Не могу настроить конфигурацию на два провайдера

Обсуждение ПО и его настройки
F1ReB4LL
Сообщения: 7
Зарегистрирован: 23 май 2019, 14:13

Вообщем такая ситуация, сколько не читаю интернет сайты где опубликованы подобные статьи, все бестолку, вокруг и около...
Железка RB3011 конфигурация простая, нужно чтобы через двух провайдеров выходили в интернет разные компьютеры сети.
Вроде все настроил инет работает, из address list делит ip адреса, но хоть убей не могу понять почему не работает маршрут ко второму провайдеру, ping говорит no router to host.
Теперь более подробно.
Есть два провайдера.
1. Ростелеком PPOE eth1
2. ЕИКС eth 2 тут статический адрес и шлюз
3. LAN eth5
4. address list настроил если меняешь на компе все отрабатывает как положено.
интернет работает, или не работает :) тоесть посылает на другой шлюз, но сам шлюз хоть убей не пингуется.
Хотя если настраиваю второго провайдера как один,то все работает.


F1ReB4LL
Сообщения: 7
Зарегистрирован: 23 май 2019, 14:13

# model = RouterBOARD 3011UiAS
# serial number = ************
/interface bridge
add admin-mac=74:4D:28:2D:F1:C2 auto-mac=no comment=defconf name=bridge
/interface pppoe-client
add disabled=no interface=ether1 name=TTK password=******** service-name=TTK user=********
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/queue simple
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=1M/1M name=queue1 target=192.168.0.239/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=1M/1M name=queue2 target=192.168.0.238/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=1M/1M name=queue3 target=192.168.0.237/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=1M/1M name=queue7 target=192.168.0.233/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=1M/1M name=queue10 target=192.168.0.63/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=1M/1M name=queue8 target=192.168.0.231/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=1M/1M name=queue9 target=192.168.0.234/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=1M/1M name=queue11 target=192.168.0.235/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=1M/1M name=queue6 target=192.168.0.236/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=1M/1M name=queue5 target=192.168.0.240/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=1M/1M name=queue4 target=192.168.0.241/32
/interface bridge port
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.0.1/24 comment=defconf interface=ether5 network=192.168.0.0
add address=10.54.224.3 interface=ether2 network=255.0.0.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=212.12.0.2,212.12.0.3
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=192.168.0.2-192.168.0.254 list=IPL1
add address=192.168.0.40-192.168.0.115 disabled=yes list=IPL2
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=GW1 passthrough=yes src-address-list=IPL1
add action=mark-routing chain=prerouting new-routing-mark=GW2 passthrough=yes src-address-list=IPL2
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=TTK
add action=masquerade chain=srcnat out-interface=ether2
/ip route
add distance=1 gateway=TTK routing-mark=GW1
add distance=1 gateway=10.54.225.254 routing-mark=GW2
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


вот конфиг, но возможно я уже где то перемудрил, уже начал наугад все в подряд прописывать.
Последний раз редактировалось F1ReB4LL 23 май 2019, 14:46, всего редактировалось 1 раз.


F1ReB4LL
Сообщения: 7
Зарегистрирован: 23 май 2019, 14:13

DHCP кстати мне вообще не нужен!!! Я незнаю откуда он в конфиге, а винбоксе все удалил


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) ну коли Вы многое читали, зачем свою конфигурацию Вы делаете поверх заводского конфига?
(это очень не профессионально)
1.1) там же, в пре-заводских настройках есть и DHCP
1.2) также без пре-заводского файрвола (для тестирование) было бы лучше, вдруг он режет что-то?
1.3) если у Вас ЛАН только 5й порт, зачем Вы все порты туда засунули в бридж?

2) зачем в таблице маршрутизации шлюз прописываете (для первого провайдера) в виде название интерфейса?
2.1) Все шлюзы в таблице маршрутизации надо прописывать по/через IP только. Вы делаете маршрутизацию,
поэтому руками создавайте маршрут, без выбора интерфейса.
2.2) самому роутеру (его ДНСу как пример) тоже нужно знать куда обращаться, поэтому
кроме 2х маркированных маршрута, должен быть ОДИН дефольный маршрут на какова-то
провайдера.

3) NAT: уберите дефольный NAT и пропишите правила (2 правила, по одному на каждого провайдера)

4) ВАЖНОЕ: я не совсем понял как Вы тестируете, и прочие моменты, но:
а) на винде(на компе) не должно быть файрволов
б) и вот это самое важное, когда Вы переключаете адрес машины, это не означает что роутер
сразу всё сделает, есть такое понятие как сессии, поэтому, переключив комп в другой канал,
если до этого пинговали ya.ru, то после переключения пингуйте то, что не пинговали ещё,
скажем rambler.ru и если конфиг правильный, маршрутизация (да, лучше не пинговать, а делать
с компа трасерт, так лучше видно куда пошёл запрос) Вы и поймёте, туда оно пошло или нет.
в) ну и схема у Вас сжатая, конечно делают более основательно, маркируют и соединения,
и промежуточные и исходящие пакеты.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
F1ReB4LL
Сообщения: 7
Зарегистрирован: 23 май 2019, 14:13

2) зачем в таблице маршрутизации шлюз прописываете (для первого провайдера) в виде название интерфейса?
2.1) Все шлюзы в таблице маршрутизации надо прописывать по/через IP только. Вы делаете маршрутизацию,
поэтому руками создавайте маршрут, без выбора интерфейса.
Как я пропишу туда IP шлюза, если он появляется только когда есть соединение PPPOE это меня и смутило, и IP там динамический вообще.
если у Вас ЛАН только 5й порт, зачем Вы все порты туда засунули в бридж?
По сути все порты кроме 1, 2 равнозначны с 5 портом, поэтому я из засунул в бридж, просто провод LAN воткнут в 5 порт.

Код: Выделить всё

3) NAT: уберите дефольный NAT и пропишите правила (2 правила, по одному на каждого провайдера)
Если убрать дефолтный то какой NAT прописать? Есть какие то рабочие конфиги?


А тестирую просто. Работаю в сети на компе с IP 192.168.0.11 допустим, все работает интернет грузит, потом меняю на 192.168.0.74 перегружаю комп и роутер. интернет уже не работает! пинг отсутствует.
И так же нет пинга из терминала роута на шлюз 10.54.225.254


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

F1ReB4LL писал(а): 23 май 2019, 16:10 Как я пропишу туда IP шлюза, если он появляется только когда есть соединение PPPOE это меня и смутило, и IP там динамический вообще.
Я не увидел что ТТК это рррое, я кстати советую оставлять в названии сущность интерфейса, назовите рррое-ТТК,
так будет понятно. Но сути вопроса не меняет.
У меня тоже ррррое (аж 3 штуки + динамический один) и всё работает.
Главное, в настройках рррое уберите создавать/прописывать шлюз автоматом.
И в целом, Ваша запись маршрута (рррое) пока верна (для первого провайдера).
F1ReB4LL писал(а): 23 май 2019, 16:10 По сути все порты кроме 1, 2 равнозначны с 5 портом, поэтому я из засунул в бридж, просто провод LAN воткнут в 5 порт.
Ясно, просто советую из роутера свитч не делать.
F1ReB4LL писал(а): 23 май 2019, 16:10 Если убрать дефолтный то какой NAT прописать? Есть какие то рабочие конфиги?
Как Вы прописали для второго порта, так и пропишите для рррое интерфейса (для первого провайдера).
А первое правило нат (заводское, defconf) уберите.
F1ReB4LL писал(а): 23 май 2019, 16:10 А тестирую просто. Работаю в сети на компе с IP 192.168.0.11 допустим, все работает интернет грузит, потом меняю на 192.168.0.74 перегружаю комп и роутер. интернет уже не работает! пинг отсутствует.
И так же нет пинга из терминала роута на шлюз 10.54.225.254
Ну слишком сложно и пафосно.
У Вас на роутере 2 таблицы (для двух провайдеров). Именно в роутере,
в Tools есть утилита Трасероут и Пинг и именно у этих утилит
внизу есть выбор таблицы маршрутов.

То есть вызываете Трасероут, руками пишите 8.8.8.8 и выбираете
провайдера 2, и смотрите, если с роутера трасерт не пойдёт, у Вас нет второго канала.
(не прописали где-то, нет связи, что-то не сделали).
Пока не добъётесь работы Трасерта и Пинга с обоих каналов = до компа можно не идти.


Изображение



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
F1ReB4LL
Сообщения: 7
Зарегистрирован: 23 май 2019, 14:13

Вообщем продолжаю биться об стенку уже с этим микротиком.


# serial number = 8EED0A71555F
/interface bridge
add admin-mac=74:4D:28:2D:F1:C2 auto-mac=no name=bridge
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-ttk password=\
service-name=ttk use-peer-dns=yes user=
/interface list
add name=IPS1
add name=LAN
add name=ISP2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.0.251-192.168.0.253
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge name=dhcp1
/queue simple
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=\
1M/1M name=queue1 target=192.168.0.239/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=\
1M/1M name=queue2 target=192.168.0.238/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=\
1M/1M name=queue3 target=192.168.0.237/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=\
1M/1M name=queue7 target=192.168.0.233/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=\
1M/1M name=queue8 target=192.168.0.231/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=\
1M/1M name=queue10 target="192.168.0.55/32,192.168.0.56/32,192.168.0.57/32,1\
92.168.0.58/32,192.168.0.59/32,192.168.0.60/32,192.168.0.61/32,192.168.0.62/\
32,192.168.0.63/32,192.168.0.64/32,192.168.0.65/32,192.168.0.67/32,192.168.0\
.68/32"
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=\
1M/1M name=queue9 target=192.168.0.234/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=\
1M/1M name=queue11 target=192.168.0.235/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=\
1M/1M name=queue6 target=192.168.0.236/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=\
1M/1M name=queue5 target=192.168.0.240/32
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=2m/2m max-limit=\
1M/1M name=queue4 target=192.168.0.241/32
/interface bridge port
add bridge=bridge interface=ether5
add bridge=bridge interface=ether6
add bridge=bridge interface=ether7
add bridge=bridge interface=ether8
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=bridge list=LAN
add interface=pppoe-ttk list=IPS1
add interface=ether2 list=ISP2
/ip address
add address=192.168.0.1/24 interface=bridge network=192.168.0.0
add address=10.54.224.2/23 interface=ether2 network=10.54.224.0
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=10.54.224.0/23 gateway=10.54.224.2 netmask=23
add address=192.168.0.0/24 dns-server=212.12.0.2,212.12.0.3 \gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=10.54.224.2 name=router.lan
/ip firewall address-list
add address=192.168.0.2-192.168.0.254 list=IPL1
add address=192.168.0.40-192.168.0.115 disabled=yes list=IPL2
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=IPS1
/ip firewall mangle
add action=mark-connection chain=prerouting new-connection-mark=GW1 \
passthrough=yes src-address-list=IPL1
add action=mark-connection chain=prerouting new-connection-mark=GW2 \
passthrough=yes src-address-list=IPL2
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=IPS1 src-address-list=IPL1
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=ISP2 src-address-list=IPL2
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Незнаю что я тут городил. но с этим конфигом 8.8.8.8 пингуется и трасируется с разных провайдеров если это делать штатными утилитами microtik с компа работает только один провайдер.
Последний раз редактировалось F1ReB4LL 29 май 2019, 16:18, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

F1ReB4LL писал(а): 28 май 2019, 16:19 Вообщем продолжаю биться об стенку уже с этим микротиком.
Ну биться не надо. Москва не сразу строилась.
Тем более Вы делаете всё равно по-свойму:
а) заводские настройки не убрали
б) название подключения (что это рррое) не переименовали
F1ReB4LL писал(а): 28 май 2019, 16:19 Незнаю что я тут городил. но с этим конфигом 8.8.8.8 пингуется и трасируется с разных провайдеров если это делать штатными утилитами microtik
Ну значит микротик настроили правильно и сам роутер от себя понимает где какой канал,
и умеет при установки нужной таблицы маршрутизации (в командах
пинг и трассроут - правильно идти как ему указали).

А если компьютер не хочет идти, значит Вы не так настроили "отлов" компьютера.
ВОТ что внизу в Адрес-Листах Вы написали?
(внизу кусок Вашего кода)

Код: Выделить всё

/ip firewall address-list
add address=192.168.0.2-192.168.0.254 list=IPL1
add address=192.168.0.40-192.168.0.115 disabled=yes list=IPL2
Читаем: с адреса 0.2 по адрес 0.254 = это все идут на 1-го провайдера,
а второе правило = у Вас отключено, и что Вы хотите получить в итоге?
Ну где внимательность.

Сделайте проще, в первый адрес лист поместите адреса с 0.2 по 0.100,
второй адрес лист ВКЛЮЧИТЕ сначала и поместите туда с 0.101 по 0.200
Ну и ставьте компьютеру адрес сначала 0.50 (точно попали в 1-й адрес лист),
потом ставьте адрес 0.150, и попали во второй адрес лист.
Между сменами IP надо ждать (хотя бы 2-4 минуты), или при проверке, всегда проверять
другой адрес, относительно первого адреса (то есть есть понятие сессий и таймаутов).

Ещё раз, принимайте советы и Выполняйте их, и смотрите что делаете.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
F1ReB4LL
Сообщения: 7
Зарегистрирован: 23 май 2019, 14:13

Читаем: с адреса 0.2 по адрес 0.254 = это все идут на 1-го провайдера,
а второе правило = у Вас отключено, и что Вы хотите получить в итоге?
Ну где внимательность.
Ну вообще я это сделал специально, т.к. второй канал не работал пришлось все компы сети поместить в один лист, а второй отключить.
Ну суть то в чем.
Может есть рабочие конфиги на два провайдера? я бы их под себя перенастроил? Циска и то проще...


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

F1ReB4LL писал(а): 29 май 2019, 16:21 Ну вообще я это сделал специально, т.к. второй канал не работал пришлось все компы сети поместить в один лист, а второй отключить.
Ну суть то в чем.
Может есть рабочие конфиги на два провайдера? я бы их под себя перенастроил? Циска и то проще...
Чё то мы на разных всё же языках говорим, то Вы говорите что с роутера оба канала (оба провайдера) работают,
то говорите не работает второй канал. Не пойму Вас.

Давайте логически и по-инженерному идти:
1) настраиваем 2 канала на роутере, то есть у нас 2 канала, 2 таблицы маршрутов (маркированные)
2) потом учимся/настраиваем кого в какой канал заворачивать
3) всё

По конфигу у Вас всё правильно (в целом), я бы конечно убрал(отключил) лимитирование скорости,
убрал файрвол стандартный (вдруг он влияет), также Вы конфигурацию делаете поверх заводских
настроек, с ними тоже проблемы бывают.

Поэтому я не могу Вас понять и честно, я запутался, есть у Вас каналы?, работают они?,
как Вы делаете тестирование?, что происходит при этом?
Такое ощущение что Вы так, раз в 3 дня пришли, 5 минут поигрались и всё,
увы, процесс настройки тут не сложный, но и не простой.
Про циску не скажу, с роутерами цисками впрямую не сталкивался (не конфигурил).

P.S.
Вот ссылка: viewtopic.php?p=58201#p58201
Там описание как у меня сделано: приём 2х провайдеров, и как управлять
куда какой компьютер в какой канал.
Почти пре-шпаргалка. Рабочий мой личный вариант.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить