classic.ISPforum.cz

Zdravím,
Mám jeden port Wan a potřeboval bych ho v Mikrotiku virtuálně rozděli aby se to tvářilo jako že tam ty Wan jsou 2x. Jeden pak použiju pro DHCP a druhý napřímo k poskytovateli. S tím že potřebuju aby se na oba dva dal aplikovat firewall.
Nevíte někdo jak na to?
Díky!

Ideálně domluvit se s isp aby ti tagoval provoz do vlany. Nebo obráceně pokud máš pod palcem ten switch předtím, tak provoz od isp tagoval sám. Nebo si tagovat na portu provoz z lokální sítě.

Příliš mnoho možností.

nebo to tam posli bez tagu a trosku poskytovateli vylepsi sit otazka je jak to ma poresene

Nějak tomu teď moc nerozumím. No potřeboval bych to nejlépe bez zásahu ISPka.

barneby píše:Nějak tomu teď moc nerozumím. No potřeboval bych to nejlépe bez zásahu ISPka.

Jestli tomu rozumim, tak chceš jednu linku prodávat jako dvě linky bez toho, aniž by to ISP věděl. To spíš bacha na sluvní ujednání. V drtivé většině případů to ISP pozná.

honza198 píše:

barneby píše:Nějak tomu teď moc nerozumím. No potřeboval bych to nejlépe bez zásahu ISPka.

Jestli tomu rozumim, tak chceš jednu linku prodávat jako dvě linky bez toho, aniž by to ISP věděl. To spíš bacha na sluvní ujednání. V drtivé většině případů to ISP pozná.

Ne to opravdu ne to jsi špatně pochopil. Mám od ISPka veřejný IP adresy který jsou "napřímo", bez natu a potřebuju na svém routeru udělat to že na něm poběží nat s dhcp ale zároveň si pc který jsou za tím routerem budou moc vzít i tu IP na přímo. Rozděli ty PC na lan do vlan kde jsou natované a do vlan kde jsou na přímo není problém ale nevím jak to spojit v tom Mikrotiku aby mohli oba používat jednu wan.

OK, tak napřed by ses mohl svěřit co máš za routerboard, aby bylo vidět co máš za hardware.

Pokud jsem Tě správně pochopil, tak Ti vlan nepomůže, protože by se musela konektivita tagovat ještě u ISP..
Pokud máš alespoň tří ethernetovej RouterBoard pak:

1, nejednodušeji udělej bridge (pro příklad bridge1-wan)
2, to toho bridge přiřaď dva porty: port na kterém máš konaktivitu a port na kterém budeš chtít využívat přímo rozsah ISP
3, na posledním portu si udělej LAN (svuj IP rozsah, svůj DHCP-server atd. pro příklad 192.168.88.1/24)
4, v menu / ip / firewall / nat add chain=srcnat src-address=192.168.88.0/24 action=masquerade

pokud budeš chtít se připojovat do LAN sítě (to je ta na rozsahu 192.168.88.0/24) pak:

5, zapneš DHCP-CLIENTa na bridge1-wan
6, pronatuješ se přes IP, kterou máš na bridge1-wan

Případně se to dá udělat přes HW switch (i MK ho umí)

honza198 píše:OK, tak napřed by ses mohl svěřit co máš za routerboard, aby bylo vidět co máš za hardware.

Pokud jsem Tě správně pochopil, tak Ti vlan nepomůže, protože by se musela konektivita tagovat ještě u ISP..
Pokud máš alespoň tří ethernetovej RouterBoard pak:

1, nejednodušeji udělej bridge (pro příklad bridge1-wan)
2, to toho bridge přiřaď dva porty: port na kterém máš konaktivitu a port na kterém budeš chtít využívat přímo rozsah ISP
3, na posledním portu si udělej LAN (svuj IP rozsah, svůj DHCP-server atd. pro příklad 192.168.88.1/24)
4, v menu / ip / firewall / nat add chain=srcnat src-address=192.168.88.0/24 action=masquerade

pokud budeš chtít se připojovat do LAN sítě (to je ta na rozsahu 192.168.88.0/24) pak:

5, zapneš DHCP-CLIENTa na bridge1-wan
6, pronatuješ se přes IP, kterou máš na bridge1-wan

Případně se to dá udělat přes HW switch (i MK ho umí)

Mám už starší šrot RB1200. Tím rozsah ISP myslíš ty veřejky? A proč tam zapínat DHCP-CLIENT? ISP my dáva jen veřejky lokální rozsah ne ten si právě musím udělat sám.

Vidím, že je to složitější a leze to z tebe jako z chlupatý deky. Pošli kontakt do ZS

Stále nevyřešeno.

barneby píše:

honza198 píše:

barneby píše:Nějak tomu teď moc nerozumím. No potřeboval bych to nejlépe bez zásahu ISPka.

Jestli tomu rozumim, tak chceš jednu linku prodávat jako dvě linky bez toho, aniž by to ISP věděl. To spíš bacha na sluvní ujednání. V drtivé většině případů to ISP pozná.

Ne to opravdu ne to jsi špatně pochopil. Mám od ISPka veřejný IP adresy který jsou "napřímo", bez natu a potřebuju na svém routeru udělat to že na něm poběží nat s dhcp ale zároveň si pc který jsou za tím routerem budou moc vzít i tu IP na přímo. Rozděli ty PC na lan do vlan kde jsou natované a do vlan kde jsou na přímo není problém ale nevím jak to spojit v tom Mikrotiku aby mohli oba používat jednu wan.

To je jen veci routovani. Udelas si dhcp rozsah ve vnitrnim rozsahu 192.168.xxx.yyy. a na hlavnim routeru reknes fw, ze na tento rozsah ma uplatnit srcnat proti dane verejne IP. Tim se ti dany dhcp rozsah bude natovat a odchozi verejna bude ta zvolena. Porty pro DHCP budou v bridge spolu, nikoli s WAN.

Na PC kde chces verejku nastavis normalne verejnou IP z rozsahu a branu od poskytovatele. Dany port PC na hlavnim routeru das do bridge nebo do switche s WAN portem k poskytovateli

Samozrejme musis mit vic verejnych IP, paterni router bude mit minimalne jednu a pc druhou, prip. dalsi PC = dalsi verejne.

Takže to nejsou 2 linky, ale 2 ip adresy. Pokud máš jen dvě ,jednu chceš na konkrétní PC a druhou pro zbytek sítě, tak pro tu která má být na jednom PC vlastně vytvoříš NAT 1:1 (podle IP, portu) sám u sebe a na zbytek klasiku NAT a DHCP server atd.

Kysa píše:Takže to nejsou 2 linky, ale 2 ip adresy. Pokud máš jen dvě ,jednu chceš na konkrétní PC a druhou pro zbytek sítě, tak pro tu která má být na jednom PC vlastně vytvoříš NAT 1:1 (podle IP, portu) sám u sebe a na zbytek klasiku NAT a DHCP server atd.

Úplně špatně jsi to pochopil. Tohle vím taky.

barneby píše:

Kysa píše:Takže to nejsou 2 linky, ale 2 ip adresy. Pokud máš jen dvě ,jednu chceš na konkrétní PC a druhou pro zbytek sítě, tak pro tu která má být na jednom PC vlastně vytvoříš NAT 1:1 (podle IP, portu) sám u sebe a na zbytek klasiku NAT a DHCP server atd.

Úplně špatně jsi to pochopil. Tohle vím taky.

Jestli to neni tim, ze to uplne spatne vysvetlujes. A nebo nevis poradne co chces.

Nu, já to tké chápu tak, že máš jednu linku od ISP, po té máš doručeny 2 veřejné IP adresy a chceš to, že jednu IP použiješ klasicky pro NAT hromady PC z LAN, které dostanou už privátní adresu pomocí DHCP a druhou veřejnou IP adresu chceš vyhradit pro jedno určité PC?
První část je asi klasické řešení, druhá část má víc možností, kde takové tři základní jsou:
a) navržené ukončení druhé IP na routeru a pomocí NAT1:1 se doručí na jedno určené PC na její vnitřní IP,
b) druh IP je opět také na WAN portu routeru, ale použije se proxy-arp pro předání na vnitřní PC, které pak tu veřejnou IP má přímo na svém portu, takže odpadá NAT1:1, který u něeho může vadit,
c) to PC dostane přímo veřejnou IP/masku a bránu a připojí se do portu routeru a na roueru se udělá bridge mezi WAN portem portem toho PC, takže jak kdyb přímo bylo píchle na linku k ISP.
Záleží proč tomu tak, nicméně u vaianty C se trochu komplikuje použití firewallu v roueru na provoz od toho PC s veřejkou (jd t, je třeb si zapnout používání fireallu i pro bridge).
Pokud chceš něco jiného, nezbude, než to lépe vysvětlit.