come dare ip pubblico a pppoe client

[amaririri]

salve

ho un ip pubblico dato dal mio isp x.x.177.62/30 come gateway ed ulteriori ip pubblici
assegnati al gateway x.x.194.32/28
la rete è strutturata nel seguente modo:

rb0 che fa da gateway e redistribuisce a r1(pppoe server) 172.26.1.1 e r2 (ppoe server) 172.26.2.1
I pppoe client si collegano a internet tranquillamente ma vorrei:

1) dare un indirizzo ip pubblico per tutti i pppoe client con lan 10.0.0.1/16 (R1) e 10.1.0.1/16 (R2)
2) assegnare un indirizzo ip pubblico ad uno specifico cliente per esempio 10.0.1.10

spero di essere stato chiaro
vi ringrazio in anticipo

[ibm]

Per la 1 fai una regola di masquerading ristretta alle classi che ti servono.
Per la 2 ci sono vari modi per farlo, o utilizzi il NAT 1:1 oppure assegni direttamente l'IP pubblico al client (avendo premura di controllare bene rotte e IP pubblici assegnati ai tuoi apparati).

[amaririri]

ciao
per quanto riguarda la prima
ho fatto come segue:
nel router ro
/ip firewall nat
add chain=dstnat action=dst-nat dst-address=x.x.194.35 to-addresses=172.26.1.2 place-before=0
add action=masquerade chain=srcnat disabled=no out-interface=WAN
add chain=srcnat action=src-nat src-address=172.26.1.2 to-addresses=x.x.194.35 place-before=0

e tutti i clienti si prendono quell'indirizzo ip pubblico

per quanto riguarda la seconda
in ro
/ip firewall nat
add chain=dstnat action=dst-nat dst-address=x.x.194.46 to-addresses=172.26.1.2 place-before=0
add action=masquerade chain=srcnat disabled=no out-interface=WAN
add chain=srcnat action=src-nat src-address=172.26.1.2 to-addresses=x.x.194.46 place-before=0

in r1 (pppoe server)

/ip firewall nat
add action=netmap chain=dstnat dst-address=x.x.194.46 to-addresses=10.0.100.100
add action=netmap chain=srcnat src-address=10.0.100.100 to-addresses=x.x.194.46
add action=masquerade chain=srcnat disabled=no out-interface=WAN-r0

solo che ho notato che mentre in r1 place-before=0 funziona in r0 no e tra l'altro non mi fa spostare le regole del firewall
Dove sta l'errore secondo voi?
grazie

[ibm]

Da Winbox non ti fa muovere le regole?

[amaririri]

ciao
si proprio cosi solo un routerboard fa muovere le regole l'altro no come indicato nel post precedente

[ibm]

Se gli dai il comando "ip firewall nat move 1 0" che errore ti restituisce?

[amaririri]

ciao ibm
ho fatto il reset della routerbord e adesso le regole del firewall si spostano correttamente

di seguito le regole delle mie routerboard per vedere se c'è qualche errore che non riesco a vedere
in ro
[admin@CORE] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 x.x.177.61 1
1 X S 0.0.0.0/0
2 ADC x.x.x.60/30 x.x.177.62 wan 0
3 X S x.x.x.61/32 x.x.194.46 1
4 ADC 172.26.1.0/24 172.26.1.1 ZONA1 0
5 ADC 172.26.2.0/24 172.26.2.1 ZONA2 0
6 ADC x.x.194.32/28 x.x.194.32 wan 0

ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat action=netmap to-addresses=172.26.1.2
dst-address=x.x.194.46 in-interface=wan

1 chain=srcnat action=netmap to-addresses=172.26.1.2
src-address=x.x.194.46 out-interface=wan

2 chain=dstnat action=dst-nat to-addresses=172.26.1.2
dst-address=x.x.194.45

3 chain=srcnat action=src-nat to-addresses=x.x.194.45
src-address=172.26.1.2

in r1 (pppoe server)
ip route

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S ;;; GATEWAY
0.0.0.0/0 172.26.1.1 1
1 ADC 10.0.0.0/16 10.0.0.1 bridge 0
2 ADC 10.0.100.111/32 10.0.0.1 <pppoe-test1> 0
3 ADC 172.26.1.0/24 172.26.1.2 ether1 0

Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat action=netmap to-addresses=10.0.100.111 dst-address=x.x.194.46

1 chain=srcnat action=netmap to-addresses=x.x.194.46 src-address=10.0.100.111

2 chain=srcnat action=masquerade out-interface=ether1

6 ;;; masquerade hotspot network
chain=srcnat action=masquerade src-address=10.0.0.0/16

qualche byte passa ma il 10.0.100.111 non va su internet

saluti

[ibm]

Ti dico la soluzione più pulita per ottenere ciò che ti serve:
- assegni un ip della /28 alla tua rb di frontiera
- assegni altri 2 ip della /28 alle 2 routerboard che fanno da PPPoE server le quali avranno come gateway quello del punto precedente
- fai 2 regole di masquerade sulle 2 rb PPPoE sulle classi i cui clienti non necessitano di ip pubblico
- assegni tramite il PPPoE l'ip pubblico direttamente alla CPE

In questo modo eviti NAT inutili.