Доступ по Winbox через VPN

Обсуждение ПО и его настройки
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

фух ребята, нашел кажется, копал конфиги и увидел правило в маркировки роутинга Mangle - Lan load balansing, 3 правила, которые "балансируют" нагрузку ПК локальной сети. 1 правило посылает 33 процента ПК - на 1 шлюз провайдера, а 2 других - на 2 шлюз, тем самым деля каналы... вещь интересная, только вот как ее отредактировать так чтобы осталась и не заворачивала все запросы ЛВС к провайдеру.
первый раз такое вижу) выглядит это так:

Код: Выделить всё

/ip firewall mangle
add action=mark-connection chain=input comment="ADSL1 Input" in-interface=\
    pppoe-ADSL1 new-connection-mark=ADSL1 passthrough=yes
add action=mark-connection chain=input comment="ADSL2 Input" in-interface=\
    pppoe-ADSL2 new-connection-mark=ADSL2 passthrough=yes
add action=mark-routing chain=output comment="ADSL1 Output" connection-mark=\
    ADSL1 new-routing-mark=ADSL1-OUT passthrough=yes
add action=mark-routing chain=output comment="ADSL2 Output" connection-mark=\
    ADSL2 new-routing-mark=ADSL2-OUT passthrough=yes
add action=mark-routing chain=prerouting comment="LAN load balancing 3-0" \
    disabled=yes dst-address-type=!local in-interface-list=Own_bridge \
    new-routing-mark=ADSL1-OUT passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:3/0
add action=mark-routing chain=prerouting comment="LAN load balancing 3-1" \
    disabled=yes dst-address-type=!local in-interface-list=Own_bridge \
    new-routing-mark=ADSL2-OUT passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:3/1
add action=mark-routing chain=prerouting comment="LAN load balancing 3-2" \
    disabled=yes dst-address-type=!local in-interface-list=Own_bridge \
    new-routing-mark=ADSL2-OUT passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:3/2
    add action=mark-routing chain=prerouting comment="ADSL-BRIDGE marjing" \
    dst-address=192.168.88.0/24 in-interface=bridge1-LAN new-routing-mark=\
    ADSL-BRIDGE passthrough=yes
cейчас отключил, может кто подскажет как поправить?
выяснил позже что убрав эти правила ломается сразу все - VPN рвутся так как приходящие пакеты с белого WAN уходят во второй.
Последний раз редактировалось Skylear 10 окт 2020, 19:29, всего редактировалось 1 раз.


Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

думаю вот эта статья, но нигде не сказано что это приведет к проблемам с маршрутами
https://disnetern.ru/mikrotik-2-wan-load-balancing/


Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

пытаюсь понять как в этих правилах баланса и баланс оставить и сделать так чтобы не заворачивался весь трафик к провайдеру. Есть у кого какие мысли?
здесь что-то поменять?

Код: Выделить всё

add action=mark-routing chain=prerouting comment="LAN load balancing 3-0" \
    disabled=yes dst-address-type=!local in-interface-list=Own_bridge \
    new-routing-mark=ADSL1-OUT passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:3/0
add action=mark-routing chain=prerouting comment="LAN load balancing 3-1" \
    disabled=yes dst-address-type=!local in-interface-list=Own_bridge \
    new-routing-mark=ADSL2-OUT passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:3/1
add action=mark-routing chain=prerouting comment="LAN load balancing 3-2" \
    disabled=yes dst-address-type=!local in-interface-list=Own_bridge \
    new-routing-mark=ADSL2-OUT passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:3/2 
add action=mark-routing chain=prerouting comment="ADSL-BRIDGE marjing" \
    dst-address=192.168.88.0/24 in-interface=bridge1-LAN new-routing-mark=\
    ADSL-BRIDGE passthrough=yes
вот это последнее правило после всех маркировок что делает??
add action=mark-routing chain=prerouting comment="ADSL-BRIDGE marjing" \
dst-address=192.168.88.0/24 in-interface=bridge1-LAN new-routing-mark=\
ADSL-BRIDGE passthrough=yes

может в нем и есть ошибка?
может так правильно?

Код: Выделить всё

add action=mark-routing chain=prerouting comment="ADSL-BRIDGE marjing" \
    dst-address=!192.168.0.0/24 in-interface=bridge1-LAN new-routing-mark=\
    ADSL-BRIDGE passthrough=yes


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

У вас конфиг сборная солянка из копипасты и деф конфига.
Наведите порядок. Доступ появится.
П.С. гадать будем до нового года. Конфиги спасут мир.


Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

на счет копипаста - возможно, на дефолта на головном нет вообще. буду разбираться конечно. функций навешано много.


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

Начните с чистого листа. Обязательно сохранив наработки.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Значит маркировки неправильно настроены, и трафик уходящий в впн маркируется в какую-то именную таблицу.


Telegram: @thexvo
Аватара пользователя
Kostetyo
Сообщения: 205
Зарегистрирован: 21 окт 2013, 21:52

В общем разрешите вставлю свои 5 копеек.
Далее все написанное, это моя мысль, и не претендует на гениальность. На каждом микроте добавляете новую подсеть, допустим 192.168.222.0, маркируете трафик для этой подсети, маршрутизируете эту подсеть, настраиваете romon, и все, у вас доступ ко всем мткротам через основной микрот. Хотя для работы Romon наверное даже не обязательно отдельную подсеть вводить.


Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

Коллеги, я подвожу итог с вашего позволения.
Romon не работает внутри туннелей VPN (возможно только EoIP сможет прокинуть его, не уверен на счет этого) - это мое предположение, так как я не проверял, а вычитал в статьях это.
Итог таков: конечно сбрасывать конфиги микротов на дефолт и настраивать самому - странный ответ. В этом то и смысл - разобраться в чужом конфиге и поправить его. У меня все заработало (косяк был в маркировках в Mangle, также в фаерволе), и друзья, если у вас что-то не едет, а наворочено будь здоров, не спешите сбрасывать микрот, поверьте на возобновление настроек может уйти больше времени. Как пишут в статьях в интернете - туннели это просто:
1) коннект
2) маршруты
3) фаервол
4) маскарадинг или src-nat, если требуется

вот и все, если у вас после этих 4 пунктов не едет, то виноваты или маршруты или маркировки. Другого наверное быть не может. Я реализовал так:
1) микротик-клиент коннектится к головному офису
2) на микротике-клиенте разрешен порт 8291
3) на головном офисе стоит правило маскарадить сеть удаленного микротика
4) на головном прописан маршрут - чисто ходить на адрес самого удаленного микротика

проверил на нескольких офисах - все работает.

еще могут быть камни преткновения типа одинаковые сети - решается правилом в NAT удаленного устройства - netmap'ить (зеркалировать) сеть на другую, и головной офис просто ходит на указанную вами подсеть и все.


Ответить