Провайдер выделил подсеть

Тема в разделе "Вопросы начинающих", создана пользователем Mario, 2 фев 2018.

  1. Mario

    Mario Новый участник

    Объединяем филиалы.
    Для нашего филиала провайдер1 выделил внутреннюю сеть 10.10.131.192/26. Без интернета.
    СЕ 10.1.1.18/30
    РЕ 10.1.1.17/30
    Для доступа в интернет используется другой провайдер - провайдер2.
    Клиентам необходимо выдавать айпишники из диапазона 10.10.131.192/26 и они должны быть доступны из других филиалов. При этом нужно обеспечить доступ в интернет только для определенных айпишников.
    Оборудование - mikrotik rb951g

    Как я мыслю:
    провод от провайдера1 подключаю в 1-й порт микротика. На первом порту ставлю адрес 10.1.1.18, добавляю роут 0.0.0.0/0 10.1.1.17. Объединяю 1-3 порты в свич (1-й порт - мастер), 2-му порту присваиваю адрес 10.10.131.193 и настраиваю на нем DHCP. В порты 2 и 3 подключаю свичи, на которых сидят клиенты.

    Но вот как проще сделать раздачу инета?
     
  2. Mario

    Mario Новый участник

    Вот что у меня получилось на данный момент:
    в первый порт подключен 1-й провайдер
    /ip address add address=10.1.1.18/30 interface=ether1-vpn network=10.1.1.16

    2-4 порты сгруппированы в свич, который с wlan добавлен в бридж bridge1-local
    /ip address add address=10.10.131.193/26 interface=bridge1-local network=10.10.131.192

    5-й порт для выхода в интернет (pppoe).

    /ip route
    add distance=1 gateway=inet routing-mark=r-inet
    add distance=1 gateway=10.1.1.17

    Для адреса 10.10.131.198 разрешаем выход в инет
    /ip firewall address-list
    add address=10.10.131.198 list=allow-to-inet
    add address=0.0.0.0/8 list=bogons
    add address=10.0.0.0/8 list=bogons
    add address=100.64.0.0/10 list=bogons
    add address=127.0.0.0/8 list=bogons
    add address=169.254.0.0/16 list=bogons
    add address=172.16.0.0/12 list=bogons
    add address=192.0.0.0/24 list=bogons
    add address=192.0.2.0/24 list=bogons
    add address=192.168.0.0/16 list=bogons
    add address=198.18.0.0/15 list=bogons
    add address=198.51.100.0/24 list=bogons
    add address=203.0.113.0/24 list=bogons
    add address=224.0.0.0/3 list=bogons
    add address=10.10.131.193 list=allow-to-inet

    /ip firewall mangle
    add action=mark-routing chain=prerouting dst-address-list=!bogons \
    new-routing-mark=r-inet passthrough=yes src-address-list=allow-to-inet

    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=inet

    Но при таких настройках отсутствует доступ в интернет на самом микротике. Как это исправить? Добавление адреса микротика 10.10.131.193 в address-list не помогает.
     
  3. Вам нужна еще маркировка в цепочке OutPut для того чтобы пакеты с роутера уходили
     
    Mario нравится это.
  4. Mario

    Mario Новый участник

    А ведь точно! С такими правилом заработало:

    /ip firewall mangle add action=mark-routing chain=output dst-address-list=!bogons new-routing-mark=r-byfly passthrough=no

    Спасибо!