильно понял тогдашний разбор полетов.
     
  9. phantom

    phantom Новый участник

    Спасибо, что заметили ошибку в маршруте, удалил дефолт на 1.1 и все заработало. У меня на микротике локальный 1.2
     
  10. phantom

    phantom Новый участник

    Я бы сделал так, но почему решил так не делать, потому-что на камерах должны быть серые IP адреса, внутри локальной сети видеорегистратор куда все пишется, это первое, второе то, что нужно защитить камеры и регистратор от бот сетей, сомневаюсь, что производитель контролирует уязвимости своего ПО. Белые IP нужны лишь для того, чтобы предоставить удаленный доступ к камерам и регистратору по условиям Заказчика. Конечно можно было бы обойтись одним IP адресом на регистратор, но Заказчик требует на все оборудование.
     
  11. phantom

    phantom Новый участник

    Спасибо за советы, удалось разобраться. Удалось оставить на устройствах серые IP адреса и привязать каждый белый IP адрес к устройствам. На микротик прикрутил 3 белых IP адреса, с одним шлюзом первый для регистратора, второй для одной PTZ-камеры, третий для другой PTZ-камеры. Если интересно будет расскажу как удалось сделать, выложу скриншоты. Пока все работает, тфу-тфу-тфу.
     
  12. Илья Князев

    Илья Князев Администратор Команда форума

  13. phantom

    phantom Новый участник

    Хорошая статья, я сделал совсем по другому, наверное более проще. Возможно где-то есть ошибки.
     
  14. Микро99

    Микро99 Новый участник

    Можешь выложить скрины ? у меня такая же ситуация , только вместо камер идут клиенты (офисы)
     
  15. phantom

    phantom Новый участник

    Напомни пожалуйста завтра
     
  16. Микро99

    Микро99 Новый участник

    Напоминаю)
     
  17. Микро99

    Микро99 Новый участник

     
  18. Глава 1.8 Проброс "белого" (реального, внешнего) IP в локальную сеть.

    Это нужно, если вышестоящий провайдер выдал вам подсеть "белых" IP-адресов. Один адрес оставляем как адрес самого Микротика, второй адрес обычно это шлюз провайдера, остальные можем выдать клиентам в локальной сети.
    Допустим, ваша локальная сеть 192.168.1.0/24, локальный адрес Микротика 192.168.1.1.

    Способ 1, при помощи NAT.

    В этом примере пробрасываем интернет-адрес 195.195.195.195 на локальный адрес 192.168.1.11. Для практического использования меняем адреса на свои.

    /ip firewall nat
    add action=netmap chain=srcnat comment="Mapping 195.195.195.195 > 192.168.1.11" src-address=192.168.1.11 to-addresses=195.195.195.195
    add action=dst-nat chain=dstnat dst-address=195.195.195.195 to-addresses=192.168.1.11
    /ip address
    add address=195.195.195.195/32 interface=ether1-gateway network=195.195.195.195

    Первое правило NAT меняет во всех пакетах, идущих в Интернет (исключая сеть 192.168.1.0/24) локальный адрес 192.168.1.11 на 195.195.195.195
    Второе правило все пакеты, приходящие на адрес 195.195.195.195 отправляет на 192.168.1.11.
    Эти правила должны находиться выше основного правила NAT (masquerade).
    И последнее действие назначает адрес 195.195.195.195, как дополнительный, внешнему интерфейсу Микротика. Это необходимо для того, чтобы Микротик принимал входящие пакеты с таким адресом.

    Отличие этого способа заключается в том, что клиент видит как локальную сеть (и соответственно виден внутри сети), так и интернет. Устройство с локальным адресом 192.168.1.11 полностью доступно извне сети по адресу 195.195.195.195. При этом фактически находится за NAT и Firewall, что позволяет применять к трафику этого клиента другие правила обработки трафика, шейпер и т.п..

    Способ 2, при помощи создания моста между интерфейсами (Bridge).

    Допустим, порт, подключенный к провайдеру, это ether1-gateway, а клиент подключен через порт ether2-local.

    /interface bridge
    add name=Bridge1
    /interface bridge port
    add bridge=Bridge1 interface=ether1-gateway
    add bridge=Bridge1 interface=ether2-local
    В этом примере мы создали мост между внешним и внутренним интерфейсами.
    Далее нужно просто назначить на нужном локальном устройстве "белый" IP-адрес, в качестве шлюза указать шлюз провайдера (а не Микротик), DNS-серверы либо провайдерские, либо открытые альтернативные. Всё это можно сделать как вручную, так и назначить клиенту при помощи DHCP.

    Среди преимуществ данного способа можно назвать то, что получаем "белый" IP прямо на клиентском устройстве.
    Среди недостатков то, что мы выпускаем клиента практически напрямую в Интернет, на его трафик не действуют Simple Queues, а настройки NAT, Firewall (и некоторые другие) необходимо делать отдельные от общих правил, действующих на остальную сеть.

    источник - http://www.lan23.ru/FAQ-Mikrotik-RouterOS-part2.html
     
  19. Mook_34

    Mook_34 Участник

    Добрый день.
    Сделал по Способ 2,но все равно у клиента при выходе в интернет пишет не правильный внешний ip адрес .
    Показывает мой адрес . Как настроить nat если настройки сделал по способу 2?
     
  20. Илья Князев

    Илья Князев Администратор Команда форума

    Я бы копал в направлении local-proxy-arp как более безопасного способа.