MikrotikとNAT /ルーティングの問題
Mikrotik RB750の基本的なNAT /ルーティングの問題があり、過去数日間解決できませんでした。私たちのISPから26のIPアドレスがあります:10.10.10.192/27、10.10.10.193はゲートウェイ、10.10.10.194です最初に利用可能なIP。
ether2に接続されているすべてがDHCPサーバーからパブリックIPを取得し、ether3に接続されているすべてがローカルを取得する必要があります別のDHCPからのIP(192.168.100.0/24)。すべてのクライアントはインターネットにアクセスできる必要があり(帯域幅の調整については後で説明します)、お互いを「見る」ことが最適です(すべてのボックスはWin7です。これは最終的にVPNで処理できると思います)。
これが私の設定です:ether1(10.10.10.194)は直接ISPに接続されています。
ether2(10.10.10.195)に接続されている20のクライアントと、ether3(10.10.10.196)に接続されている別の20のクライアントポートスイッチ)。
これは私の設定ですが、機能しません。ether2からの20のクライアントすべてがインターネットにアクセスできますが、すべての通信は可能です。 10.10.10.194から来たようです(これはether1のマスカレードが原因ですか?)、そしてether3はインターネットにまったくアクセスできません。
ether3とSNAT/DNATまたはNETMAPether2をマスカレードする必要があると思いますが、それでもうまくいきません。 ether2 + 3からether1の両方をどういうわけか「配線」する必要があると思います。
住所リスト:
# ADDRESS NETWORK INTERFACE
0 ;;; public
10.10.10.194/32 10.10.10.192 ether1-gateway
1 ;;; inner DHCP
192.168.100.0/24 192.168.100.0 ether3-private
2 ;;; public
10.10.10.195/32 10.10.10.192 ether2-pub
3 ;;; public
10.10.10.196/32 10.10.10.192 ether3-private
[〜#〜] nat [〜#〜]
0 ;;; ether3 nat
chain=srcnat action=src-nat to-addresses=10.10.10.196
src-address=192.168.100.0/24 out-interface=ether3-private
1 ;;; ether3 nat
chain=dstnat action=dst-nat to-addresses=192.168.100.0/24
in-interface=ether3-private
2 ;;; ether1 masquerade
chain=srcnat action=masquerade to-addresses=10.10.10.194
out-interface=ether1-gateway
ルート:
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 ether1-gateway 1
2 A S 10.10.10.192/27 10.10.10.195 ether2-pub 1
3 ADC 10.10.10.192/32 10.10.10.195 ether2-pub 0
ether1-gateway
ether3-private
4 ADC 192.168.100.0/24 192.168.100.0 ether3-private 0
IPプール:
# NAME RANGES
0 public-pool 10.10.10.201-10.10.10.220
1 private-pool 192.168.100.2-192.168.100.254
DHCP構成:
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 public-dhcp ether2-pub public-pool 3d
1 private-dhcp ether3-private private-pool 3d
ありがとう!
意思決定を行い、ネットワークを設計する必要があります。
ISPに接続されているether1では、より小さなネットワークを定義する必要があります。例:/ 30(実際のところ、ISPに現在の範囲を分割するよりも1つ小さい範囲を要求する方がはるかに簡単です)。
したがって、ether110.10.10.192/30の場合、gwは10.10.10.193で、10.10.10.194/30は(mikrotik-ether1の)IPです。次に、ISPにルーティングを依頼します
- 10.10.10.196/30
- 10.10.10.200/29
- 10.10.10.208/28
アドレス10.10.10.194に接続し、自分のサイドと同じ/ 30ネットマスクをセットアップします。
次に、ether2で、上記のアドレス範囲の1つ(または複数)を構成します。このインターフェイスでは、NATを実行しないことができません。インターフェイスに設定されているアドレス範囲に従ってプールを設定します。
ether3で、必要に応じてプライベートアドレスを設定します。あなたが提供した例は素晴らしいようです。ここでMASQUERADEを設定しました。これがNATを使用できる唯一の場所です。
そして、元のセットアップの何が問題でしたか?
- あなたは/ 32ネットワークをあなたがしたように割り当てるべきではありません。
- ISPはすべてを同じネットワーク上にあるものとして扱いますが、これは当てはまりません。
- インターフェイスでSNATとDNATを同時に実行することはありません。この場合、sourceアドレスを変更するSNATのみを実行します。パケットが戻ってくると、netfilterサブシステムは彼が何をしたかを記憶し、自動的に逆変換を行います。 (MASQUERADEはSNATの特殊なケースです)
[〜#〜] edit [〜#〜]これにISPを関与させたくない場合は、同じことを行い、proxy-arpを有効にします、これはここで詳しく説明されています: http://wiki.mikrotik.com/wiki/Manual:IP/ARP#Proxy_ARP
プレフィックス32のether3 IPの設定でエラーが発生しました。これは24でなければなりません。
わかりません、ether3からのすべてをdst-natとはどういう意味ですか? ether3でインターネットをブロックしているように見えます
1 ;;; ether3 nat chain=dstnat action=dst-nat to-addresses=192.168.100.0/24 in-interface=ether3-privateIPを変更するときは、通常、ネットワークフィールドを閉じて、自動的に計算させます。例えば
address=10.10.10.195/32 network=10.10.10.195 interface=ether2-pubMasqaradeルールsrc-address =!10.10.10.192/27からパブリックネットを除外して、ether1-publicでproxy-arpを有効にすることができます。多分それはうまくいきます。私は新しい「奇妙な」構成を使用したので、私はシュアしないでください。
PS。私にとっては、ether2にプライベートサブネットを割り当て、1から1のnat(src-natとdst-nat)を設定する方が良いでしょう。