2ip адреса на один роутер

Время на прочтение
4 мин

Количество просмотров 64K

Нечасто, но с завидной периодичностью на профильных форумах возникал один и тот же вопрос: «как на одном интерфейсе роутера MikroTik получить два IP-адреса с разными MAC?». Обычно этот вопрос остается без ответа, либо вопрошающему отвечают «никак». И действительно, задача нетривиальная. В стандартной конфигурации соблюдается правило «1 интерфейс = 1 MAC». В этой статье я расскажу как обойти это ограничение используя расширенный функционал MikroTik.

Сначала вспомним матчасть RouterBoard. Помимо маршрутизации, устройства MikroTik могут выполнять и коммутацию. Для этого некоторые из них имеют отдельный свитч-чип, а также возможность объединять интерфейсы с помощью программного коммутатора — bridge. Bridge (в русской терминологии «мост») производит коммутацию пакетов за счёт ресурсов процессора устройства. С помощью моста также объединяют между собой разнородные ethernet-образные инетрфейсы — ethernet, wlan, vlan, eoip, vpls.

Мост в иерархии интерфейсов микротик является более высокой, объединяющей сущностью. При объединении интерфейсов с помощью моста, на него устанавливается MAC-адрес, который будет транслироваться во все подчиненные (slave) интерфейсы. MAC-адреса подчиненных интерфейсов перестают использоваться и заменяются в исходящих фреймах MAC-адресом моста.

Соответственно, IP-адрес и все службы связанные с протоколом IP должны быть привязаны НЕ к зависимым интерфейсам, а

к вышестоящему мосту

.

За счёт того, что мост реализован ресурсами CPU, он имеет очень широкий функционал по управлению трафиком. Фильтрация входящих и транзитных пакетов, а также возможность трансляции MAC-адресов сразу привлекли моё внимание. Итак, инструментом решения задачи будет bridge, точнее bridge NAT.

Приступим. У нашего подопытного маршрутизатора есть внутренний мост «bridge-local», которому присвоен адрес 192.0.2.1/24 и который является шлюзом для компьютеров локальной сети. Для «bridge-local» администратором назначен MAC

D4:CA:6D:C7:11:11

Физический интерфейс Ether2 является одним из подчиненных (slave) портов моста «bridge-local» и непосредственно соединяется с локальной сетью.

Задача:

добавить на маршрутизатор адрес из той же IP-подсети, но с другим MAC-адресом. Для примера выбрано сочетание IP 192.0.2.111/24 и MAC:

D4:CA:6D:C7:22:22

Поскольку в лоб правило «1 интерфейс = 1 MAC» преодолеть нельзя, мы пойдем в обход. Для начала создадим вспомогательный интерфейс «bridge111» куда навесим дополнительный IP-адрес и MAC:

Теперь разбираемся, что, откуда и куда нужно будет подменять используя мост. Для этого заглянем в описание протокола ARP: ru.wikipedia.org/wiki/ARP#.D0.9F.D1.80.D0.B8.D0.BD.D1.86.D0.B8.D0.BF_.D1.80.D0.B0.D0.B1.D0.BE.D1.82.D1.8B
Очевидно, что нам нужно перехватывать ARP-запросы узлов запрашивающих MAC устройства имеющего IP 192.0.2.111. Для этого в NAT существует отдельный action «arp-reply»:

Попытка выполнить с компьютера команду «ping 192.0.2.111» явного результата не дала, однако при просмотре на компьютере локальной arp-таблицы стало видно сопоставление нового IP-адреса с новым MAC. Получается протокол ARP мы победили.

Переходим к следующему шагу — нам нужно добиться связности по IP. Для этого захватываем пакеты идущие на дополнительную пару MAC+IP:

После этой команды появляется некое подобие связности. Локальная ARP-таблица компьютера содержит две записи — по одной для каждой пары MAC+IP. MAC-адреса в ней различаются, так как мы и хотели. Пинг до адреса 192.0.2.111 и ответы исправно прилетают.

Но давайте посмотрим на принятые пакеты через wireshark:

Мы видим, что echo-ответы идут с MAC-адреса

D4:CA:6D:C7:11:11

, связанного с первым IP-адресом 192.0.2.1. И хотя связность есть, решение является незаконченным. Нам необходимо также подменять MAC-адреса в исходящих от роутера пакетах, имеющих src-ip 192.0.2.111. Сделаем это:

Вот, теперь пакеты в сети выглядят правильно — имеют правильное сочетание src-IP и src-MAC:

В окошке winbox настроенные правила преобразования выглядят так:

Аналогичным способом на интерфейс можно добавить сколько угодно дополнительных IP, каждый со своим MAC прописывая соответствующие правила трансляции адресов. Маскарад вам в помощь.

Update:

добавил результаты теста с включенным и с выключенным Bridge L2-NAT.
Для теста использовался RB951Ui-2HnD с процессором AR9344. Загрузка процессора изменяется незначительно, в пределах погрешности измерительных инструментов. В среднем рост составил

2%

на 100M интерфейсе.

L2-NAT выключен:

L2-NAT включён:

как сделать так чтобы через роутер показывало разные IP адреса компов?

Заказать у провайдера » второй IP-адрес без доступа в интернет «.
И на роутере вынести второй компьютер в зону DMZ

Если хочется играть на двух домашних компах — тогда так:

Обычно на роутере работает сервис выдачи адресов DHCP.
Компьютер подключаясь к сети просит у роутера адрес (дай мне адрес) .
Тот говорит «НА». и дает адрес. (например 192.168.0.101)

Если к роутеру подключается компьютер и говорит «привет, я такой-то» (например 192.168.0.112)
Роутер отвечает «заходи, гостем будешь».
Это по простому.

По науке:
На первом компе в свойствах сетевого адаптера на компе выставить
фиксированный IP-адрес вида 192.168.0.115
маска подсети 255.255.255.0
шлюз по умолчанию 192.168.0.1 (это адрес роутера. говорит компьютерам — через кого бегать в интернет)
DNS- сервер — можно поставить такой-же как шлюз.

На втором компе меняется только адрес (точнее последняя цифра 192.168.0.116)
Остальные настройки — такие-же.

Бывают роутеры, которые выдают адреса из пространства 192.168.1.xxx (т. е. ноль меняется на единицу)
тогда везде после 192.168 — ноль меняешь на единицу — последнюю цифру сохраняешь.

Р [о] утер раздаёт внутренние уникальные динамические адреса. Для игры по _внутренней_ локальной сети используйте именно их. Посмотреть свой IP адрес можно в настройках р [о] утера обычно в разделе DHCP или посмотреть в свойствах сетевого соединения на каждой машине или выполнив команду Пуск->Выполнить->cmd в нём ipconfig опять-же на каждой машине.

Обычно раздаются адреса вида 192.168.x.x

Если нужна игра извне и нужно, чтобы было 2 сервера параллельно — придётся настраивать проброс портов и резервацию IP адресов на р [о] утере.

Источник

Как сделать разные ip адреса с одного роутера

Внутрениий это для работы внутри сети провайдера.

Пример:
локальный 10.4.59.127
внешний 146.75.23.254
Адреса разные, но закреплены за одной железкой

P.S. Про два IP с разными маками непонятно.

Пока что нашел с форума Триолан это:

«Если у Вас будет 2 IP адреса то свой роутер Вы можете использовать как неуправляемый свитч со встроенным WI-FI и у Вас все будет работать без дополнительных настроек.
Для этого надо :
1) На компьютер и ноутбук прописать полученные IP адреса
2) Кабель от нашего свитча и от комьютера включить в порты LAN вашего роутера.
3) Ноутбук подключить к роутеру либо через порт LAN либо подключиться по WI-FI.
4) Не нужны никакие дополнительные настройки роутера — компьютер и ноутбук получают полноценный доступ в Интернет без NAT и
переадресации портов.»

По поводу первого пункта хотелось бы прописать второй айпишник не ноуту, а роутеру который будет работать чисто на вай-фай. В этом случае, комп и роутер живут каждый отдельной жизнью. Как это сделать?

Источник

Твой Сетевичок

Все о локальных сетях и сетевом оборудовании

Как сделать несколько ip адресов на одном компьютере?

Вопрос, как настроить два ip адреса на одной сетевой карте, актуален как для опытных пользователей рунета, так и для новичков. Ведь при создании локальной сети зачастую необходимо реализовать несколько ip адресов на одном компьютере, при этом установка дополнительного сетевого интерфейса далеко не всегда станет оптимальным решением. Поэтому здесь мы разберем, как настроить два ip адреса на одной сетевой карте windows 7, и с какими проблемами может столкнуться начинающий «юзер» при решении данной задачи.

Разные ip на одном компьютере: как настроить?

Перед тем, как приступать к настройкам сетевой карты, необходимо точно определить какие «ip адреса» и «маски подсети» будут использоваться на данном компьютере (так как в дальнейшем они будут «Статистическими»).

Итак, за основу примера возьмём первый ip адрес 192.168.10.2/24 (соответственно, его маска подсети 255.255.255.0) и второй ip адрес 193.168.10.2./24 с такой же маской подсети — 255.255.255.0.

Для настройки первого IP-адреса:

• — в «Центре управления сетями и общим доступом» правой кнопкой мышки откройте «Свойства» сети;

• — далее выделите строку «Протокол Интернета (TCP/IP)» и нажмите «Свойства»;
• — при включенномDHCPсервере ip адрес вы получаете автоматически: в данном случае это будет помехой, поэтому кликните на строку «Использовать следующий ip адрес»;

• — теперь в графе«ip адрес» впишите первый адрес (в рамках данного примера это 192.168.10.2), при этом «Маска подсети» определится автоматически (для этого необходимо однократно кликнуть в данной строке). В графе «Основной шлюз» можно указать ip роутера (например, 192.168.0.1 — он указан на сервисной этикетке маршрутизатора), а «DNSсервер» введите публичный (например, dns-сервер «google» 8:8:8:8) или вашего провайдера;

Настройка второго IP адреса на одной сетевой карте

Чтобы настроить второй ip адрес на одной сетевой карте windows 7:

— в этом же окне «Свойства: Протокол Интернет (TCP/IP)» кликните кнопку «Дополнительно»;

— в открывшемся окне на первой вкладке «Параметры IP» будет указан первый установленный вами ip адрес со своей «Маской подсети»: нажмите кнопку «Добавить»;

— откроется маленькое окошко: в первую строку введите второй ip адрес (в рамках примера это 193.168.10.2); по клику мышки «Маска подсети» добавится автоматически;

• — во второй вкладке «DNS» можно добавить дополнительные/альтернативные DNS-серверы: например, сервера Яндекс 77.88.8.8 или 77.88.8.88 — выбор за вами;

— нажмите кнопку «Добавить» и дважды «ОК».

На этом сеть с двумя подсетями настроена: можно проверить так ли это на самом деле. Для этого в командной строке введите «ipconfig/all» и в графе «IP адрес» проверьте, соответствуют ли реальные адреса тем, которые вы установили в настройках.

Источник

Проброс портов и настройка роутера для внешнего доступа

Домашний роутер обычно не дает возможности добраться из внешнего Интернета до компьютеров во внутренней сети. Это правильно — хакерские атаки рассчитаны на известные уязвимости компьютера, так что роутер является дополнительным препятствием. Однако бывают случаи, когда доступ к роутеру и его локальным ресурсам из «внешнего мира» становится необходим. О том, в каких случаях бывает нужен доступ извне, и как его безопасно настроить — эта статья.

Зачем открывать доступ извне?

Доступ «снаружи» нужен не только в экзотических случаях вроде открытия игрового сервера или запуска сайта на домашнем компьютере. Гораздо чаще приходится «открывать порт» для многопользовательской игры, а это — как раз предоставление внешнему пользователю (серверу игры) доступа к внутренней сети (порт компьютера). Если необходимо удаленно подключиться и настроить компьютер или роутер, скачать файл-другой из домашней сети, находясь в командировке, или посмотреть видео с подключенных к домашней сети IP-камер — нужно настроить доступ.

Цвета и формы IP-адресов

Прежде чем разбираться, как открыть доступ к своим ресурсам, следует понять, как вообще происходит соединение в сети Интернет. В качестве простой аналогии можно сравнить IP-адрес с почтовым адресом. Вы можете послать письмо на определенный адрес, задать в нем какой-то вопрос и вам придет ответ на обратный адрес. Так работает браузер, так вы посещаете те или иные сайты.

Но люди общаются словами, а компьютеры привыкли к цифрам. Поэтому любой запрос к сайту сначала обрабатывается DNS-сервером, который выдает настоящий IP-адрес.

Допустим теперь, что кто-то хочет написать письмо вам. Причем не в ответ, а самостоятельно. Не проблема, если у вас статический белый адрес — при подключении сегодня, завтра, через месяц и год он не поменяется. Кто угодно, откуда угодно, зная этот адрес, может написать вам письмо и получите его именно вы. Это как почтовый адрес родового поместья или фамильного дома, откуда вы не уедете. Получить такой адрес у провайдера можно только за отдельную и регулярную плату. Но и с удаленным доступом проблем меньше — достаточно запомнить выданный IP.

Обычно провайдер выдает белый динамический адрес — какой-нибудь из незанятых. Это похоже на ежедневный заезд в гостиницу, когда номер вам выдается случайно. Здесь с письмом будут проблемы: получить его можете вы или другой постоялец — гарантий нет. В таком случае выручит DDNS — динамический DNS.

Самый печальный, но весьма распространенный в последнее время вариант — серый динамический адрес: вы живете в общежитии и делите один-единственный почтовый адрес с еще сотней (а то и тысячей) жильцов. Сами вы письма писать еще можете, и до адресата они дойдут. А вот письмо, написанное на ваш почтовый адрес, попадет коменданту общежития (провайдеру), и, скорее всего, не пойдет дальше мусорной корзины.

Сам по себе «серый» адрес проблемой не является — в конце концов, у всех подключенных к вашему роутеру устройств адрес именно что «серый» — и это не мешает им пользоваться Интернетом. Проблема в том, что когда вам нужно чуть больше, чем просто доступ к Интернету, то настройки своего роутера вы поменять можете, а вот настройки роутера провайдера — нет. В случае с серым динамическим адресом спасет только VPN.

Кто я, где я, какого я цвета?

С терминологией разобрались, осталось понять, какой именно адрес у вас. У большинства провайдеров фиксированный адрес стоит денег, так что если у вас не подключена услуга «статический IP-адрес», то он наверняка динамический. А вот белый он или серый гусь — это нужно проверить. Для начала надо узнать внешний IP-адрес роутера в его веб-интерфейсе и сравнить с тем адресом, под которым вас «видят» в Интернете.

В админ-панели роутера свой IP можно найти на вкладках «Информация о системе», «Статистика», «Карта сети», «Состояние» и т. п. Где-то там нужно искать WAN IP.

Если адрес начинается с «10.», или с «192.168.», то он определенно «серый» — большинство способов открытия доступа работать не будет и остается только VPN.

Если же адрес выглядит по-другому, надо посмотреть на него «снаружи» с помощью одного из сервисов, показывающих ваш IP-адрес, например, http://myip.ru/.

Если адрес, показанный на сайте, совпадает с тем, что вы увидели в веб-интерфейсе, то у вас честный «белый» адрес и доступ из «большого мира» не вызовет особых затруднений — остается только настроить «пробросы» на роутере и подключить DDNS.

Что такое порты и зачем их бросать?

Порт — это пронумерованное виртуальное «устройство», предназначенное для передачи данных по сети. Каждая сетевая программа использует для установления связи отдельный порт или группу портов. К примеру, браузеры используют TCP-порт 80 для незашифрованного трафика (http) и 443 для зашифрованного (https).

Проброс порта — это специальное правило в роутере, которое разрешает все обращения извне к определенному порту и передает эти обращения на конкретное устройство во внутренней сети.

Необходимость «проброса» портов обычно возникает при желании сыграть по сети в какую-нибудь игру с компьютера, подключенного к роутеру. Впрочем, это не единственная причина — «проброс» потребуется при любой необходимости получить «извне» доступ к какому-нибудь конкретному устройству в вашей локальной сети.

Разрешать к компьютеру вообще все подключения, то есть пробрасывать на него весь диапазон портов — плохая идея, это небезопасно. Поэтому роутеры просто игнорируют обращения к любым портам «извне». А «пробросы» — специальные исключения, маршруты трафика с конкретных портов на конкретные порты определенных устройств.

Игровые порты: что, куда бросаем?

Какой порт открыть — зависит от конкретного программного обеспечения. Некоторые программы требуют проброса нескольких портов, другим — достаточно одного.

У разных игр требования тоже отличаются — в одни можно играть даже с «серого» адреса, другие без проброса портов потеряют часть своих возможностей (например, вы не будете слышать голоса союзников в кооперативной игре), третьи вообще откажутся работать.

Например, чтобы сыграть по сети в «Destiny 2», нужно пробросить UDP-порт 3074 до вашей «плойки», или UDP-порт 1200 на Xbox. А вот до ПК потребуется пробросить уже два UDP-порта: 3074 и 3097.

В следующей таблице приведены некоторые игры и используемые ими порты на ПК:

Источник