Один провайдер - 2 ip (проблема с маршрутизацией) Помогите.

[Mmm]

Добрый день, всем.
Помогите настроить роутер RB3011UiAS - от провайдера есть 2 ip - разделён после свитча на 2 кабеля, один воткнут в порт ether1-WAN,
второй - ether9-WAN2.
Изначально был только первый ip адрес и весь офис ходил через него, понадобилось пробросить в локалку 2 порта -
80 и 443, так как они уже были заняты на основном ip почтой, то взяли второй адрес и с него пробросили - всё вроде заработало, НО
появилась проблема - в таблице роутинг этот второй ip адрес становиться главным (когда его включаешь на интерфейсе) и весь офис
начинает ходить через него, соотвественно перестаёт работать почта нормально из за PTR записи ну и так далее. Как только отключаю интерфейс на
ether9-WAN2, первый становиться главным и всё бегает нормально.
как задать приоритет или что сделать ?

[svetogor82]

свич вам не нужен повестье просто еще один адрес на интерфейсе
и делайте nat с учётом ip

[gmx]

У вас же в руках мощнейший роутер. Пользуйтесь маркировкой.
Вот почитайте эту статью: viewtopic.php?p=31356#p31356

Оно там немного не ваш случай, но идея понятна. В целом задача решается вот так:

1. В Mangle через Prerouting пометить пакеты. В качестве условия может быть подсеть или адрес листы, например. А может и порт. Тут уж от ваших желаний все зависит.
2. В IP routes создаете маршрут через нужный вам интерфейс или шлюз, но с условием Routing Mark c маркером из пункта 1.

Какая у вас ROS? Там в 7 версии в самом начале нужно будет создать Routing Table, которая и будет маркером для пункта 1 и 2.

При этом, возможностей микротика достаточно, чтобы использовать один порт Ethernet, а не два, как вы сделали. Микротик может "подсунуть" нужный вам IP адрес в физически тот же кабель. Уж не знаю как еще проще все это описать.

PS. Итог следующий: создать два маршрута нельзя с одинаковым Dst. Address. Точнее можно, но активным будет только один из них. Обязательно должно появится дополнительное условие срабатывания второго (третьего, пятого...) маршрута. Один из вариантов я вам описал.

[Mmm]

Насчёт того, что на одном интерфейсе можно прописать кучу ip - это я знаю и понимаю, изначально так и было, но так же подставлялся почему то свеже добавленный ip.
Поэтому решил пойти простым путём, думал там можно будет как метрику в винде обозначить интерфейсы.
Про Mangle я так и догадался, что надо будет делать, и читал про него документацию,
но честно говоря совсем не спец по Микротикам, достался от предыдущего админа офис с ним, потихоньку разбирался, основное работает и ладно,
а вот тут появилась задача и думал может есть какое то простое решение.
Просто не понимаю почему он подставляет именно новый ip.

[Mmm]

свич вам не нужен повестье просто еще один адрес на интерфейсе
и делайте nat с учётом ip

этот вариант без Mangle как я понимаю?
можно чуть подробнее для новичка?
я пробовал вместо маскарадинга прописывать src-nat с указание конкретного ip и создавал 2 таких правила,всё равно не получилось

[gmx]

Просто не понимаю почему он подставляет именно новый ip.

Оно там скорее всего подставляется по принципу, какой первый интерфейс заработал, то и подставилось. Это все на этапе инициализации железа происходит, угадать невозможно. После следующей перезагрузки, может подставится другой адрес.

а вот тут появилась задача и думал может есть какое то простое решение.

Поставьте второй микротик - проще некуда уже.


Вы почитайте статью, ссылку на которую я вам дал. Не так страшен черт...

[Mmm]

Да, спасибо, я уже просмотрел её, ни чего страшного нет там конечно, буду пробовать, просто офис и склады и магазины, всё работает и все эксперементы на живую череваты криками пользователей, если что отвалиться...

Единственное, я не много не понимаю - маршруты я пропишу руками для правила с Mangle, а что будет с теми которые уже есть DAC?
Они что уберутся из таблицы? Или ново созданные мной надо ставить в список первыми?

[Erik_U]

попробуйте повесить второй адрес с маской /32

[gmx]

Единственное, я не много не понимаю - маршруты я пропишу руками для правила с Mangle, а что будет с теми которые уже есть DAC?
Они что уберутся из таблицы? Или ново созданные мной надо ставить в список первыми?

Динамические правила остаются и вы их не трогаете. Порядок правил в routes, как в фаерволле, не работает. Если уж совсем точно, то понятие "порядо правил" в routes вообще не работает так, как мы его обычно применяем. В routes обязательное условие Dst. Address. Маска у dst. Address является признаком приоритета правила. Правило с маской /32 обрабатывается первым.
Правило 0.0.0.0/0 имеет самый низший приоритет. Для одинаковых правил порядок их работы определяет метрика. Синие правила в данный момент не работают. Работают только чёрные строки. Два одинаковых маршрута, с одинаковой метрикой, невозможны, один должен быть с дополнительным условием, в нашем случае routing mark.


PS. Я уже раз 10 отредактировал этот пост. Пытаюсь как можно проще все это писать. Надеюсь, вам станет чуть более понятно, как это все работает.