netmap Настройка NAT: Часть 4 — asp24.ru

Настройка NAT: Часть 4 — asp24.ru

netmap

Введение

В этой части статьи мы рассмотрим зачем нужен Netmap. Рассмотрим на примере реальной задачи.

Итак, Netmap или 1:1 NAT позволяет преобразовывать адреса одной сети в адреса другой сети 1:1.

Т.е. вы можете преобразовать сеть 10.168.0.0/24 в 192.168.0.0/24

При этом, у Вас каждый адрес одной сети, будет соответствовать адресу другой сети. Иными словами будет выполнятся условие:

10.168.0.1=192.168.0.1 … 10.168.0.254=192.168.0.254

Конфигурация такого типа является достаточно редкой, но иногда без нее не обойтись.

Условия задачи

У клиента есть два офиса в разных частях города.В каждом офисе локальная сеть имеет локальную сеть 192.168.0.0/24. В каждом офисе часть адресов дублируется. Например, файловый сервер в обоих офисах имеет адрес 192.168.0.2

Очень много устройств подключено непосредственно по IP-адресам.

Задача:

Объединить обе сети посредством VPN не меняя внутреннюю адресацию. Общая схема cети:

Что имеем:

• одинаковая адресация обоих сетей не дает нам использовать маршрутизацию 
• дублирующиеся адреса не дают нам возможность использовать L2 VPN (EoIP или BCP). И это как раз тот случай, когда требуется 1:1 NAT

Основная идея решения этой задачи состояла в том, чтобы преобразовать адреса сети офиса 1 к подсети 192.168.1.0/24, а адреса офиса 2 к подсети 192.168.2.0/24

Тогда офис 1 мог обращаться к ресурсам офиса 2 по адресам 192.168.2.x, а офис 2 мог бы обращаться к ресурсам офиса 1 по адресам 192.168.1.х. При этом адреса ресурсов внутри офиса остались бы без изменений.

Схема работы

Итак рассмотрим эту схему.

Зеленая часть схемы преобразований.
1. Пакет из офиса 1, с адреса 192.168.0.x, отправляется в офис 2 по адресу 192.168.2.x
2. При обработке на маршрутизаторе 1, адрес отправителя пакета меняется на 192.168.1.x (src-nat)
3. При поступлении пакета на маршрутизатор 2, адрес назначения пакета меняется на 192.168.0.х (dst-nat)

Синяя часть схемы преобразований является зеркальным отображением зеленой.
1. Пакет из офиса 2, с адреса 192.168.0.х, оправляется в офис 1 по адресу 192.168.1.х
2. При обработке на маршрутизаторе 2, адрес отправителя пакета меняется на 192.168.2.х (src-nat)
3. При поступлении пакета на маршрутизатор 2, адрес назначения пакета меняется на 192.168.0.х (dst-nat)

Таким образом:
1. Все хосты офиса 1, считают что локальная сеть офиса 2 имеет адреса из подсети 192.168.2.0/24, а их собственная локальная сеть имеет адреса в подсети 192.168.0.0/24
2. Все хосты офиса 2, считают что локальная сеть офиса 1 имеет адреса из подсети 192.168.1.0/24, а их собственная локальная сеть имеет адреса в подсети 192.168.0.0/24

Настраиваем.

Маршрутизатор офиса 1

/ip firewall nat add action=netmap chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.0.0/24\ to-addresses=192.168.1.0/24 add action=netmap chain=dstnat dst-address=192.168.1.0/24 src-address=192.168.2.0/24\ to-addresses=192.168.0.0/24

Маршрутизатор офиса 2 имеет зеркальную конфигурацию

/ip firewall nat add action=netmap chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24\ to-addresses=192.168.2.0/24 add action=netmap chain=dstnat dst-address=192.168.2.0/24 src-address=192.168.1.0/24\ to-addresses=192.168.0.0/24

Для окончательной шлифовки добавим маршруты (само построение VPN в тему статьи не входит.
Маршрутизатор офиса 1

/ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.10.2

Маршрутизатор офиса 2

/ip route add distance=1 dst-address=192.168.1.0/24 gateway=10.10.10.1

В этой части статьи мы узнали зачем нужен 1:1 NAT и в каких случаях использовать эту конфигурацию.