Добрый день,
Mikrotik hAP ac lite.
Задачи:
1. С 00:00 до 06:00 - статический
2. С 06:00 до 00:00 - PPPOE
3. Определенные сайты всегда должны открываться статическим кабелем.
4. Определенные сайты всегда должны открывать кабелем PPPOE.
Пожалуйста, напишите скрипт либо укажите ссылку на скрипт.
При необходимости могу выложить конфигурацию.
Re: Балансировка двух провайдеров: статического и PPPoE
-
Muhammadi
- Сообщения: 22
- Зарегистрирован: 10 фев 2020, 19:15
-
gmx
- Модератор
- Сообщения: 3305
- Зарегистрирован: 01 окт 2012, 14:48
Баннер вверху страницы...
-
Muhammadi
- Сообщения: 22
- Зарегистрирован: 10 фев 2020, 19:15
Вы имеете в виду баннер с предложением "заказать"?
Я пока надеюсь на помощь на безвозмездной основе.
Вы можете указать ссылку на соответствующую тему?
Или хотя бы подсказать, как разрешить открывать лишь определенные сайты?
Я знаю как это сделать при одном провайдере.
Нужно сначала создать правило в Firewall, разрешающее группу сайтов:
/ ip firewall filter rules
add chain=forward protocol=tcp dst-port=80,443 dst-address-list=allowed_websites action=accept
Затем правило, блокирующее все сайты:
/ ip firewall filter rules
add chain=forward protocol=tcp dst-port=80,443 action=drop
И добавить сайты в разрешенную группу
/ ip firewall address lists
name=allowed_websites address=mikrotik.ru
Как это сделать при нескольких провайдерах?
Как разрешить одни сайты и заблокировать остальные лишь одному провайдеру?
Что в этих скриптах нужно добавить?
-
imaoskol
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Хотелось бы узнать к чему такой разврат? С чем связана постановка такой задачи?
-
MaxoDroid
- Сообщения: 355
- Зарегистрирован: 14 май 2019, 22:55
- Откуда: Краснодар
Во всех правилах в фаерволе есть такая настройка, как указание интерфейса или интерфейс-листа.
Один провайдер - один интерфейс, другой провайдер - другой интерфейс.
Так возьмите и используйте это, указывая в правиле тот или иной интерфейс.
Можно использовать такую функцию, как Kid Control, указывая именно то, что Вам нужно.
... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
-
podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Так, для
Для остального
для первого 00:00:00 до 06:00:00
для второго 06:00:01 до 23:59:59
Это позволит выходить в интернет через желаемый интерфейс.
Правила с исключениями поднимаем выше, чем общие правила NAT, чтобы у них был приоритет.
Всё! Должно работать...
Писать скрипт не стану, описания вполне достаточно для написания правил самому.
Создаём для каждого из списков свой адрес-лист. И далее прописываем правила NAT, в параметр dst-address-list указываем нужный адрес-лист, а в параметр out-interface тот интерфейс, через который эти сайты должны ходить. Это два правила.
Для остального
Предлагаю воспользоваться параметром Time в правилах NAT. Создаём два правила, где локальная сеть натится за один из интерфейсов с указанием времени работы, в параметр dst-address-list со значком [!] (это исключение из правила) прописываем список со всеми сайтами, которые должны ходить через другой интерфейс.
для первого 00:00:00 до 06:00:00
для второго 06:00:01 до 23:59:59
Это позволит выходить в интернет через желаемый интерфейс.
Правила с исключениями поднимаем выше, чем общие правила NAT, чтобы у них был приоритет.
Всё! Должно работать...
Писать скрипт не стану, описания вполне достаточно для написания правил самому.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
При всем уважении к Подарку, это не будет работать, т.к. что и куда рулить мы выбираем не правилами фаервола, а сначала маршрутизацией, в которой у нас не можете существовать два и более активных дэфолтных маршрута в пределах одной таблицы маршрутизации, а натом мы уже потом выбираем что с таким трафиком делать при прохождении через микрот.
А топикстартеру - определитесь что вам нужно, то что вы просите в заглавном посте и то что описываете дальше, совершенно разные вещи, потому что в вопросе вы говорите как направить трафик через нужного провайдера, а уже потом, в примере показываете как заблокировать, но походе что вам ничего блокировать не нужно, вам нужно правильно смаршрутизировать трафик.
Если как вы выразились рассчитываете на безвозмездную помощь, то это будет скорее описание что вам нужно сделать, а готовый скрипт, как вы просили изначально, это уже работа, думаю вы не работаете за спасибо, да? Поэтому вам на банер и указали.
В общем и целом, по шагам
1) Создаете два адрес листа с нужными сайтами которые вы хотели жестко направлять через определенного провайдера
2) Размечаете трафик в мангле по двум адреслистам которые создали, разными метками в цепочке prerouting
3) Отказываетесь от галочки "add default route" в pppoe клиенте и в dhcp клиенте если ваша "статика" все же прилетает вам по dhcp
4) Создаете два дефолтных маршрута, с указанием меток которые вы сделали на втором шаге, через нужных провайдеров, что бы направить трафик через нужного провайдера. На этом этапе те сайты из адреслистов уже начнут открываться так как вы хотели
5) Создаете дефолтный маршрута через pppoe провайдера с таким же дистансом как у маршрута со статикой, но один пока выключаете и задаете этим маршрутам разные комментарии и в дефолтном маршруте без метки для pppoe соединения указываете в качестве шлюз сам интерфейс
6) Пишите два простецких шедулера, один из которых должен в 0:00 выключить дефолтный маршрут pppoe соединения и включить деф. маршрут статического соединения, а второй соответсвенно наоборот, делается все это по комментариям которые вы должны были добавить на 5 шаге. Пример как это делать и кусок этого скрипта можете найти вот тут - viewtopic.php?p=39537#p39537 . Так же не забывайте при переключениях рвать соединения все, иначе будут проблемы, как это делать найдете все там же
7) Убеждаетесь что у вас или два правила маскарада для обоих ваших каналов, либо одно правило на двоих при помощи интерфейслистов
8) Профит! После этих 7 шагов у вас должно все работать как вы запросили в первом посте, но поскольку это все я писал не глядя на ваш конфиг, то возможно и не заработает без еще каких-то действий, т.к. я описал общий принцип направления трафика и переключения каналов.
А топикстартеру - определитесь что вам нужно, то что вы просите в заглавном посте и то что описываете дальше, совершенно разные вещи, потому что в вопросе вы говорите как направить трафик через нужного провайдера, а уже потом, в примере показываете как заблокировать, но походе что вам ничего блокировать не нужно, вам нужно правильно смаршрутизировать трафик.
Если как вы выразились рассчитываете на безвозмездную помощь, то это будет скорее описание что вам нужно сделать, а готовый скрипт, как вы просили изначально, это уже работа, думаю вы не работаете за спасибо, да? Поэтому вам на банер и указали.
В общем и целом, по шагам
1) Создаете два адрес листа с нужными сайтами которые вы хотели жестко направлять через определенного провайдера
2) Размечаете трафик в мангле по двум адреслистам которые создали, разными метками в цепочке prerouting
3) Отказываетесь от галочки "add default route" в pppoe клиенте и в dhcp клиенте если ваша "статика" все же прилетает вам по dhcp
4) Создаете два дефолтных маршрута, с указанием меток которые вы сделали на втором шаге, через нужных провайдеров, что бы направить трафик через нужного провайдера. На этом этапе те сайты из адреслистов уже начнут открываться так как вы хотели
5) Создаете дефолтный маршрута через pppoe провайдера с таким же дистансом как у маршрута со статикой, но один пока выключаете и задаете этим маршрутам разные комментарии и в дефолтном маршруте без метки для pppoe соединения указываете в качестве шлюз сам интерфейс
6) Пишите два простецких шедулера, один из которых должен в 0:00 выключить дефолтный маршрут pppoe соединения и включить деф. маршрут статического соединения, а второй соответсвенно наоборот, делается все это по комментариям которые вы должны были добавить на 5 шаге. Пример как это делать и кусок этого скрипта можете найти вот тут - viewtopic.php?p=39537#p39537 . Так же не забывайте при переключениях рвать соединения все, иначе будут проблемы, как это делать найдете все там же
7) Убеждаетесь что у вас или два правила маскарада для обоих ваших каналов, либо одно правило на двоих при помощи интерфейслистов
8) Профит! После этих 7 шагов у вас должно все работать как вы запросили в первом посте, но поскольку это все я писал не глядя на ваш конфиг, то возможно и не заработает без еще каких-то действий, т.к. я описал общий принцип направления трафика и переключения каналов.
-
Muhammadi
- Сообщения: 22
- Зарегистрирован: 10 фев 2020, 19:15
-
Muhammadi
- Сообщения: 22
- Зарегистрирован: 10 фев 2020, 19:15
KARaS'b, благодарю за четкое описание действий.
Все сделал, все работает.
Вы правы, вариант Подарка неверный.
Вопрос:
Можно ли добиться временных отключений (блокировок) без использования шедулеров? Возможно, при помощи временных правил в файерволе: фильтре, нате или мангле?
-
podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Согласен, что-то я перегрелся )))
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...