forum.lan.md

[nickolayenko]

Сервер новый, никто и ничего на нём не работает, он был собран специально для этого канала

Нужно конкретным юзерам выдать по реальному адресу, собран отдельный сервер на который приходит канал от провайдера с этими подсетями.

ну у тебя, вроде, уже же есть готовый работающий микротик, на который тебе зарутили данные подсети ... значит на внешнем и останется, к примеру, то, что было уже.

нифига на нём небыло, всё с нуля ! Клиенты бегают в инет совсем через другую машину!

[nickolayenko]

Считай что есть сетка из 10 компов и этим гаврикам нужно дать 10 реальных адресов, до этого был вакум!!!!
ether1 смотрит в локалку
ether2 смотрит к прову
В сервере помимо сетевух есть ещё опера, проц, и мамка с винтом(надеюсь точные параметры тебе не нужны...)

Пров выдал адреса
217.76.199.116/30 217.76.201.0/28

Как это реализовать ?

[young]

2 nickolayenko:

нифига на нём небыло, всё с нуля ! Клиенты бегают в инет совсем через другую машину!

тебе с самого начала сказали, чтобы написал конкретно, что есть, что нужно. или ты хочешь, чтобы твои мысли читали ?

Считай что есть сетка из 10 компов и этим гаврикам нужно дать 10 реальных адресов, до этого был вакум!!!!

ну вот - берёшь мануал по настройке мт с примерами прямо с их сайта и просто следуешь ему по шагам. помнишь, что вместо приватки у тебя реальные адреса. и что маскарад не нужен. с этого, вообще-то, надо было начинать с самого начала. или ещё прямо ссылку дать, чтобы тебе не было тяжело искать ?

[nickolayenko]

Дак я ж и спрашиваю, если я сделаю как в этих каляках-маляках

eth1(LAN)
eth2(WAN)
ip address add address=217.76.201.1/28 interface=ether1
ip address add address=217.76.199.117/30 interface=ether2

ip route add gateway=217.76.199.118

потом просто в ипфаервол завожу правила на форвардинг и усё??
я что то пропустил?

работать оно будет?

это типа мануал по настройке приватки ток я перекрутил на реальные адреса....

[nickolayenko]

тебе с самого начала сказали, чтобы написал конкретно, что есть, что нужно. или ты хочешь, чтобы твои мысли читали ?

дык я написал был в 9-м посту с низу

young я с тобой седым в 25 стану
или это я так обьясняю или ты меня понять не можешь....

[young]

2 nickolayenko:
1) не будет.
2) ты вот в качестве гейта почему этот адрес взял ?
3) "на форвардинг" никаких правил тебе не надо заводить. у тебя рутинг будет уже отрабатываться после того, как ты правильно сети укажешь внутри и снаружи.
4) не так перекрутил. подумай чуть
5) тебе твой провайдер не давал больше никаких циферок со странными названиями типа "шлюз", "маска", "днс1", "днс2" ?
я не ошибусь, если предположу, что люди бегают в инет через другую тачку, на которой эти "циферки" уже прописаны, а потом вы попросили ещё подсетку, сказав, что будет вторая машина, на что провайдер выделил вам две - одну для клиентов, другую мелкую по адресу на старую и новую машины, но зарутил обе на внешний адрес той машины, полагая, что вы там поймёте, что где и для чего ?

young я с тобой седым в 25 стану

не факт ) ещё много вариантов.

или это я так обьясняю или ты меня понять не можешь....

это ты так объясняешь, а я хоть и вижу суть, но специльно не разжёвываю, чтобы ты научился правильно и однозначно объясняться. потом ещё и спасибо скажешь

[nickolayenko]

Вернее вот так

eth1(LAN)
eth2(WAN)
ip address add address=217.76.201.1/28 interface=ether1
ip address add address=217.76.199.117/30 interface=ether2

ip route add gateway=217.76.199.118
ip route rule add src-address=0.0.0.0/0 dst-address=0.0.0.0/0 action=lookup table=main

[nickolayenko]

тебе твой провайдер не давал больше никаких циферок со странными названиями типа "шлюз", "маска", "днс1", "днс2" ?
я не ошибусь, если предположу, что люди бегают в инет через другую тачку, на которой эти "циферки" уже прописаны, а потом вы попросили ещё подсетку, сказав, что будет вторая машина, на что провайдер выделил вам две - одну для клиентов, другую мелкую по адресу на старую и новую машины, но зарутил обе на внешний адрес той машины, полагая, что вы там поймёте, что где и для чего ?

нет, больше никаких аттрибутов, ни днс ни шлюза
до этого был совсем другой пров, этот подтянул свою оптику, на днях будем включатся вот и хочу всё подготовить...
От старого отказыватся пока не будем, на нё мвсё будет работать как и прежде

[young]

2 nickolayenko:
нет, приведённый второй вариант тоже не подходит.
раз провайдер больше ничего не давал, то для начала как минимум позвони им и уточни эти данные.
после чего уже указанный гейт пропишешь вместо того, что указываешь сейчас. добавишь днс-ы.
не исключу, что они не озвучили тебе тот факт, что в качестве шлюза для тебя будет 217.76.201.1, а внешним адресом - 217.76.201.2 соответственно, хотя такая "забывчивость" крайне непрофессиональна с их точки зрения. как доказательство - ты, клиент, не в курсе того, что и куда прописывать. так что уточняй у них всё для начала. после этого поймёшь, как надо править те варианты, что ты пишешь.

чтобы было меньше толчения в ступе, вот пример:
/ip address add address EXT_IP/EXT_MASK interface EXT_IF
/ip address add address INT_IP/INT_MASK interface INT_IF
/ip route add gateway=GW
/ip dns set primary-dns=DNS1
/ip dns set secondary-dns=DNS2
/ip dns set allow-remote-requests=yes (это если ты захочешь использовать у клиентов данный роутер для резолва имён)

дальше думай

[nickolayenko]

Спасибо

[young]

2 nickolayenko:
пожалуйста.

[nickolayenko]

что в качестве шлюза для тебя будет 217.76.201.1, а внешним адресом - 217.76.201.2

так и есть

Интерфейс в сторону провайдера
ip: 217.76.199.118
Mask:255.255.255.252
Get: 217.76.199.117
DNS:208.67.220.220
208.67.222.222

Интерфейс в сторону локалки
ip:217.76.201.1
Mask:255.255.255.240
Get:
DNS:


Настройки на клиентских машинах
ip:217.76.201.2
Mask:255.255.255.240
Get:217.76.201.1
DNS:208.67.220.220
208.67.222.222


ip:217.76.201.3
Mask:255.255.255.240
Get:217.76.201.1
DNS:208.67.220.220
208.67.222.222
блок из адресов 217.76.201.0/28 будет смаршрутизирован на 217.76.199.118

Теперь ещё разжуй как настроить маршрутизацию?

[nickolayenko]

Всё переиграли теперь такие адреса
между мной и провайдером /30
217.76.201.169 - наш
217.76.201.170 - Ваш
Маска подсети: 255.255.255.252

блок из адресов 217.76.201.64/27 будет смаршрутизирован на 217.76.201.170

Интерфейс в сторону провайдера
ip: 217.76.201.170
Mask:255.255.255.252
Get: 217.76.201.169
DNS:208.67.220.220
208.67.222.222

Интерфейс в сторону локалки
ip:217.76.201.65
Mask:255.255.255.224
Get:
DNS:


Настройки на клиентских машинах
ip:217.76.201.66
Mask:255.255.255.224
Get:217.76.201.65
DNS:208.67.220.220
208.67.222.222


ip:217.76.201.67
Mask:255.255.255.224
Get:217.76.201.65
DNS:208.67.220.220
208.67.222.222


Теперь ещё разжуй как настроить маршрутизацию?

[young]

2 nickolayenko:
да что ещё разжёвывать ? ))
у тебя есть уже данные:

ext_ip= 217.76.201.170
ext_mask= 255.255.255.252 (= /30)
gw= 217.76.201.169
dns1= 208.67.220.220
dns2= 208.67.222.222
int_ip= 217.76.201.65
int_mask= 255.255.255.224 (= /27)

пример, куда их и как вписывать, я уже привёл ранее.

на клиентских достаточно будет указывать только один днс, да и то - лучше свой внутренний:
ip: 217.76.201.x (66 <= x <= 94)
nm: 255.255.255.224
gw: 217.76.201.65
dns: 217.76.201.65




либо ты совсем невнимательно читаешь, либо я зря писал это всё ранее, потому что ты совсем не хочешь понимать ...
хинт - пункт (3) сообщения в 00:21.




p.s. шлюз, он же гейтвей, никак не называется глаголом "брать"

[Igoras]

о боже, сколько спама из ничего...

young,
я бы отослал в гугл по теме рутинга.... а не разжевывал

nickolayenko,
отсылать в гугл уже поздно, но первая мысль которая пришла в голову - /30 это для связи с рутером со стороны провайдера и блок /28 будет раздаваться через него. Дальше уже твои заботы... при связке срц-нат+дст-нат можно было бы +3 адреса получить, нетворк/броадкаст/адрес самого рутера можно было бы раздать клиентам и это бы отлично работало, потому что со стороны провайдера рутится весь блок на тебя.

Что делать? просто вписать выданные провом адреса на интерфейсы и к клиентам, добавить дефолт рут через дефолт гейт прова и добавить на всякий днсы прова. или команды продиктовать?

[young]

2 Igoras:
да, жесть такая есть. ты первую тему подраздела не слишком сильно выделил - не читают до задавания вопросов
но зато есть надежда, что будут думать правильно для себя же. глядишь, один-два поседеть должны как раз )
по поводу разжёвывания - был спортивный интерес посмотреть, сколько ещё будет там придумано и написано ... тем более, что без разжёвывания эффекта, к сожалению, нет
да и команды я уже продиктовал ...

[nickolayenko]

Умные такие шо аж страшно... Сами ж такие были...

[young]

2 nickolayenko:

да не расстраивайся. как раз специально всё делается так, чтобы человека попинать в сторону нужную, тем более, что инфа правильная даётся. а он типа бы обиделся на всех, после чего сам подняпрягся и почитал, и погуглил, и поучил, и попробовал и понял бы, как и что ... и потом ещё спасибо сказал за то, что правильно мысль ему настроили.

просто когда человек вообще думать не хочет, то ему даже подсказывать не хочется. из серии "не метать бисер". а ежели он думает, то ему приятно и в более сложных ситуациях помочь.

вот и поймёшь потом когда-нибудь, какие ощущения испытываешь, отвечая коротким "rtfm" на "детские" вопросы ... особенно если самому так отвечали изначально. и поймёшь полностью причины и следствия. да и делать так же будешь


имхо.

[Шинкевич Владимир]

вист! то бишь - поддерживаю (-:

[nickolayenko]

Всё работает, всем спасибо
Я просто думал что нужно будет писать для каждого реального ип в локалке свой маршрут Вот и задавал глупые вопросы, оказалось все так просто...

[nickolayenko]

ещё вопрос
вот так настроен фаервол
ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets"
ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections"
ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections"
ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"
ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"
ip firewall filter add chain forward src-address=217.76.201.66 action=accept comment="Access to internet "
ip firewall filter add chain forward src-address=217.76.201.67 action=accept comment="Access to internet "
ip firewall filter add chain forward src-address=217.76.201.68 action=accept comment="Access to internet "
ip firewall filter add chain forward src-address=217.76.201.69 action=accept comment="Access to internet "
ip firewall filter add chain forward src-address=217.76.201.70 action=accept comment="Access to internet "
ip firewall filter add chain forward src-address=217.76.201.71 action=accept comment="Access to internet "
ip firewall filter add chain forward action=drop comment="All other forwards drop"

разрешено работать с 217.76.201.66 по 71
если мне нужно 70му выключить инет, то это правило
ip firewall filter add chain forward src-address=217.76.201.70 action=accept comment="Access to internet "
просто сделать дизейбл?

[young]

2 nickolayenko:

Я просто думал

а не надо просто думать, надо читать маны и проверять самому, ибо это всё расписано кучу раз.

просто сделать дизейбл?

если в том виде, как ты привёл, то да, просто дизэйбл.

если более удобно - то создаёшь список айпишников, в форварде аксептишь одним правилом всех, кто в этом списке. включение/выключение пользователя - в списке. добавить туда запись быстрее, чем набивать ещё строку для клиента тут.

[Igoras]

если более удобно - то создаёшь список айпишников, в форварде аксептишь одним правилом всех, кто в этом списке. включение/выключение пользователя - в списке. добавить туда запись быстрее, чем набивать ещё строку для клиента тут.

еще более удобно - дроп для не-список в инет. 1 правило вместо 2

[young]

2 Igoras:
и таки нэд ) ибо у меня, к примеру, после акспета разрешённых производятся действия над остальными - типа прокидывания на мессагу и т.п. и это будет правильным - не отказываться от правила в пользу количества их из соображений гибкости далее.

[Igoras]

Зависит от...

в данном случае вполне можно сделать так... у меня тоже стоит именно так, потому что все необходимые прокидывания делаются ДО... так что... сколько людей, столько и решений одной и той же задачи...