Может , ли микротик транслировать нат в режиме прозрачный мост?
Микротик ни имеет ip адрес в ин и в аут интерфейсе. Проходящий
трафик через микротик с ядро на пограничный маршрутизатор транслировалась.
И в этом реальные ip адреса не транслировались а левые транслировались.
Точна такая схема работает с другим оборудованием.
> Может , ли микротик транслировать нат в режиме прозрачный мост?
> Микротик ни имеет ip адрес в ин и в аут интерфейсе. Проходящий
> трафик через микротик с ядро на пограничный маршрутизатор транслировалась.
> И в этом реальные ip адреса не транслировались а левые транслировались.
> Точна такая схема работает с другим оборудованием.расскажите пожалуйста подробнее схему, как будут обрабатываться пакеты и почему железка должна будет себя повести именно так, как вы описываете. Я имею ввиду следующее:
"пакет от клиентского компьютера будет получен на интерфейс Х микротика, потому что он туда будет отправлен ... , микротик посчитает его нужным к обработке, потому что.... и сделает с ним [такую-то трансляцию]". Ну и про ответные пакеты не забудьте, а то соединение не установится.
------
Бесконечны лишь Вселенная и [...]. Хотя насчет первой у меня имеются сомнения. Эйнштейн.
>[оверквотинг удален]
>> трафик через микротик с ядро на пограничный маршрутизатор транслировалась.
>> И в этом реальные ip адреса не транслировались а левые транслировались.
>> Точна такая схема работает с другим оборудованием.
> расскажите пожалуйста подробнее схему, как будут обрабатываться пакеты и почему железка
> должна будет себя повести именно так, как вы описываете. Я имею
> ввиду следующее:
> "пакет от клиентского компьютера будет получен на интерфейс Х микротика, потому что
> он туда будет отправлен ... , микротик посчитает его нужным к
> обработке, потому что.... и сделает с ним [такую-то трансляцию]". Ну
> и про ответные пакеты не забудьте, а то соединение не установится.Цель такой, в локальной сети есть реальные и не реальные ip адреса, не реальные ip адреса в локальной сети должны работать без НАТ-а , только при выходе интернету они должны натироваться. Реальные ip адреса выходят без не каких трансляции. Eudemon Firewall от Huawei выполняет эту задачу. Он у меня работает в активном линке. А вот в Микротика что та не получается.
Скажем что интерфейс 1 смотрит на локал а 2 на инет. Создаем бридж1 и включаем интерфейсов на бридж1. Реальный ip адреса проходящие через бридж1 должны проходить без не каких изменение , а не реальные адреса 192.168.55.0/24 транслировались на диапазон ip адресов (69.69.69.0/28).
> ------
> Бесконечны лишь Вселенная и [...]. Хотя насчет первой у меня имеются сомнения.
> Эйнштейн.
>[оверквотинг удален]
> адреса выходят без не каких трансляции. Eudemon Firewall от Huawei выполняет
> эту задачу. Он у меня работает в активном линке. А вот
> в Микротика что та не получается.
> Скажем что интерфейс 1 смотрит на локал а 2 на инет. Создаем
> бридж1 и включаем интерфейсов на бридж1. Реальный ip адреса проходящие
> через бридж1 должны проходить без не каких изменение , а не
> реальные адреса 192.168.55.0/24 транслировались на диапазон ip адресов (69.69.69.0/28).
>> ------
>> Бесконечны лишь Вселенная и [...]. Хотя насчет первой у меня имеются сомнения.
>> Эйнштейн.Ну и сделайте 2 VLAN. Один для 192.168.55.0/24 второй для внешних IP. Все равно общение между этими IP подсетями будет происходить через маршрутизатор. Соответственно для трафика 192.168.55.0/24 -> {внешние IP} не натить ничего, а для остального трафика с 192.168.55.0/24 - натить. Для внешних IP вообще ничего не натить.
>[оверквотинг удален]
>> через бридж1 должны проходить без не каких изменение , а не
>> реальные адреса 192.168.55.0/24 транслировались на диапазон ip адресов (69.69.69.0/28).
>>> ------
>>> Бесконечны лишь Вселенная и [...]. Хотя насчет первой у меня имеются сомнения.
>>> Эйнштейн.
> Ну и сделайте 2 VLAN. Один для 192.168.55.0/24 второй для внешних IP.
> Все равно общение между этими IP подсетями будет происходить через маршрутизатор.
> Соответственно для трафика 192.168.55.0/24 -> {внешние IP} не натить ничего, а
> для остального трафика с 192.168.55.0/24 - натить. Для внешних IP вообще
> ничего не натить.Микротик будет натить сети 192.168.55.0/24 если ихний шлюз находиться не на микротике ?
>>>> Бесконечны лишь Вселенная и [...]. Хотя насчет первой у меня имеются сомнения.
>>>> Эйнштейн.
> Микротик будет натить сети 192.168.55.0/24 если ихний шлюз находиться не на микротике
> ?Вы термин прозрачность вообще как понимаете?
С какого перепугу микротик вообще должен трогать пакеты этих сетей?Сделайте нормальную сеть с нормальными раутерами и забудьте про "прозрачность и мосты".
>[оверквотинг удален]
>>>> ------
>>>> Бесконечны лишь Вселенная и [...]. Хотя насчет первой у меня имеются сомнения.
>>>> Эйнштейн.
>> Ну и сделайте 2 VLAN. Один для 192.168.55.0/24 второй для внешних IP.
>> Все равно общение между этими IP подсетями будет происходить через маршрутизатор.
>> Соответственно для трафика 192.168.55.0/24 -> {внешние IP} не натить ничего, а
>> для остального трафика с 192.168.55.0/24 - натить. Для внешних IP вообще
>> ничего не натить.
> Микротик будет натить сети 192.168.55.0/24 если ихний шлюз находиться не на микротике
> ?---bridge1---
ISP ----- 1 mikrotik 2----примерно так должно получиться
создаем брижд
в бридж засовываем порт ISP и свой локальный порт
на брижд назначаете одновременно два адреса 192.168.55.1/24 и 69.69.69.2/28
в правилах Firewall - Nat говорите что сеть 192.168.55.0/24 маскарадим
а белые ИП будут ходить напрямую через бриджно это откровенная дыра в безопасности вашей сети т.к. локальный трафик "поплывет" в сторону ISP - реальный косой костыль
Рассмотрите схему с DMZ зоной на микротике и не парьтесь, если нужна помощь могу помочь, но нужно корректное тех.задание