Сравнение Закладки
Бесплатно по России:
8 800 700 97 66
Санкт-Петербург:
8 812 385 40 55
Перезвонить вам?

NAT. Часть 4

В этой части статьи мы рассмотрим зачем нужен Netmap. Рассмотрим на примере реальной задачи.

Итак, Netmap или 1:1 NAT позволяет преобразовывать адреса одной сети в адреса другой сети 1:1.

Т.е. вы можете преобразовать сеть 10.168.0.0/24 в 192.168.0.0/24

При этом, у Вас каждый адрес одной сети, будет соответствовать адресу другой сети. Иными словами будет выполнятся условие:

  • 10.168.0.1=192.168.0.1 … 10.168.0.254=192.168.0.254

Конфигурация такого типа является достаточно редкой, но иногда без нее не обойтись.

Условия задачи

У клиента есть два офиса в разных частях города.В каждом офисе локальная сеть имеет локальную сеть 192.168.0.0/24. В каждом офисе часть адресов дублируется. Например, файловый сервер в обоих офисах имеет адрес 192.168.0.2.

Очень много устройств подключено непосредственно по IP-адресам.

Задача:

Объединить обе сети посредством VPN не меняя внутреннюю адресацию.

Общая схема cети:

Общая схема сети

Что имеем:

  • одинаковая адресация обоих сетей не дает нам использовать маршрутизацию.
  • дублирующиеся адреса не дают нам возможность использовать L2 VPN (EoIP или BCP). И это как раз тот случай, когда требуется 1:1 NAT

Основная идея решения этой задачи состояла в том, чтобы преобразовать адреса сети офиса 1 к подсети 192.168.1.0/24, а адреса офиса 2 к подсети 192.168.2.0/24
Тогда офис 1 мог обращаться к ресурсам офиса 2 по адресам 192.168.2.x, а офис 2 мог бы обращаться к ресурсам офиса 1 по адресам 192.168.1.х. При этом адреса ресурсов внутри офиса остались бы без изменений.

Схема работы

Итак рассмотрим эту схему.

Зеленая часть схемы преобразований.

  1. Пакет из офиса 1, с адреса 192.168.0.x, отправляется в офис 2 по адресу 192.168.2.x
  2. При обработке на маршрутизаторе 1, адрес отправителя пакета меняется на 192.168.1.x (src-nat)
  3. При поступлении пакета на маршрутизатор 2, адрес назначения пакета меняется на 192.168.0.х (dst-nat)

Синяя часть схемы преобразований является зеркальным отображением зеленой.

  1. Пакет из офиса 2, с адреса 192.168.0.х, оправляется в офис 1 по адресу 192.168.1.х
  2. При обработке на маршрутизаторе 2, адрес отправителя пакета меняется на 192.168.2.х (src-nat)
  3. При поступлении пакета на маршрутизатор 2, адрес назначения пакета меняется на 192.168.0.х (dst-nat)

Таким образом:

  1. Все хосты офиса 1, считают что локальная сеть офиса 2 имеет адреса из подсети 192.168.2.0/24, а их собственная локальная сеть имеет адреса в подсети 192.168.0.0/24
  2. Все хосты офиса 2, считают что локальная сеть офиса 1 имеет адреса из подсети 192.168.1.0/24, а их собственная локальная сеть имеет адреса в подсети 192.168.0.0/24

Настраиваем.

Маршрутизатор офиса 1

  • /ip firewall nat add action=netmap chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.0.0/24\ to-addresses=192.168.1.0/24 add action=netmap chain=dstnat dst-address=192.168.1.0/24 src-address=192.168.2.0/24\ to-addresses=192.168.0.0/24

Маршрутизатор офиса 2 имеет зеркальную конфигурацию

  • /ip firewall nat add action=netmap chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24\ to-addresses=192.168.2.0/24 add action=netmap chain=dstnat dst-address=192.168.2.0/24 src-address=192.168.1.0/24\ to-addresses=192.168.0.0/24

Для окончательной шлифовки добавим маршруты (само построение VPN в тему статьи не входит.

Маршрутизатор офиса 1

  • /ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.10.2

Маршрутизатор офиса 2

  • /ip route add distance=1 dst-address=192.168.1.0/24 gateway=10.10.10.1

В этой части статьи мы узнали зачем нужен 1:1 NAT и в каких случаях использовать эту конфигурацию.

Технический директор Илья Князев (тренер Mikrotik, MTCNA, MTCWE, MTCTCE)

Первая часть настройки NAT

Вторая часть настройки NAT

Третья часть настройки NAT

Пятая часть настройки NAT

 
7613
Комментарии (8)

Саша29.05.2016

Проясните один нюанс, когда пингуешь удаленную сеть с роутера, то подмена адреса не происходит и соответственно пинги не идут. Очень долго долбался пока не понял, что и как. С комппьютера в одной локальной сети - пингуется. Это я так понимаю, что связанно с внутренней маршрутизацей роутера. А более детально не могли бы ткнуть где суть?

ответить
Сменить картинку

Илья Князев23.06.2016

Пишите на форум. Там и конфигурацию покажете

ответить
Сменить картинку

Nikita24.03.2016

Третяк Сергей aka Erazel
так вы пройдите курсы и вам будет все понятно.

ответить
Сменить картинку

Nikita24.03.2016

Третяк Сергей aka Erazel
так вы пройдите курсы и вам будет все понятно.

ответить
Сменить картинку

Третяк Сергей aka Erazel04.11.2015

А другие action будут разжеваны? Вот только вчера обратил внимание на same, может и по других пройтись.
А то всюду тупая перепечатка из Вики микротика. Было бы неплохо если бы технически подкованый человек провел ликбез по этим механизмам ;)

ответить
Сменить картинку

Илья Князев10.11.2015

Same это src-nat в диапазон адресов. Например когда у вас на WAN более одного адреса.
Если нет информации в wiki - смотрите доки по iptables (netfilter)

ответить
Сменить картинку

Третяк Сергей aka Erazel04.11.2015

А другие action будут разжеваны? Вот только вчера обратил внимание на same, может и по других пройтись.
А то всюду тупая перепечатка из Вики микротика. Было бы неплохо если бы технически подкованый человек провел ликбез по этим механизмам ;)

ответить
Сменить картинку

Дмитрий05.08.2015

Большое спасибо.
Ждем новых статей!!

ответить
Сменить картинку
Комментировать
Сменить картинку
все события