https://ssl.opennet.dev/openforum/vsluhforumID6/754.html Приветствую ALL. Получили АС, настроили БГП на микротике. Выяснилось что адреса нашей АС не работают с целой кучей торрент трэкеров. Если обращаться с адреса на котором происходит стык с Ростелекомом, все работает, если с адресов нашей АС, то либо не открывется страница, либо не качает торрент файл. Решил эту проблему маркировкой пакетов и отправкой запроса на эти сайты с адреса ростелекома. На остальные сайты обращение идет с белых адресов выдаваемых нашим клиентам из диапазона нашей АС. Теперь уперлись в производительность микротика и решил наконец избавиться от него и перейти на кошку. Как настроить БГП и прочее, я знаю, но не могу пока придумать как организовать обращение на сайты торрентов(целый список) с подменой адреса нашей АС на адрес ростелекома. Предполагаю что можно попробовать с помощью НАТа, но не придумал пока как. Буду признателен за любую помощь.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/754.html#16 Fri, 17 May 2013 23:24:24 GMT &gt;&gt; А вообще как на кошке сделать правило НАТа которое будет натить на <br>&gt;&gt; определенный внешний адрес выходного интерфейса если обращение идет на определенные адреса <br>&gt;&gt; из списка?<br>&gt; ip nat inside source list NAT interface fast 0/0 overload <br>&gt; ip access list ext NAT <br>&gt; permit ip any host aa.bb.cc.dd <br>&gt; ну и интерфейсы пометить ip nat inside/outside<br><br>это я так понимаю аналог команды для кошки на микротике.<br>Спасибо, проверил аналогичное правило на микротике, работает.<br>add action=src-nat chain=srcnat comment="Lost Sites NAT rule" dst-address-list=Lost Sites out-interface=sfp1 src-address to-addresses=aaa.bbb.ccc.ddd<br> в адрес-лист Lost Sites заносим адреса всех сайтов которые не открываются.<br><br>В правиле для кошки описанном вами interface fast 0/0 это выходной интерфейс в сторону апстрима как я понимаю.<br><br> https://ssl.opennet.dev/openforum/vsluhforumID6/754.html#15 Fri, 17 May 2013 15:51:23 GMT &gt; А вообще как на кошке сделать правило НАТа которое будет натить на <br>&gt; определенный внешний адрес выходного интерфейса если обращение идет на определенные адреса <br>&gt; из списка?<br><br>Есть подозрение, что я использую схему, похожую на то что вы хотите сделать. Правда, у меня нет клиентов, так что нагрузка гораздо меньше.<br><br>Есть своя AS и два BGP-пира. От каждого пира есть небольшие блоки их адресов. Свои белые PI адреса мы используем для публикации собственных ресурсов, а в Интернет выходим через NAT с провайдерских адресов. Чтобы роутер использовал NAT-пул и маршрут по умолчанию на провайдера (а не full-view), настроен PBR по источнику (если определённый серый адрес, ставим next-hop на шлюз провайдера). Я думаю что вам есть смысл реализовать что-то подобное - политикой NAT'ить трафик до определённых сетей по ACL. Единственное, PBR - достаточно ресурсоёмкая вешь, под большой нагрузкой роутер может ощутимо просесть.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/754.html#14 Fri, 17 May 2013 14:45:24 GMT &gt; А вообще как на кошке сделать правило НАТа которое будет натить на <br>&gt; определенный внешний адрес выходного интерфейса если обращение идет на определенные адреса <br>&gt; из списка?<br><br>ip nat inside source list NAT interface fast 0/0 overload<br><br>ip access list ext NAT<br>permit ip any host aa.bb.cc.dd<br><br>ну и интерфейсы пометить ip nat inside/outside<br> https://ssl.opennet.dev/openforum/vsluhforumID6/754.html#13 Fri, 17 May 2013 14:24:49 GMT А вообще как на кошке сделать правило НАТа которое будет натить на определенный внешний адрес выходного интерфейса если обращение идет на определенные адреса из списка?<br> https://ssl.opennet.dev/openforum/vsluhforumID6/754.html#12 Fri, 17 May 2013 14:13:16 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; случае стоит изучить эту проблему совместно с Ростелекомовскими инженерами. Я не <br>&gt;&gt;&gt; знаю как обстоят дела с суппортом в Ростелекоме, но в других <br>&gt;&gt;&gt; конторах с которыми я работал инженеры при проблемах с бгп всегда <br>&gt;&gt;&gt; шли на встречу.<br>&gt;&gt; Дык я с ними общался, нормальные люди, утверждают ,что у них нет <br>&gt;&gt; фильтрации а куда стучаться не понятно.<br>&gt; ну у них может в Приморье и нет, зато вот в центральном <br>&gt; точно фильтруют.<br>&gt; попробуйте совместно с Приморским РТ пустить трафик через другого их апстрима. Но <br>&gt; они могут и отказать.<br><br>Стоит попробовать этот вариант. О результате сообщу :)<br> https://ssl.opennet.dev/openforum/vsluhforumID6/754.html#11 Fri, 17 May 2013 14:06:10 GMT &gt;&gt;&gt; Это я так понимаю на кошке? А где сейчас на микротике вашу <br>&gt;&gt;&gt; теорию проверить? параметра community не вижу. Есть фильтры.<br>&gt;&gt; моя теория в том что Ростелеком фильтрует. С Микротиком не подскажу. коммунити <br>&gt;&gt; это хоть какой-то способ повлиять на путь самостоятельно. Но в любом <br>&gt;&gt; случае стоит изучить эту проблему совместно с Ростелекомовскими инженерами. Я не <br>&gt;&gt; знаю как обстоят дела с суппортом в Ростелекоме, но в других <br>&gt;&gt; конторах с которыми я работал инженеры при проблемах с бгп всегда <br>&gt;&gt; шли на встречу.<br>&gt; Дык я с ними общался, нормальные люди, утверждают ,что у них нет <br>&gt; фильтрации а куда стучаться не понятно.<br><br>ну у них может в Приморье и нет, зато вот в центральном точно фильтруют. <br>попробуйте совместно с Приморским РТ пустить трафик через другого их апстрима. Но они могут и отказать.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/754.html#10 Fri, 17 May 2013 13:47:32 GMT &gt;&gt; Это я так понимаю на кошке? А где сейчас на микротике вашу <br>&gt;&gt; теорию проверить? параметра community не вижу. Есть фильтры.<br>&gt; моя теория в том что Ростелеком фильтрует. С Микротиком не подскажу. коммунити <br>&gt; это хоть какой-то способ повлиять на путь самостоятельно. Но в любом <br>&gt; случае стоит изучить эту проблему совместно с Ростелекомовскими инженерами. Я не <br>&gt; знаю как обстоят дела с суппортом в Ростелекоме, но в других <br>&gt; конторах с которыми я работал инженеры при проблемах с бгп всегда <br>&gt; шли на встречу.<br><br>Дык я с ними общался, нормальные люди, утверждают ,что у них нет фильтрации а куда стучаться не понятно.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/754.html#9 Fri, 17 May 2013 13:42:13 GMT &gt; Это я так понимаю на кошке? А где сейчас на микротике вашу <br>&gt; теорию проверить? параметра community не вижу. Есть фильтры.<br><br>моя теория в том что Ростелеком фильтрует. С Микротиком не подскажу. коммунити это хоть какой-то способ повлиять на путь самостоятельно. Но в любом случае стоит изучить эту проблему совместно с Ростелекомовскими инженерами. Я не знаю как обстоят дела с суппортом в Ростелекоме, но в других конторах с которыми я работал инженеры при проблемах с бгп всегда шли на встречу.<br> https://ssl.opennet.dev/openforum/vsluhforumID6/754.html#8 Fri, 17 May 2013 13:27:48 GMT Это я так понимаю на кошке? А где сейчас на микротике вашу теорию проверить? параметра community не вижу. Есть фильтры.<br>