LINUX.ORG.RU

т.к LAN портов у keneetic мало поэтому добавлен маршрутизатор

Я так понимаю автомобиль вы меняете по причине закончившегося бензина.

Нужно на адрес 192.168.0.50 пробросить порты с микротика

Разрешаю.

anc ★★★★★
()
Ответ на: комментарий от Anoxemian

маршрутизатор с адресом 192.168.0.10 думаешь мешает? так c адресом 192.168.0.10 маршрутизатор не имеет антенн а так же не управляемый, то-есть приобретен был чтобы больше устройств получилось подключить к интернету.

advosh
() автор топика
Ответ на: комментарий от Anoxemian

установка туннеля на машину с адресом 192.168.0.50 не подходит т.к на ней часто переустанавливается linux, тем самым придётся каждый раз настраивать туннель на ней, а вот если как то можно было это дело возложить на роутер. то-есть нужна автоматизация, т.к сотрудники у меня не шарят за туннели а сломать легко смогут туннель, поэтому ищу другие идей на рассмотрение.

advosh
() автор топика
Ответ на: комментарий от advosh

на ней часто переустанавливается linux

Щито?

т.к сотрудники у меня не шарят за туннели а сломать легко смогут туннель

Судя по «каждый день переустанавливают онтопик» у вас поди все под рутом робят?

anc ★★★★★
()
Ответ на: комментарий от advosh

Неуправляемый маршрутизатор это как?

Микротик с кинетиком тунель установить может? Если тунель устанавливается, маршрутизация настроена, то пусть микротик делает DNAT на 192.168.0.50...

mky ★★★★★
()
Ответ на: комментарий от mky

Неуправляемый маршрутизатор это как?

Сильно подозреваю что товарищ начитался про «managed vs unmanaged switches». Но полностью понимаю Ваши фрустрацию - с трудом представляю unmanaged router…

bugfixer ★★★★★
()
Ответ на: комментарий от bugfixer

Я тоже подумал что коммутатор, но ТС же ему ip-адрес дал и на схеме с ip-адресом нарисовал. Тут мне совсем непонятно стало, если оборудование unmanaged, то откуда ip-адрес.

Вдруг у ТС там вундервафля, которая ip по dhcp получает, на остальные порты dhcp-relay и всё маршрутизирует :)

Ладно, пусть лучше ТС модели оборудования напишет...

mky ★★★★★
()

т.к LAN портов у keneetic мало поэтому добавлен маршрутизатор\

почему не коммутатор? ну или настроить второй маршрутизатор как коммутатор? зачем городить второй NAT?

Нужно на адрес 192.168.0.50 пробросить порты с микротика который в другом городе с другим провайдером, тем самым у микротика другой внешний IP address, у keneetica тоже свой внешний IP address, то-есть роутера не в одной локальной сети.

EoIP тут не нужен, и проброс портов не нужен, если на обоих концах есть внешний ip, то поднимаешь L2tp/IPsec и настраиваешь маршруты. Если локальные подсети пересикаются, то поменяй их на обной из сторон (можно конечно и netmap на mkt заюзать, но не стоит).
Если внешний ip приходит на ONT, то переводи в режим bridge и терминируй ip у себя на роутере.

Kolins ★★★★★
()
Ответ на: комментарий от bugfixer

Но полностью понимаю Ваши фрустрацию - с трудом представляю unmanaged router…

Если говорить про soho, то отключаешь dhcp и используешь только lan порты, на lan интерфейсе настраиваешь ip «управления» из lan сети вышестоящего роутера

Kolins ★★★★★
()
Ответ на: комментарий от mky
Ответ на: комментарий от Kolins

ONT это провайдерская штука на крыше здания откуда приходит кабель в квартиру в роутер с адресом 192.168.0.1. Роутер с адресом 192.168.0.1 имеет белый IPv4.

«Если внешний ip приходит на ONT, то переводи в режим bridge и терминируй ip у себя на роутере.» - внешний IP приходит на роутер, внешний IP единственный у keenetic т.к провайдер не продаёт доп внешний IPv4.

advosh
() автор топика
Ответ на: комментарий от advosh

Понял тебя, ну тогда просто L3 VPN сделай между keenetic и mkt и потом хоть маршруты, хоть DNAT...хотя если у тебя и так есть внешний ip то можешь сразу DNAT сделать, несекьюрно конечно, но утту от протокола зависит

Kolins ★★★★★
()
Ответ на: комментарий от advosh

Это же коммутатор (свич), даже в URL написано: product--kommutator.

Но у него не может быть ip-адреса. Ваша схема не корректна.

Вы не ответили на вопрос, может ли ваш микротик устанавливать тунель с вашим кинетиком. Они же разные, с разными возможностями прошивки...

mky ★★★★★
()
Ответ на: комментарий от Kolins

Я хочу сделать чтобы доступ к первой и второй машине был по разным адресам, для этого на aws имеются два внешних IPv4, т.к провайдера не продают доп IPv4 зато хостинг компаний продают доп IPv4.

advosh
() автор топика
Ответ на: комментарий от mky

Mikrotik дружит с keenetic по части eoip туннеля, это значит что получилось связать два роутера eoip туннелем. Насчёт других типов туннелей то там тоже должно поддерживаться, если ты про gre tunnel.

advosh
() автор топика
Ответ на: комментарий от advosh

Понял, ну тогда делаешь L3 туннель (PPTP, SSTP, L2TP/IPSec, L2TP/GRE, openvpn - любой который есть на обоих железяках, но я бы выбрал L2tp/IPSec), маршруты и на chr настраиваешь dnat для разных внешних адресов на разные внутренние

Kolins ★★★★★
()
Последнее исправление: Kolins (всего исправлений: 1)
Ответ на: комментарий от advosh

Значит микротик сможет делать DNAT пакетов на 192.168.0.50. Вся проблема будет в том, что микротик не является шлюзом по умолчанию для него.

То есть, либо микротик должен делать и SNAT этих пакетов, но тогда второй компьютер будет считать, что к нему идут соединения не с интернета, а с микротика. Либо на кинетике настраивать сложную маршрутизацию. Не знаю, что умеет кинетик, нужно либо маркировка соединений (conmark) и маршрутизация по метке (MARK), либо просто, всё что идёт с 192.168.0.50 с проброшеных портов отправлять на микротик.

mky ★★★★★
()
Ответ на: комментарий от mky

Ну keenetic тоже имеет широкий функционал вроде, зависит так же от версий прошивки, у keenetic 3.6 распространена но можно накатить тестовую 4.0. У keenetic ставишь нужный функционал через репозиторий их, так же opkg вроде поддерживает. Надо понять какой функционал понадобится в твоих идеях чтобы узнать есть ли это в keenetic.

advosh
() автор топика
Ответ на: комментарий от Kolins

Так ты предлагаешь первую точку туннеля создавать на keenetic? Вторую на mikrotik, дальше в mikrotik пробрасывать порты в первую точку туннеля, дальше keenetic пробрасывает порт уже на 192.168.0.50?

advosh
() автор топика
Ответ на: комментарий от Kolins

wan-int у микротика там внешний IP адреса должны быть? на keneetic что нужно тогда сделать? у микротика SNAT:«from any to wan-int src-nat 192.0.2.100» это шлюз провайдера aws?

advosh
() автор топика
Ответ на: комментарий от mky

Либо на кинетике настраивать сложную маршрутизацию. Не знаю, что умеет кинетик

озвучили же уже, маршрутер неуправляемый. Лампочками мигать умеет.

Есть идея луше. На aws сделать нат, но не на 50 адрес, а на белый адрес онушки на 50 поднять второй интерфейс с белым адресом aws и прявязать сервис к нему, на кинетике исключить из snat src-ip aws.

плюсы решения: ненужны лагающие впны, выше скорость, больше мту, ниже пинк, даже кинетик это сможет. минусы: вы это неосилите )))))

antech
()
Последнее исправление: antech (всего исправлений: 1)
Ответ на: комментарий от antech

а чего это много кто докопался до адреса 192.168.0.10, может этот адрес не как не мешает keeneticy, вот представь что не мешает и всё, к тому же нечего не мешает отключить 192.168.0.10 от розетки и запитать напрямую к keeneticy компы. на aws запущен routeros версий 7.11beta6 + имеются два внешних IPv4. Как ты хочешь адрес aws телепортировать в другую сеть которая находится в другом городе и имеет другого провайдера?

advosh
() автор топика
Ответ на: комментарий от advosh

Как ты хочешь адрес aws телепортировать в другую сеть которая находится в другом городе и имеет другого провайдера?

Разговоры с самим собой - тревожный звоночек.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от antech

Выдыхайте. В вашем мире кинетик — неуправляемый марштрутер, не получится «на кинетике исключить из snat src-ip aws». И на 50 никакие настройки делать нельзя. Да и сервис нельзя привязывать к одному белому адресу, он должен на обоих белых адресах быть. Конечно сложно всё упомнить, когда пинк низкий, но всё же сосредоточтесь.

А некоторые провайдер следят за src-адресом исходящих от клиента пакетов и за отправку пакетов с левым ip-шником могут и заблочить. Так что ваш совет лучше даже не пытаться осиливать.

mky ★★★★★
()
Ответ на: комментарий от mky

У него аккаунтов пять. Текущий на Тостере — 3dcache. https://qna.habr.com/q/1295976

Выдаёт своеобразный стиль письма и речевые обороты.

ValdikSS ★★★★★
()
Последнее исправление: ValdikSS (всего исправлений: 1)
Ответ на: комментарий от advosh

через какой сайт ты сделал карту сети «https://iili.io/HQiOFf9.png»?

draw.io, только я десктопным приложением пользуюсь, но разницы никакой

wan-int у микротика там внешний IP адреса должны быть?

да, можно конечно и без них если он будет как vpn клиент работать

на keneetic что нужно тогда сделать?

vpn туннель до mkt и вторую таблицу маршрутизации, в которой def.route будет vpn канал и добавить в нее свои сервера

у микротика SNAT:«from any to wan-int src-nat 192.0.2.100» это шлюз провайдера aws?

да, конкретно это правило дефолтный snat, если будут другие клиенты подключаться

Kolins ★★★★★
()