Mikrotik více veřejných IP

[iRo]

Ahoj,

Řeším jeden problém na mikrotiku, od ISP mám veřejnu IP 85.xx.xx.25, tu nastavím na mikrotiku a vše jede, vytvořím si Apache, hodím NAT na lokální IP a vše bez problému, problém nastane, jakmile chci využít další veřejné IP od ISP, 212.xx.xx.192/26

Bez jakéhokoliv nastavení spustím v terminálu script

Kód: [Vybrat]

ping seznam.cz src-address=212.xx.xx.192 ping normálně projde, jakmile zadám na konci 193 nic se nestane, z venku se snažím poslat ping na 212.xx.xx.192 a neprojde, pokud pošlu ping na 85.xx.xx.25, tak to jde.

Pokud budete chtít výpis z nastavení rád poskytnu a budu strašně rád za pomoc.

Díky!

[Reklama]

[Tuxik]

Zkusím tě nakopnout, kdyby to bylo málo, dohledám ti to podrobněji. Je potřeba nastavit routing mark na connection podle dst-address a nastavit víc default gateways s různým routing markem... Nemám teď žádný MK po ruce, ale kdyby to nestačilo, dohledám ti to.

[iRo]

Tak jsem zkoušel něco najít, ale vše co jsem našel, tak se řeší, že mají 2 Ethernety, já mám všechny IP v jednom  Budu rád, když mi něco nadhodíš, při nejhorším bych poskytl Mikrotik z veřejné IP

[Tuxik]

jinak je to tím, že normálně funguje pouze jedna default gw, pokud je v síti 85 aktivní, ping na adresu 85 projde, ale ping na adresu 212 se vrátí zpět přes GW z adresy 85. Takže protistana pošle paket na 212, mikrotik mu odpoví, ale z adresy 85, což samozřejmě protistrana nerozchodí (pokud jí nevnutíš ignorování tohoto stavu, což je defaultně zakázaný a samozřejmě globálně nepoužitelný, protože protistranu si asi ne vždy konfiguruješ sám)

[Tuxik]

Nastavuješ to přes co? Winbox, webfig nebo konzole?

[Reklama]

[iRo]

Winbox

[iRo]

Když jsem to "nějak" nastavil, tak CMD mi hlásila, že .25 nezná tuto adresu, teď to píše Request timed out.

[Tuxik]

Ještě jak je to s tou sítí 212? na 212.x.x.192 by měla být adresa sítě, jakou adresu má brána té sítě u providera? Předpokládám 193.

[M.]

Tu IP 85.xx.xx.25 máš na nějakémm wan portu k ISP. Ty daší IP 212.xx.xx.192/26 máš přidělený celý blok? Pak ti ho isp bude asi routovat na tu 85.xx.xx.25.
A defualtně ti budou z Mk fungovat jen ty IP z toho bloku, které přidáš na nějakou síťovku.

[iRo]

212.xx.xx.192/26, dle dohody je nasmerovany na stavajici IP adresu 85.xx.xx.25.

DNS servery: 212.xx.xx.3, 85.207.xx.85


Tohle mi poslal ISP, je to jak píšeš, routuje to na tu 85

[Tuxik]

Kód: [Vybrat]

ip firewall mangle add chain=prerouting dst-address=212.0.0.192/26 connection-state=new action=mark-connection new-connection-mark=dalsiipcon passthrough=yes
ip firewall mangle add chain=prerouting connection-mark=dalsiipcon action=mark-routing new-routing-mark=dalsiiproute passthrough=yes
ip route add dst-address=0.0.0.0/0 gateway=212.0.0.193 routing-mark=dalsiiproute
asi takhle snad... první řádek označí novej connection jako dalsiipcon, druhej řádek všechno označené dalsiipcon označí pro routing jako dalsiiproue a poslední řádek ořidá druhou výchozí bránu, ale pouze pro označené dalsiiproute.

[Tuxik]

aha, tak zpět, nic neřeš, jenom si nahoď libovolnou adresu z 212 s maskou /32 na wan a musí to fungovat. Klidně si tam těch adres dej víc, aby bylo na co pingat. Takže do IP adres přihoď 212.x.x.192/32, 212.x.x.193/32 atd. Až je budeš posílat natem dál, nemusíš je mít na tom interface nahozený vůbec, ale teď na testy je to lepší.

[Tuxik]

nebo jestli se nebojíš,
1. nastav si provizorní heslo
2. pošli mi skutečné IP a heslo
3. dej mi pár minut
4. podívej se jak je to nastavený
5. resetni MK do defaultu a nastav si to celý znova, včetně jinýho hesla
body 1 a 5 jsou velmi důležitý, abys nemusel potom při každým problému řešit, jestli jsem si tam neudělal nějakej backdoor a nedělám ti tam bordel

[iRo]

Nastavil jsem to první co jsi psal, nešel ping, ale NATování šlo (pak jsem to smazal), poté jsem hodil ty adresy přímo do IP Addresses (toto nastavení jsem dělal asi 100x a žádný ping), mezitím jsem ještě kontaktoval ISP, žádná odpověď, jenom to, že si ISP email přečetl, takže teď jdu do IP Addresses -> hodím tam IP 212.xx.xx.193/26 na WAN1 poté 212.xx.xx.194/26 na WAN1 hodím ping a ejhle ono to jde, takže jsem na to šel celou dobu dobře a akorát jsem marnil tvůj čas :/ Ale i tak díky moc za pomoc.

Jediné co teď nejde je 192, ještě Ti hodím jeden dotaz, když přidávám ty adresy do IP Addresses, tak mi to funguje i bez ip/26 čistě zadám IP a hned jede ping.

http://screenshot.cz/269G4/

[Tuxik]

pokud ji dáš bez /26, je to jako /32, to znamená jedna jediná adresa v síti bez adresy sítě a broadcastu. Nastav si tak všechny a mělo by se rozjet i to 192, takhle to má právě problém, že 192 je adresa sítě a chování je asi celkem nedefinovaný.