Více WAN IP + VLANy

[RybaNaPet]

Ahoj,

mám od poskytovatele přidělené veřejné IP adresy. Z historických důvodů mám 3 fyzicky oddělené sítě pro intranet samostatně přes 3 RB spojené do jednoho switche který jde do WAN a každá síť vystupuje pod vlastní veřejnou IP. Nyní bych to rád natáhl přes VLANy.
Použitý router bude CCR 1036.
Má představa: WAN na ether1, kde jsou přidělené všechny veřejné IP (stejné i rozdílné rozsahy). Na ether2 budou 3 VLANy a každá VLAN bude vystupovat pod svojí veřejnou IP.
Zajímá mě tedy jak na to. Něco už jsem přečetl, ale radši se zeptám. Dále mě zajímá, jak v tomto případě funguje nastavování firewallu, NAT a port-forwarding (různé zařízení na různých sítích vystrčené do internetu).

Díky za vaše odpovědi.

[Noxus28]

Nejak zásadne sa to nelíši od toho ako by si mal 3 routre.
Verejky si nastav na Wan rozhranie (eth1)
Na LAN (eth2) si vytvor vlany s nejakým predpokladám neverejnými rozsahmi.
Firewall funguje rovnako ako vždy, povol si čo potrebuješ ostatok drop na konci, nezabudnúť že default má mikrotik všetko povolené teda aj rôzne vlan sa budú default medzi sebou vedieť dohovoriť.
NAT ak potrebuješ 1:1 tak SRC-nat neverejná ip to-address verejná ip. a opačne DST-nat verejná ip to-address vnútorná. Ak nepotrebuješ 1:1 ale stačí celá sieť (alebo rozsah vnútorných ip von) tak SRC-nat neverejný rozsah to-address verejná ip.
Port forward to isté cez DST-nat , to jest kam to prišlo a kam sa to má dostať nič iné.

Vlan sa netreba báť je to len ďalší interface nič iné.

[mirek.k]

Můžu se zeptat, proč VLANy?
Ten router má spoustu portů.

[RybaNaPet]

Nejak zásadne sa to nelíši od toho ako by si mal 3 routre.
.
.
.
Vlan sa netreba báť je to len ďalší interface nič iné.

Firewall - příklad - potřebuji povolit port 12345 z venku ale pouze pro VLAN30 řekněme. Pro VLAN10 a 20 ne-e. Pokud to tedy dám z interface listu který obsahuje pouze VLAN30 (případně určitě pravidlo použít na interface list který obsahuje více VLAN) bude to fungovat ?

NAT - můžeš mi sem prosím hodit "ukázkový" příklad (výpis z terminálu) pro lepší pochopení ? Díky.
Četl jsem i o "Mangle" že to asi taky nějak jde, ale nikdy jsem s tím nedělal.

Můžu se zeptat, proč VLANy?
Ten router má spoustu portů.

Do budoucna těch VLAN bude víc - a mám 8G a 2SFP+ variantu.

[Noxus28]

Firewall - příklad - potřebuji povolit port 12345 z venku ale pouze pro VLAN30 řekněme. Pro VLAN10 a 20 ne-e. Pokud to tedy dám z interface listu který obsahuje pouze VLAN30 (případně určitě pravidlo použít na interface list který obsahuje více VLAN) bude to fungovat ?

No ak som to správne pochopil tak budeš z von na jednu z tvojich verejných adries pristupovať cca 1.2.3.4:12345 to budeš chcieť na routry preložiť na niečo (pc) vo vnútornej sieti vlan30 cca 192.168.30.100:12345 preto by to nemalo prečo chodiť do vlan10 a 20. Nat to nepustí
pravidlo bude vyzerať asi takto

Kód: Vybrat vše

/ip firewall nat add action=dst-nat dst-address=1.2.3.4 dst-port=12345  to-addresses=192.168.30.100 to-ports=12345

NAT z vnútra von pre sieť 192.168.30.0/24 na verejnú adresu 1.2.3.4

Kód: Vybrat vše

/ip firewall nat add action=src-nat out-interface=ether1 src-address=192.168.30.0/24 to-addresses=1.2.3.4

alebo to isté ale bez definície siete ale interface vlan 20

Kód: Vybrat vše

/ip firewall nat add action=src-nat out-interface=ether1 in-interface=vlan20 to-addresses=1.2.3.4

nie je to nič zložité ale ak potrebuješ presný konfig napíš mi SZpozrieme sa na to

[RybaNaPet]

@Noxus28

Skvělý !

Nicméně jsem se k tomu dostal pořádně až teď, až budu mít možnost vyzkoušet to v ostrém provozu, dám vědět.

Ještě mě zajímá, jak se v tomhle případě nastavují IP/Routes - defaultní routa atd.

Děkuji za rady!

[Noxus28]

máš 2 možnosti, buď požiadať tvojho ISP nech ti tie rozsahy spojí do jedného prefixu (čo bude znamenať šetrenie verejných IP jemu aj tebe)
alebo si spraviť 3 tabuľky pomocou routing-mark

čiže označiť všetko čo pôjde z vlan10

Kód: Vybrat vše

/ip firewall mangle add action=mark-routing chain=prerouting in-interface=vlan10 new-routing-mark=rm_vlan10 passthrough=no


a vytvoriť nové routovacie pravidlá pre značku rm_vlan10 tj aj všetko čo je priamo pripojené

Kód: Vybrat vše

/ip routes add distance=1 dst-address=0.0.0.0/0 gateway="verejna ip brany tohoto rozsahu" routing-mark=rm_vlan10
add distance=1 dst-address=192.168.20.0/24 gateway=192.168.20.1 routing-mark=rm_vlan10
add distance=1 dst-address=192.168.30.0/24 gateway=192.168.30.1 routing-mark=rm_vlan10


a tak podobne pre všetky vlany

Takže najlepšie sa dohodnúť s ISP