Potřeboval bych nastavit mikrotikový router pro jednu bytovku a trochu tápu, jak to správně udělat. Běžně to v bytovkách dělám takto:
Mikrotik jako hlavní router v bytovce jen routuje bez NATu. LAN rozhraní je zapojeno do switche a bytech jsou obyčejné wifi routery, které NATují.
Nyní bych ale v jedné bytovce potřeboval to, že v bytech žádný wifi router nebude - NATování a DHCP pro byty by se mělo dělat už na Mikrotiku a zákazník, který se píchne v bytě do zásuvky to bude mít stejné, jako by se jinak normálně píchl do svého routeru. V cestě mezi mikrotikem a koncovou zásuvkou bude switch, který může zajistit samostatnou VLANu pro každý z bytů.
Tzn. potřebuju na routeru nastavit, aby každý z bytů byl za svým NATem a navenek by měl každý byt jednu IP adresu, které můžu na centrálním shapingu přidělit rychlost. Jinými slovy, aby hlavní router v bytovce převzal na sebe ještě roli domácích routerů. Jak na to?
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Více NATů v routeru
místo MASQUARADE se nauč SNAT
Ale co tě k tomu vede? Já bych to jako obyvatel bytu nesnesl, abych byl takto závislý na někom třetím.
Ale co tě k tomu vede? Já bych to jako obyvatel bytu nesnesl, abych byl takto závislý na někom třetím.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Vede mě k tomu to, že majitel domu nechal do bytů namontovat více datových zásuvek, všechny jsou zakončeny v centrálním RACKu. Chci, aby byly funkční všechny a když se do kterékoliv z těch, co má v bytě, uživatel připojí, bude mít svou domácí síť.
0 x
Pomůže v tom, že oproti maškarádě umí definovat odesílající IP adresu.
Kód: Vybrat vše
/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.1.0/24 to-addresses=\
192.168.201.161
add action=src-nat chain=srcnat src-address=192.168.2.0/24 to-addresses=\
192.168.201.162
add action=src-nat chain=srcnat src-address=192.168.3.0/24 to-addresses=\
192.168.201.163
add action=src-nat chain=srcnat src-address=192.168.4.0/24 to-addresses=\
192.168.201.164
add action=src-nat chain=srcnat src-address=192.168.5.0/24 to-addresses=\
192.168.201.165
add action=src-nat chain=srcnat src-address=192.168.6.0/24 to-addresses=\
192.168.201.166
add action=src-nat chain=srcnat src-address=192.168.7.0/24 to-addresses=\
192.168.201.167
0 x
Hlavně prosím nepřidávejte hromady IP adres na ten router s natem. Udělej srcnat na konkrétní adresu a pro správný příchozí provoz vytvoř v síti routu s natovanými IP která bude říkat že dané adresy se nachází na tomhle routeru.
0 x
Princip SNAT je mi jasný, ale není mi jasné, jak ten router celkově nakonfigurovat. Řekněmě, že eth1 bude sloužit jako WAN pro připojení do páteřní sítě, takže přidělím adresu z páteře třeba 10.0.0.10. Přes WAN by se mělo routovat do LAN (eth2), kde pro bytovku budu mít rozsah 10.0.10.0/24 a každý byt by měl mít jednu adresu z toho rozsahu, takže byt č. 1 bude mít třeba 10.0.10.101. No a tuhletu adresu bych rád NAToval tak, že pak uživatel v bytě bude mít pro sebe rozsah třeba 192.168.1.0/24.
Takže na eth1 dám 10.0.0.10. Na eth2 vytvořím pro každý byt vlastní VLAN interface, kde bude rozsah 192.168.1.0/24. Ale kde bude rozsah 10.0.10.0/24?
Takže na eth1 dám 10.0.0.10. Na eth2 vytvořím pro každý byt vlastní VLAN interface, kde bude rozsah 192.168.1.0/24. Ale kde bude rozsah 10.0.10.0/24?
0 x
pgb píše:Hlavně prosím nepřidávejte hromady IP adres na ten router s natem. Udělej srcnat na konkrétní adresu a pro správný příchozí provoz vytvoř v síti routu s natovanými IP která bude říkat že dané adresy se nachází na tomhle routeru.
proč?
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
Nikde, bude to fungovat na základě natu - connection tracking. Odchozí provoz z bytu se natuje za např 10.0.10.15 .... Příchozí provoz z netu s cílovou IP 10.0.10.15 díky routě dorazí na router, podívá se do connection tracking a pošle jo na správnou adresu.
Pro byty nepoužívej tak velké a obecné rozsahy, tluče se to s defaulní konfigurací domácích wifin. Použij na jednotlivé vlany třeba 192.168.18.0/27 atd...... Ne 192.168.0/1/2/3.xxc
Pro byty nepoužívej tak velké a obecné rozsahy, tluče se to s defaulní konfigurací domácích wifin. Použij na jednotlivé vlany třeba 192.168.18.0/27 atd...... Ne 192.168.0/1/2/3.xxc
0 x
hapi píše:pgb píše:Hlavně prosím nepřidávejte hromady IP adres na ten router s natem. Udělej srcnat na konkrétní adresu a pro správný příchozí provoz vytvoř v síti routu s natovanými IP která bude říkat že dané adresy se nachází na tomhle routeru.
proč?
Pokud tam bude mít rouru tak je to zbytečná konfigurace a protože amatéři mívají tendence tam pak davat třeba 20x IP/24 na jeden interface (stejnou podsíť a nepoužijí /32 a i tak s rourou je to zbytečné)
0 x
heh, právě si sem napsal všechno od čeho jsme před lety odešly protože to jenom komplikuje život. Nicméně bych řek že je spíš důležitá situace sítě a pak použít řešení. My třeba pokud je to barák pro X lidí tak dáváme 172.16.x/24 pro každou lanku k zákazníkovy a src-nat zařídí překlad na správnou pro nás IP jako pro "netový ipčko" klienta. /24 jednoduše proto protože se s tim líp dělá a 172.16.x.x máme pro tohle vyhrazený.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
dyť je to úplně to stejné ..... a shodneme se, jestli použije /27 nebo /24 je o tom jak umí dobře a rychle počítat .... žádný problém
použití 172.16.x.x /24 je maximálně v pořádku, hlavně aby nedocházelo ke kolizi a je to vesměs jedno ... sloužilo to jako příklad
důležitá byla ta informace o routě a vysvětlení jak to funguje
edit: to doporučení nepoužívat 192.168.0/1/2 je tam z důvodu, že to bývají defaultní ip na lan straně routerů .... proto jsem to posadil výše .....
použití 172.16.x.x /24 je maximálně v pořádku, hlavně aby nedocházelo ke kolizi a je to vesměs jedno ... sloužilo to jako příklad
důležitá byla ta informace o routě a vysvětlení jak to funguje
edit: to doporučení nepoužívat 192.168.0/1/2 je tam z důvodu, že to bývají defaultní ip na lan straně routerů .... proto jsem to posadil výše .....
0 x
Pokud jsou bytů řádově jednotky tak taky raději nasázím více IP adres na WAN port než abych dělal nějakou routu... a to z mnoha důvodů:
- nemusím přidávat routu (v našem případě je to nějaký větší router na optice a tam prostě každý technik jen tak neleze)
- nemusím v evidenci zakládat další subnet, který vlastně ve finále ani subnet není, ale v podstatě se mi to tváří jako X klientů na jednom AP
- IP adresu jde PINGnout, stejně jako ve všech ostatních případech u nás, takže to nemate techniky při rychlé první diagnostice (mj. pingnout na adresu klienta umí i asistentka)
- je třeba u toho přemýšlet a na mikrotiku na bytovce přidat i routu do blackhole na celý naroutovaný subnet aby se předešlo "ping pongu", ke kterému jinak dojde třeba i v případě, že se objeví nějaké zbloudilé packety pro které už nebude v conntrack záznam... Ledaže bych tam routoval /32 ale to stejný problém vznikne někde jinde anebo si do OSPF úplně zbytečně vypropaguju mraky prefixů.
- nemusím přidávat routu (v našem případě je to nějaký větší router na optice a tam prostě každý technik jen tak neleze)
- nemusím v evidenci zakládat další subnet, který vlastně ve finále ani subnet není, ale v podstatě se mi to tváří jako X klientů na jednom AP
- IP adresu jde PINGnout, stejně jako ve všech ostatních případech u nás, takže to nemate techniky při rychlé první diagnostice (mj. pingnout na adresu klienta umí i asistentka)
- je třeba u toho přemýšlet a na mikrotiku na bytovce přidat i routu do blackhole na celý naroutovaný subnet aby se předešlo "ping pongu", ke kterému jinak dojde třeba i v případě, že se objeví nějaké zbloudilé packety pro které už nebude v conntrack záznam... Ledaže bych tam routoval /32 ale to stejný problém vznikne někde jinde anebo si do OSPF úplně zbytečně vypropaguju mraky prefixů.
0 x
Ano, pro pár lidí je to jiné nežli pro 40. Blackhole je důležitá připomínka, když ji u většího paneláku spojíš s dynamickým směrováním tak je ta propagace vyřešená (o blbosti propagace /32 ani neuvažuji) Ten ping na /32 na gw je taková dost klamavá diagnostika spíš ke zmatení 
Prostě tazatel dostal inspiraci, možností je vicero a je fajn je zvolit dle situace tak tu nebudeme tlačit, že pouze jeho varianta je správná.
Prostě tazatel dostal inspiraci, možností je vicero a je fajn je zvolit dle situace tak tu nebudeme tlačit, že pouze jeho varianta je správná.
0 x
