Добрый день. Понимаю была тема viewtopic.php?f=1&t=11386
Но в моем случае не работает, или я чего то не понимаю. Пожалуйста не судите строго.
Имеем роутер из дефолтной конфы (именно так, со всеми правилами фаервола и т.д). Меняем конфу поэтапно.
Два интернета на первом и втором порту. Маскарадим через ван-лист. В локальной сети есть адреса Группы1 и Группы2.
Задача пустить группу1 на один интернет а группу2 на другой. Решаем просто: маркируем в мангле нужные адреса (из адрес-листа) и пускаем маркированный роутинг.
В таблице роутов имеем только два нулевых маркированный маршрута. И на компах все работает. Из группы1 ходит в инет через свой интерфейс, с группы2 - через свой.
А вот теперь проблема в том что на самом микротике инета то нет! Так как нет дефолтного нулевого маршрута без маркировки, а добавив его в таблицу - компы начинают терять инет, не прогружать сайты и вовсе терять инет. И как я не пытался маркировать сам микрот - в итоге ничего не получилось..((
Подскажите пожалуйста как пустить сам микрот в инет через к примеру провайдера первого порта?
А проблема номер два - это отмаркировать отдельные сайты (например vk.com) на хосте из группы2 и пустить их (сайты) через другой инет - тот что для группы1.
два WAN и маршрут для роутера
- Kostetyo
- Сообщения: 205
- Зарегистрирован: 21 окт 2013, 21:52
Либо вы где-то, что-то не дописал, либо намудрили с каким-то из правил, может где-то passfrough не верный. Но мыслите вы правильно, нужны ещё 2 дефотлных маршрута для самого микрота.
А ещё, если у Вас ros7 то там вообще немного по другому, надо добавить 2 строки о таблицах маршрутизации.
Прочитайте тут, надеюсь не заругают за ссылку
https://habr.com/ru/post/463813/
А ещё, если у Вас ros7 то там вообще немного по другому, надо добавить 2 строки о таблицах маршрутизации.
Прочитайте тут, надеюсь не заругают за ссылку
https://habr.com/ru/post/463813/
Последний раз редактировалось Kostetyo 03 фев 2022, 00:40, всего редактировалось 1 раз.
- Kostetyo
- Сообщения: 205
- Зарегистрирован: 21 окт 2013, 21:52
Для сайтов маркировка один в один такая же как и для компов, тоько создаёте для сайтов новый аксесс лист, туда имена (ip он сам потянет), и создаёте новые правила для маркированых пакетов, меняя местами src и dst (как для выхода компа с локальным ip подсети, через определённого провайдера, только с точностью наоборот src list - dst list)
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
Ros 6.
с сайтами понятно как заворачивать.
Тут проблема что нет нулевого маршрута, есть только маршруты маркированные, а через них сам микротик не лезет в инет
с сайтами понятно как заворачивать.
Тут проблема что нет нулевого маршрута, есть только маршруты маркированные, а через них сам микротик не лезет в инет
- Kostetyo
- Сообщения: 205
- Зарегистрирован: 21 окт 2013, 21:52
Почитайте по ссылке, там есть дефолтные маршруты, в двух словах, создайте их так, как будто небыло бы у вас маркировки и все будет работать
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
если создаю нулевой дефолтный маршрут - то перестают корректно работать компы локальной сети, которые ходят в инет через маркированый роутинг. Это странно коненчо но так и есть( и с таким маршрутом конечно на микротике появляется интернет. Задача отмаркировать трафик микрота и завернуть его тоже через маркированный маршрут
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Содаешь обычный дефроут, туда натишь 1ю группу. Туда поумолчанию пойдет траффик тика.
Для 2ой группы: в ip-route-rule создаешь дефроут для 2ой группы (надеюсь это 2 подсети, например 10.10.10.0/24 и 10.10.11.0/24) с таблицей и действием "lookup-only-in-table". Далее создаем nat правилодля таблицы что создали выше.
Для 10.10.11.0/24
Таким образом в одном помещении сидят 2 конторы на 1 роутере и двумя провайдерами.
Для 2ой группы: в ip-route-rule создаешь дефроут для 2ой группы (надеюсь это 2 подсети, например 10.10.10.0/24 и 10.10.11.0/24) с таблицей и действием "lookup-only-in-table". Далее создаем nat правилодля таблицы что создали выше.
Для 10.10.11.0/24
Код: Выделить всё
/ip route rule
add action=lookup-only-in-table dst-address=0.0.0.0/0 src-address=10.10.11.0/24 table=isp2
/ip firewall nat
add action=masquerade chain=srcnat out-interface=provider2 routing-table=isp2 src-address=10.10.11.0/24