pppoe server e ip pubblici

[raffaelema]

Salve,
ho una domanda da farvi, la mia configurazione attuale e un server pppoe mikrotik x86 con 4 eth,
eth1 - utenze
eth2 - wan 192.168.1.2/24
eth3 - wan2 - al momento non utilizzata
eth4 - supporto ( radius, syslog, ecc. )

ho un router cisco sulla wan (192.168.1.1) con 8 ( utilizzabili 5 ) ip pubblici configurati con nat 1:1 su ip privato,
es. xx.xx.xx.01 192.168.1.2
xx.xx.xx.02 192.168.1.3
xx.xx.xx.03 192.168.1.4 ecc.
pppoe server - srcnat masquerade .
ip lato utenze assegnate staticamente es 192.168.30.x
se possibile vorrei assegnare ad un utenza un indirizzo ip pubblico, secondo voi e fattibile?
e se si come protrei configurarlo?

Grazie mille
Raffaele

[diginet]

ciao , io forse ho il tuo stesso impianto. tu al syslog e al management accedi via pagina web?
se si io dal management riesco a impostare di lì l'indirizzi da dare ai clienti.
spero che abbiamo lo stesso impianto almeno ci scambiamo dei consigli, io ho altri problemi che poi ti posterò.
ciao

[g.marocchio]

Ciao raffaele,

se ho capito bene la tua struttura..... dovresti aggiungere i vari ip interni che hai in configurazione nat 1:1 sul server pppoe, dodiche devi fare una regola di srcnat e una di dstnat dedicata per ogni utente che ha ip pubblico statico.

non è il massimo della vita questo genere di config... personalmente ti consiglio di rifare sta cosa usando il routing eliminando cosi i 3 giri di nat.. na vera porcata.


Saluti

[raffaelema]

Ciao g.marocchio e per primo grazie per la risposta,
ho alcune domande,
dove devo inserire gli ip interni in configurazione nat 1:1 sulla eth wan?
le regole di srcnat e dstnat come le devo inserire, faccio un esempio se corretto?
srcnat - Src.Address : ipcliente / Out.Interface : Wan come gli dico che deve uscire con la wan e l'ip associato (nat1:1)?
dstnat - Dts.Address : ipcliente / In.Interface : Wan come sopra?
Forse devo utilizzare Routing Mark per identificare le rotte?

Grazie mille
Raffaele

[g.marocchio]

dove devo inserire gli ip interni in configurazione nat 1:1 sulla eth wan?

si devi aggiungere sulla WAN del tuo pppoe tutti gli ip su cui sono mappati i pubblici

le regole di srcnat e dstnat come le devo inserire, faccio un esempio se corretto?
srcnat - Src.Address : ipcliente / Out.Interface : Wan come gli dico che deve uscire con la wan e l'ip associato (nat1:1)?
dstnat - Dts.Address : ipcliente / In.Interface : Wan come sopra?

srcnat nell'action invece di metter masquerade metti to-address e ci metti li l'ip della WAN che ha associato l'ip pubbico..
su dstnat metti invece:
dstnat - INDIRIZZO WAN su cui è mappato il pubblico e nel to address metti l'ip che ha via pppoe.


penso d'essermi spiegato..


Saluti

[raffaelema]

ciao giuseppe,
grazie per la risposta, ho effettuato delle prove e sembra funzionare, ma mi sorge un dubbio,
gli altri utenti che non assegno un ip pubblico li lascio in masquerade o creo sempre una regola di srcnat e dstnat?
se devo creare le regole di nat, come la devo impostare?

grazie
raffaele

[g.marocchio]

puoi anche lasciarli in masquerade, sei fai una regola di src-nat è meglio!

[raffaelema]

ho creato una segola di src-nat come src.address ho messo !ip che ho assegnato staticamente e to address ip wan dinamico.
è corretto?

grazie

[g.marocchio]

fammi un export...

[raffaelema]

Codice: Seleziona tutto

/ip firewall nat

add action=src-nat chain=srcnat comment=\
    "IP PUBBLICO STATICO 1 ---  " disabled=no src-address=\
    192.168.20.100 to-addresses=192.168.1.2
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=\
    192.168.1.2 to-addresses=192.168.20.100
add action=src-nat chain=srcnat comment=\
    "IP PUBBLICO STATICO 2 ---  " disabled=no src-address=\
    192.168.20.101 to-addresses=192.168.1.5
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=\
    192.168.1.5 to-addresses=192.168.20.101
add action=src-nat chain=srcnat comment=Utenti_Standard disabled=no \
    src-address=!192.168.20.100 to-addresses=192.168.1.10
add action=dst-nat chain=dstnat comment="" disabled=yes dst-address=\
    192.168.1.10 to-addresses=0.0.0.0-255.255.255.255