Автор Тема: ip mapping и port mapping в Mikrotik?  (Прочитано 172 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Triangle

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4960
  • Рейтинг: 35
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
ip mapping и port mapping в Mikrotik?
« : 26 Декабря 2016, 17:03:56 »
Задач собственно две, пробрасывать порты с одного внешнего ip на разные внутренние и пробрасывать полностью всё с отдельного внешнего ip на отдельный внутренний ip ничего не трогая.
Начал смотреть как делается второе, есть немного вопросов.
Нашел такое вот описалово. http://wiki.mikrotik.com/wiki/How_to_link_Public_addresses_to_Local_ones

Let us assume two addresses (10.0.0.216 and 10.0.0.217) are assigned to the router. In this example we will 'full NAT' the internal address 192.168.0.4 to the external 10.0.0.216 one while keeping 10.0.0.217 for the router itself as well as for masquerading the internal network. To setup the router follow the steps listed below.

1. Add 10.0.0.216/24 and 10.0.0.217/24 addresses to the router's Public interface and 192.168.0.254/24 to the router's Local interface:

[admin@MikroTik] ip address> add address=10.0.0.216/24 interface=Public
[admin@MikroTik] ip address> add address=10.0.0.217/24 interface=Public
[admin@MikroTik] ip address> add address=192.168.0.254/24 interface=Local

2. Add the default route to the router, but be aware of having two addresses. You should specify the address that the router will be using while talking to the outer networks:

[admin@MikroTik] ip route> add gateway=10.0.0.1 prefsrc=10.0.0.217

3. Add DST-NAT rule allowing access to the internal server from external networks:

[admin@MikroTik] ip firewall nat> add action=dst-nat chain=dstnat \
     dst-address=10.0.0.216/32 to-addresses=192.168.0.4

4. To add SRC-NAT rules allowing the internal server to talk to the outer networks having its source address translated to 10.0.0.216, while translating other internal hosts' source addresses to 10.0.0.217:

[admin@MikroTik] ip firewall nat> add action=src-nat chain=srcnat \
     src-address=192.168.0.4/32 to-addresses=10.0.0.216
[admin@MikroTik] ip firewall nat> add action=src-nat chain=srcnat \
     src-address=192.168.0.0/24 to-addresses=10.0.0.217

И вот тут поперли вопросы, у меня на внешнем интерфейсе записан изначально один адрес но с указанием сети.
 1   ;;; wan
     37.2**.85.37/28    37.2**.85.32    ether1     
Всё равно каждый ip адрес надо назначить интерфейсу?






Updated: 26 December 2016, 17:07:57

Ап, вика наконец то у них заработала...
А там маппинг описывают по другом.

1:1 mapping

If you want to link Public IP subnet 11.11.11.0/24 to local one 2.2.2.0/24, you should use destination address translation and source address translation features with action=netmap.

/ip firewall nat add chain=dstnat dst-address=11.11.11.0/24 \
   action=netmap to-addresses=2.2.2.0/24

/ip firewall nat add chain=srcnat src-address=2.2.2.0/24 \
   action=netmap to-addresses=11.11.11.0/24 

Same can be written using different address notation, that still have to match with the described network

/ip firewall nat add chain=dstnat dst-address=11.11.11.0-11.11.11.255 \
   action=netmap to-addresses=2.2.2.0-2.2.2.255

/ip firewall nat add chain=srcnat src-address=2.2.2.0-2.2.2.255 \
   action=netmap to-addresses=11.11.11.0-11.11.11.255 

Но это опять целыми сетками а адресами то как. Запутался совсем.


Updated: 26 December 2016, 17:08:25

И надо ли опять при этом назначать адреса на интерфейсе.


Updated: 26 December 2016, 20:38:15

Итого да.
1. Банально назначаем адрес на внешний интерфейс.
2.Делаем два правила nat

/ip firewall nat add chain=dstnat dst-address=<ext ip> action=dst-nat to-addresses=192.168.1.179
/ip firewall nat add chain=srcnat src-address=192.168.1.179 action=src-nat to-addresses=<ext ip>
« Последнее редактирование: 26 Декабря 2016, 20:38:15 от Triangle »
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.