Помогите с идеей настройки маршрутизации

Тема в разделе "Вопросы начинающих", создана пользователем Федор Кубанец, 21 дек 2018.

  1. Федор Кубанец

    Федор Кубанец Новый участник

    Здравствуйте, коллеги!

    Прошу дать подсказку в реализации следующего механизма:

    На данный момент от провайдера приходит канал с подсетью 213.170.84.40/29, у провайдера шлюз 213.170.84.41, у маршрутизатора локальной сети (MikroTik) адрес 213.170.84.42, и несколько хостов (DMZ) включено параллельно с маршрутизатором с адресами ...43, 44, 45...

    Задача - пропускать весь трафик этих хостов через Firewall. Есть договоренность с провайдером, он готов маршрутизировать всю подсеть через серую подсеть, например, 172.16.1.0/24.
    Таким образом, на внешнем интерфейсе маршрутизатора я поднимаю серый адрес 172.16.1.2 для маршрутизации, еще на одном интерфейсе подниму адрес 213.170.84.41 в качестве шлюза для хостов в DMZ. А вот как мне сделать, чтобы вся локальная сеть выходила через NAT с адресом 213.170.84.42, я не могу сообразить. Чем мне для этого воспользоваться? Да, сразу предупреждаю, оставить канал так, как есть, и настроить NAT для каждого хоста в DMZ не предлагать, они должны на своих интерфейсах иметь родные белые адреса.

    P.S. Да, понятно, что локальная сеть подключена к третьему интерфейсу того же роутера. Допустим, пакет из локалки наружу влетел через Ether3 и после маршрутизации он должен попасть в NAT как исходящий пакет с интерфейса, на котором прописан адрес 213.170.84.42. Чтобы этот пакет ушел наружу к провайдеру, он должен влететь в интерфейс, на котором прописан адрес 213.170.84.41. Мне непонятно, как исходящий пакет сделать входящим в пределах одной подсети. Что-то мне подсказывает, что просто создать bridge и привязать к нему оба адреса не сработает.
     
    Последнее редактирование: 24 дек 2018
  2. Илья Князев

    Илья Князев Администратор Команда форума

    1. В принципе можно и без транзитной сети. Запихиваем порты WAN и DMZ в бридж. Ставим в Bridge Settings Use-ip-firewall=yes и фильтруем трафик между портами бриджа.
    2. У вас схема 172.16.1.0/30 на транзите и есть реальный адрес.
    Ну так и пишите правило
    /ip firewall nat
    chain=srcnat out-interface=wan src-address=!213.170.84.40/29 action=src-nat to-address 213.170.84.42
    Тогда роутер заменит адрес отправителя на 213.170.84.42 и все срастется.
     
  3. Федор Кубанец

    Федор Кубанец Новый участник

    Спасибо большое!
    По пункту 1 что имеется в виду под WAN и DMZ? WAN серая сеть снаружи, а DMZ моя 213.170.84.40? Тогда совсем непонятно, как они в одном бридже будут жить.
    По пункту 2 - в принципе понятно... а, просто не будет лишнего хопа на маршруте, а так все равно, с каким адресом источника пакет выйдет из роутера.
    Осталось только разобраться, как ловить новые соединения внутрь локалки в DSTNAT на адрес ...84.42, но это, наверно, сам додумаю.