Mikrotik раздача белых ip

Mikrotik — Выдача реальных (белых) IP адресов пользователям

Пару раз в месяц получаю письма с вопросами: Мне провайдер выдал N-количество белых IP-адресов. Как их раздать некоторым моим пользователям, но так чтобы остальные пользовались NAT-ом.

На самом деле микротик от части так не умеет 🙁 Но используя некоторые грабли и костыли все таки выдать такие адреса можно.

Наверное самый красивый и более-менее простой способ. Но в некоторых случаях неприемлемый за счет слияния сетей.

Поднимаем брижд и в качестве портов указываем интерфейс провайдера и локальной сети.

/interface bridge add name=main
/interface bridge port add bridge=main interface=INET

/interface bridge port add bridge=main interface=LAN

Разрешим прохождение пакетов не напрямую а через /ip firewall

/interface bridge settings set use-ip-firewall=yes

Теперь можно назначить ip адрес микротику используя в качестве интерфейса мост «main»

Так же можно натить трафик с серых адресов используя:

/ip firewall nat add action=masquerade chain=srcnat disabled=no out-interface=main

Ну и естественно назначать машинам на интерфейсе LAN белые адреса которые вам выдал провайдер и контроллировать прохождение этого трафика через /ip firewall.

Недостатком способа является тот факт что провайдер теперь может видеть всю вашу сеть LAN т.к. интерфейсы объеденены в мост, так же весь Broadcast, multicast трафик распостраняется в обе стороны.

/interface bridge filter
/ip firewall filter

Позволят устранить этот недостаток.

Для примера, провайдер выдал нам диапазон: 78.23.17.0/29

В данной подсети его шлюз равен 78.23.17.1 остальные адреса выделены нам: 78.23.17.2-78.23.17.6

Адрес 78.23.17.2/29 мы оставим для нужд самого микротика и последующего NAT. Итого имеем 4 свободных адреса.

Делаем NAT для адресов которые не попали в список «netmap_ip»

/ip firewall nat add action=masquerade chain=srcnat src-address-list=!netmap_ip disabled=no out-interface=INET

NetMap адресов которым будет замаплен белый адрес:

/ip firewall nat add chain=srcnat src-address=192.168.0.3 action=netmap to-addresses=78.23.17.3
/ip firewall nat add chain=dstnat dst-address=78.23.17.3 action=netmap to-addresses=192.168.0.3

/ip firewall nat add chain=srcnat src-address=192.168.0.4 action=netmap to-addresses=78.23.17.4
/ip firewall nat add chain=dstnat dst-address=78.23.17.4 action=netmap to-addresses=192.168.0.4

/ip firewall nat add chain=srcnat src-address=192.168.0.5 action=netmap to-addresses=78.23.17.5
/ip firewall nat add chain=dstnat dst-address=78.23.17.5 action=netmap to-addresses=192.168.0.5

/ip firewall nat add chain=srcnat src-address=192.168.0.6 action=netmap to-addresses=78.23.17.6
/ip firewall nat add chain=dstnat dst-address=78.23.17.6 action=netmap to-addresses=192.168.0.6

Ну и внесем их в список для того чтобы они не попали в маскарадинг:

/ip firewall address-list add list=»netmap_ip» address=192.168.0.3
/ip firewall address-list add list=»netmap_ip» address=192.168.0.4
/ip firewall address-list add list=»netmap_ip» address=192.168.0.5
/ip firewall address-list add list=»netmap_ip» address=192.168.0.6

Таким образом мы получили двойные адреса для пользователей, но в большой сети их будет видно по белым адресам и соответственно все их порты. Так же с помощью Netmap можно мапить целые диапазоны но это только по документации, на самом же деле winbox просто не дает вписать диапазон вида 192.168.0.2-192.168.0.254, только так 192.168.0.0/24 а это нам не совсем подходит.

При использовании материалов ссылка на автора и источник ОБЯЗАТЕЛЬНЫ!

Автор: Григорьев Дмитрий (Inlarion) (C) 26.06.2013

Источник

Mikrotik раздача белых ip

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

Как передать белый ip-адрес на другой микротик?

Есть Микротик с несколькими белыми ip на входе, т.е. 1.1.1.1/29
как передать один адрес на другой микротик, который подключен к нему напряму?
Чтобы один адрес был полностью его.
так же еще один на другое устройство в сети ?

Добавил схему:

Свитч = второй микротик, еще один девайс.

Либо доп сеть /30 и через нее маршрутизировать вашу /29

Что за любовь к мозахизму блин — прокидывание ИП тем более из бродкастной подсети на какие то там девайсы через микротик? .

Вариант первый:
Берете тупой свитч, втыкаете в него шнурок провайдера, и забираете на микротиках своих адреса спокойно.

Вариант второй:
Берете доп сеть /30 у провайдера, настраиваете ее на микротике, и просите смаршрутизировать сеть /29 через эту сеть /30

Я решил такую задачу именно доп сетью /30 и маршрутизацией
У вас все-таки приходит в микротик то витуха ж?

Вам все верно посоветовали. Или через бридж на маршрутизаторе или доп сеть минимум /30 (без неё 1.1.1.184/29 на две не поделите).

Как вариант, можете и автономную сеть себе заказать 🙂

Я решил такую задачу именно доп сетью /30 и маршрутизацией
У вас все-таки приходит в микротик то витуха ж?

А в чём проблема почти физически сделать перед роутерами «удлинитель» в виде бриджа/свитча/хаба?
Это же проще и элементарно + быстро (по времени реализации).

У меня в конторе вообще отдельно стоит свитч(управляемый) под разные специфические каналы и также для провайдеров,
на этом свитче я их принимаю (на физическо-канальном уровне), «обворачиваю» виланами каждый такой канал/провайдера и всё,
а дальше нужный вилан(ы) прогоняю до нужного направления в стойках (на порт сервера) и/или на виртуалки,
или до нужного роутера (их тоже не один).

P.S.
Возьмите в аренду у провайдера на его оборудовании ещё один физический порт (в рамках Вашего текущего договора) и
прямо с этого второго порта подайте второй адрес на второй роутер (тоже так делали и не раз).

Допустим, провайдер выдает вам сеть 1.1.1.0/30 (1.1.1.1 — шлюз, 1.1.1.2 — ваш маршрутизатор на ether1)

И у вас есть ИП от провайдера 2.2.2.0/29 (с 2.2.2.1 по 2.2.2.6 включительно, на ether2 ставите адрес 2.2.2.1 — это будет шлюз для вашей сети /29)

У провайдера появляется запись в маршрутизации
2.2.2.0/29 gateway 1.1.1.2

Т.е. все что у вас за ether2 — вы можете использовать как хотите, хоть свитчи ставить (бридж в микротике настраивать), хоть делить свою сеть /29 на две по /30 на ether2 ether3
Вроде понятнее должно быть 🙂

Источник

Mikrotik раздача белых ip

Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов

Белый IP для клиента, по-взрослому

Доброго времени суток, Гуру!
Задача:
На входе MikroTik CCR есть пул белых IP типа 51.52.53.54/28
Клиенту нужно отдать 51.52.53.ХХ/30, то есть нужен «честный IP, адрес/маска/шлюз»

Про «/ip firewall nat add action=dst-nat chain=dstnat..» знаю и даже реализовал уже пару адресов из пула,
но это подмена адресов. Клиент все равно получает мои ЛАНовский адреса..

А как по-честному? Мысли какие нибудь есть?

если клиент по VPN то просто ip выдать /32 + в нате «add action=masquerade chain=srcnat src-address=!51.52.53.0/24

или только VLAN

чтоб не натило белые адреса
/ip firewall nat add action=masquerade chain=srcnat comment=accept_list src-address=!51.52.53.0/24 src-address-list=accept_list
1 ip
/ip firewall address-list add address=51.52.53.102 comment=51.52.53.102_accept list=accept_list
или блок ip/30
/ip firewall address-list add address=51.52.53.100/30 comment=51.52.53.100/30_accept list=accept_list
создать VLAN у меня интерфейс «SFP3»
/interface vlan add interface=sfp3 l2mtu=1586 name=vlan1 vlan-id=1
добавить ip к «vlan1»
/ip address add address=51.52.53.101/30 comment=W-IP interface=vlan1 network=51.52.53.100

ВАЖНОООО первым делом проверьте что вы есть в этом адрес листе . и DROP обязательно последним правилом ))) иначе вход только по маку можно будет осуществить.
/ip firewall filter add chain=forward src-address-list=accept_list
/ip firewall filter add chain=forward dst-address-list=accept_list
/ip firewall filter add action=drop chain=forward

Источник

backnet — ответы на простые вопросы и не очень

Mikrotik несколько ip адресов на одном wan интерфейсе

Mikrotik несколько ip адресов на wan интерфейсе и выдача белых ip адресов сотрудникам.

Возникла задача, выпустить одного из пользователей не через nat и общий ip, а сделать ему белый внешний, чтобы и вход и выход был через него.

Провайдер выдал нам пачку ip адресов из одной сети к примеру 1.1.1.2 по 1.1.1.х ….

Через 1.1.1.2 выходят все, а через 1.1.1.3 нужно выпустить локальный айпи (например 192.168.0.3).

Эту часть можно пропустить если уже настроена.
Назначаем IP адреса:

/ip address add address=1.1.1.2/29 interface=WAN

/ip address add address=1.1.1.3/29 interface=WAN

/ip address add address=192.168.0.1/24 interface=LAN

IP 1.1.1.2 оставляем для микротика и для всех кто будет ходить через NAT

Делаем (или правим) NAT для IP которые будут работать в обход, исключаем белые ip «white_ip»

/ip firewall nat add action=masquerade chain=srcnat src-address-list=!white_ip disabled=no out-interface=WAN

Далее список NetMap адресов которым «привязываем» белые
/ip firewall nat add chain=srcnat src-address=192.168.0.3 action=netmap to-addresses=1.1.1.3

/ip firewall nat add chain=dstnat dst-address=1.1.1.3 action=netmap to-addresses=192.168.0.3

И заключительная часть, добавляем в white_ip наши VIP адреса:

/ip firewall address-list add list=»white_ip» address=192.168.0.3

Источник

MikroTik проброс портов и настройка NAT для доступа в интернет

Из этой статьи мы узнаем, как настроить на MikroTik проброс портов и NAT (трансляция сетевых адресов) для доступа хостов локальной сети в интернет. Для примера выполним проброс портов через туннель между двумя MikroTik. А также продемонстрируем реализацию перенаправление трафика на маршрутизатор.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Поговорим о настройке Masquerade, выясним, когда рекомендуется использовать Srcnat вместо Masquerade. Рассмотрим пример, где объединим две разные сети, IP-адреса которых совпадают, с помощью Netmap.

MikroTik NAT. Общая информация

NAT (Network Address Translation) – преобразование сетевых адресов. Главное назначение NAT – это экономия белых IP-адресов и повышение безопасности сети за счет ограничения обращений к внутренним хостам LAN снаружи и возможности скрыть сервисы с помощью подмены портов.

«Классический» NAT предполагает, что количество одновременных выходов в интернет из локальной сети за “натом” ограничено количеством свободных портов TCP/UDP. Благодаря этому множество устройств может одновременно выйти в интернет через один белый IP.

По умолчанию для LAN сети, находящейся за “натом”, доступ в интернет есть, а из глобальной сети в NAT-сеть попасть нельзя. За исключением случаев проброса портов.

Настройка NAT на MikroTik подразделяется на два типа:

Destination NAT – изменение IP-адреса назначения и выполнение обратной функции для ответа. Преобразование адреса получателя называется dst-nat;
Source NAT – изменение IP-адреса источника и выполнение обратной функции для ответа. Преобразование адреса источника называется src-nat.

Все остальные действия – производные от dst-nat и src-nat.

NAT обрабатывает только первый пакет соединения (connection-state=new).

Схематично принцип работы NAT можно изобразить так:

Принцип работы MikroTik NAT

Destination NAT

Цепочка Dstnat при настройке NAT на MikroTik служит для изменения IP-адреса и/или порта назначения и выполнения обратной функции для ответа.

Практически применяется в следующих случаях:

Чтобы выполнить на MikroTik проброс портов в локальную сеть, для доступа извне.
Перенаправление любого DNS-трафика через маршрутизатор.

Стандартные действия возможные для цепочки dst-nat:

dst-nat – преобразование адреса и/или порта получателя;
redirect – преобразование адреса и/или порта получателя на адрес маршрутизатора.

Давайте практически разберем, как выполняется настройка NAT на MikroTik для цепочки dstnat.

Проброс портов на MikroTik

Пример проброса порта для RDP

Как говорилось ранее, в MikroTik проброс портов делается при помощи создания правил для цепочки dstnat. В качестве примера выполним проброс порта RDP соединения для доступа к внутреннему компьютеру локальной сети.

Так как стандартный порт 3389 для RDP подключения является известным и часто подвергается атакам, то пробросить его напрямую будет не очень хорошей идеей. Поэтому скроем данный сервис с помощью подмены порта.

Для этого откроем:

IP=>Firewall=>NAT=> “+”.

На вкладке “General” укажем цепочку правил, протокол, протокол подключения и входящий интерфейс:

Chain: dstnat – цепочка правил для IP-адреса назначения;
Protocol: 6 (tcp) – протокол;
Dst. Port: 47383 – номер порта по которому будем обращаться к роутеру;
In. Interface – входящий WAN-интерфейс (у меня это ether1, у вас может быть другой).

При пробросе портов на MIkroTik надо обязательно указать входящий интерфейс. Иначе возможны проблемы.

Следующим шагом откроем вкладку “Action”:

Для поля “Action” указываем значение dst-nat;
To Addresses – указываем внутренний IP хоста, к которому хотим получить доступ по RDP;
To Ports – порт на который будут перенаправляться запросы.

Как итог все запросы, приходящие на внешний IP роутера по порту 47383, будут пересылаться на внутренний адрес локальной сети 192.168.12.100 порт 3389 (RDP).

Проброс порта на MikroTik для видеонаблюдения

Следующим примером мы постараемся показать, как настроить на MikroTik проброс портов для видеосервера с установленным ПО “Линия”.

Проброс порта на MikroTik для видеорегистратора напрямую, настраивается аналогичным образом.

Предположим, что есть Видеосервер с ПО “Линия” к которому необходимо получить доступ извне. Для начала откроем настройки программного обеспечения “Линия”, чтобы узнать порт Веб-сервера:

Чтобы получить доступ к видеосерверу, необходимо пробросить порт 9786. Откроем Winbox и добавим правило:

Распространенной ошибкой при пробросе портов на MikroTik является то, что не указывают входящий интерфейс.

Откроем пункт меню “Action”:

Указываем действие dst-nat;
To Addresses – внутренний IP видеосервера или видеорегистратора.

Проброс портов для нескольких внешних IP

Чтобы сделать проброс портов для нескольких WAN, то необходимо создать Interface List и добавить в него нужные интерфейсы. Далее укажем созданный лист в параметре In. Interface List. Покажем это на примере:

Создадим новый лист для интерфейсов “ISP”:

Interfaces;
Interface List => Lists => “+”.

Name: ISP – произвольное имя для Interface List.

Следующим шагом добавим нужные WAN интерфейсы:

Повторить данный шаг для всех WAN-интерфейсов.

Модернизируем ранее созданное правило проброса порта для RDP соединения, указав лист “ISP” для настройки In. Interface List:

Так можно настроить проброс портов на MikroTik для нескольких WAN.

Как защитить проброшенные порты вы можете узнать изучив статью MikroTik настройка Firewall.

Перенаправление трафика на маршрутизатор

С помощью действия redirect возможно перенаправление трафика на Микротик. Практическое применение данного действия мы рассмотрим, выполнив переадресацию запросов DNS.

Перенаправим весь DNS-трафик на маршрутизатор. Следовательно, пользователи компьютеров в LAN, какие бы настройки DNS ни указывали локально, будут считать, что им отвечает DNS-сервер, которому сделан запрос, но фактически ответ будет приходить от маршрутизатора.

Для этого выполним настройку NAT на MikroTik следующим образом.

Откроем: IP=>Firewall=>NAT=> “+”.

Перейдем в пункт меню “Action” и укажем действие redirect:

MikroTik проброс портов по туннелю L2TP

Рассмотрим пример проброса портов между двумя устройствами Mikrotik, которые объединены туннелем L2TP. Есть два роутера, один из них выходит в интернет по «серому IP», а второму провайдер выдает «белый IP». Попробуем пробросить порт до компьютера, который находится за роутером с приватным адресом, через Микротик с публичным IP-адресом. Чтобы лучше понять задачу, нарисуем схему:

Нам нужно пробросить порт до компьютера (WS01), через GW1.

Для этого зайдем на маршрутизатор GW2 и выполним маркировку соединений для «Input»:

IP => Firewall => Mangle => «+».

Переходим во вкладку «Action»:

Аналогичным образом промаркируем соединения цепочки «forward»:

Пункт меню «Action»:

Следующим шагом, на основании соединений сделаем маркировку маршрутов:

Маркировка маршрута цепочки «prerouting»:

В итоге правила «Mangle» у нас должны выглядеть так:

Осталось добавить маршрут по умолчанию для пакетов маркированных как пришедшие из туннеля. Для этого открываем:

IP => Routes => «+».

Настройка GW2 закончена. Переходим к конфигурированию GW1, выполнив проброс порта до хоста 192.168.13.48:

Настройка проброса порта на MikroTik через туннель L2TP закончена.

Source NAT

Основное назначение Source NAT MikroTik – изменение IP-адреса и/или порта источника и выполнение обратной функции для ответа.

Самое распространенное применение – это выход множества ПК в интернет через один белый IP-адрес.

Стандартные действия для цепочки src-nat:

src-nat – преобразование адреса и/или порта отправителя;
masquerad – преобразование адреса отправителя на адрес исходящего интерфейса и порта на случайный порт.

Настройка MikroTik NAT для доступа в интернет

Настройка NAT для статического WAN

Если мы получаем статический IP от провайдера, то рекомендуем для настройки NAT на MikroTik использовать правило src-nat. Это позволит устройствам из LAN выходить в глобальную сеть интернет. Откроем:

IP=>Firewall=>NAT=> “+”.

Chain: srcnat – указываем цепочку;
Out. Interface – задаем исходящий WAN-интерфейс.

Откроем вкладку “Action”:

Action: src-nat;
To Addresses – Внешний IP WAN интерфейса.

Настройка NAT для динамического WAN

Если мы получаем динамический IP от провайдера, то необходимо использовать правило Masquerade.

Masquerade – это частный случай src-nat для ситуаций, когда внешний IP-адрес может динамически изменяться.

Тогда настройка NAT на MikroTik будет выглядеть следующим образом:

Правило src-nat/masquerade должно стоять первым в списке.

Использование masquerade вместо src-nat может вызвать проблемы:

С телефонией;
Большая нагрузка ЦП, если создано много PPPoE соединений.
Проблемы с установкой соединения при 2 и более WAN-каналов.

Рекомендуем, при получении статического IP от провайдера, использовать правило scr-nat.

Если у вас несколько внешних интерфейсов, то рекомендуется добавлять условие, выделяя трафик по адресу источника:

Где Src. Address – локальная подсеть.

NAT loopback (Hairpin NAT)

Настройка Hairpin NAT MikroTik предназначена, чтобы организовать доступ из LAN к ресурсу в LAN по внешнему IP-адресу WAN. Чтобы подробно описать данную настройку и разобраться в проблеме, рассмотрим пример:

Если хост локальной сети (Ws01) обращается к серверу, находящемуся в этой же сети по внешнему IP, то сервер, получив запрос, зная, что данное устройство находится в одной LAN с IP 192.168.12.10 отвечает ему напрямую. Хост не принимает данный ответ, так как не обращался к серверу по айпи 192.168.12.100.

Правило Hairpin NAT MikroTik для статического WAN

Чтобы избежать проблему, описанную выше, выполним настройку hairpin NAT на MikroTik. При получение статического айпи от поставщика интернет-услуг, советуем использовать правило Src-nat:

Для значений Src. Address и Dst. Address указываем локальную подсеть.

Далее открыв вкладку “Action”:

Действие: src-nat;
To Addresses – указываем свой WAN-IP

NAT Loopback при динамическом WAN

При получении динамического IP-адреса от провайдера, для правила NAT loopback нужно использовать masquerade:

Выбираем цепочку srcnat;
Для значений Src. Address и Dst. Address указываем локальную подсеть;
Out. Interface – назначаем bridge;

Затем откроем пункт меню “Action”:

Назначим действие(Action) – маскарад.

Поставим созданное правило вторым:

При этом необходимо учитывать то, что при этом проброс портов должен быть выполнен с параметром dst-address.

Покажем пример такого правила:

На этом настройка Hairpin NAT на MikroTik выполнена. Теперь мы сможем обращаться к внутренним ресурсам сети по внешнему IP.

Netmap

Действие Netmap служит для создания связки из IP-адресов (1:1 NAT). На практике применяется для решения следующих задач:

сделать IP-адрес или группу адресов доступными из интернета по белому IP. (принцип 1:1);
объединить разные сети с одинаковыми адресами сетей.

Далее мы покажем примеры конфигурации MikroTik реализующие задачи, описанные выше используя netmap.

Проброс всех портов и протоколов на локальный IP

Для случая, когда нам нужно на MikroTik пробросить все порты и сервисы до компьютера, который находится за “натом”, чтобы обращаться к нему по белому IP, воспользуемся действием Netmap:

На вкладке “Action”, выберем действие netmap и укажем айпи хоста, доступ к которому хотим получить:

Как объединить разные сети с одинаковой IP-адресацией

Предположим, что у нас есть два филиала с одинаковыми адресами подсетей 192.168.12.0/24, которые надо объединить.

Чтобы избежать проблем с маршрутизацией нам необходимо:

Филиал № 1 подменить сеть 192.168.12.0/24 на 192.168.30.0/24;
Филиал № 2 подменить сеть 192.168.12.0/24 на 192.168.40.0/24.

Для этого откроем конфигурацию GW1 (Филиал №1) и добавим правила:

IP=>Firewall=>NAT=> “+”.

Srcnat – цепочка источника;
192.168.12.0/24 – локальная подсеть;
192.168.40.0/24 – подсеть удаленного филиала.

Далее открыв пункт меню “Action”, выберем действие netmap:

Action: netmap – выбираем действие;
To Addresses: 192.168.30.0/24 – Подсеть на которую подменяем текущую адресацию.

Теперь создадим цепочку dstnat:

Разместим эти правила первыми:

Переходим к конфигурированию GW2 (Филиал №2).

Открыв меню NAT, добавляем цепочку srcnat:

Осталось добавить цепочку dstnat:

И также разместим эти правила первыми:

Также надо учитывать, что на обоих маршрутизаторах должна быть настроена маршрутизация до удаленной сети.

Надеюсь, статья была для вас полезна. Если остались вопросы, то пишите в комментарии, постараемся оперативно ответить.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Источник