2 вопроса по оси.

Обсуждение ПО и его настройки
KentAVr
Сообщения: 75
Зарегистрирован: 01 июн 2012, 15:32

simpl3x писал(а):http://wiki.mikrotik.com/wiki/Policy_Base_Routing

Спасибо за ссылочку очень интересно.
1. Я сам подумывал поднять на одном из шнурков впн, вопрос тогда бы решился бы элементарно, но я всегда думал, что впн это тунель с двумя концами, т.е. нужно кудато конектится по идее.
2. Если я правильно понял, то у микротика есть возможность настроить «псевдо» интерфейс впн Май Впн Коннекшен ? Если это действительно так, то это очень хорошо и дает определенный простор для размышлений, но надо эксперементировать.
3. Приведенная статья по ссылке безусловно хороша при наличии задачи порезать один канал на подканалы, но согласитесь , имея два полноценных канала один из низ заруливать на впн, тем самым усложняя и утяжеляя процесс , гораздо больше похоже на костыли.

За ссылку еще раз спасибо - буду курить.


KentAVr
Сообщения: 75
Зарегистрирован: 01 июн 2012, 15:32

podarok66 писал(а):
KentAVr писал(а):/ip route add gateway=1.1.1.1%ether1 routing-mark=inet1
Ну или в оконном режиме к шлюзу дописать %ether1

И что %ether1 этот иероглиф обозначает, где в нем смысл искать?

Допустим есть
интернет1 10.10.0.2/28 шлюз 10.10.0.1 метка inet1 порт ether1
интернет2 10.10.0.3/28 шлюз 10.10.0.1 метка inet2 порт ether2
Локалка1 192.168.0.0/24 шлюз 192.168.0.1 метка inet1 порт ether3
Локалка2 192.168.1.0/24 шлюз 192.168.1.1 метка inet2 порт ether4

Задача заставить ether3 ломиться только через ether1, а ether4 только через ether2.

Мы уже настроили интерфейсы, айпишники, и маркировку через манглы, осталось только занатить и отроутить.

И так идем классическим вариантом.
Натим нулевую сеть
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1 src-address=192.168.0.0/24
Тут не важно по метке или по интерфейсу, мне по интерфейсу нагляднее.
Добавляем роутинг
/ip route add gateway=10.10.0.1 routing-mark=inet1
В интерфейсе видим, что наша запись эстеблишед через ether1 .. что нам и нужно проверяем интернет - бежит.
Делаем все тоже самое для первой сетки.
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether2 src-address=192.168.1.0/24
/ip route add gateway=10.10.0.1 routing-mark=inet2
Что видим ? Наша новая запись роутинга эстеблишна для ether2 , что нам и нужно, но при этом и первая запись роутинга тоже через ether2.
Другими словами микротик нас в независимости от меток, пошлет на ether2, но в этом случае нулевая сеть у нас перестанет ходить в интернет.
Другими словами единственное что нужно в этом случае явно указать микротику - это при какой метке какой интерфейс задействовать с каким шлюзом, что мы и делаем прописывая
роутингитаким образом
/ip route add gateway=10.10.0.1%ether1 routing-mark=inet1
/ip route add gateway=10.10.0.1%ether2 routing-mark=inet2
Теперь микротик знает, что трафик с меткой интернета 1 должен пойти через шлюз 10.10.0.1 по интерфейсу 1, а трафик с меткой интернета 2 должен пойти через ТОТЖЕ шлюз, но по интерфейсу 2.

Надеюсь я понятно объяснил.
Это частный случай, т.к. как правило у людей разные провайдеры и разные шлюзы, а когда шлюзы разные микротик сам все правильно эстеблишит.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

KentAVr писал(а):
simpl3x писал(а):http://wiki.mikrotik.com/wiki/Policy_Base_Routing

Спасибо за ссылочку очень интересно.
1. Я сам подумывал поднять на одном из шнурков впн, вопрос тогда бы решился бы элементарно, но я всегда думал, что впн это тунель с двумя концами, т.е. нужно кудато конектится по идее.
2. Если я правильно понял, то у микротика есть возможность настроить «псевдо» интерфейс впн Май Впн Коннекшен ? Если это действительно так, то это очень хорошо и дает определенный простор для размышлений, но надо эксперементировать.
3. Приведенная статья по ссылке безусловно хороша при наличии задачи порезать один канал на подканалы, но согласитесь , имея два полноценных канала один из низ заруливать на впн, тем самым усложняя и утяжеляя процесс , гораздо больше похоже на костыли.

За ссылку еще раз спасибо - буду курить.

какой еще псевдоинтерфейс? вам просто показали на примере показали, как разделить трафик между двумя соединениями. переведите дословно Policy Based Routing. там в качестве критериев выступают трафик к соц. сетям и остальной. ничего не мешает переложить это на вашу, т.е. трафик от одной сети и от другой.


KentAVr
Сообщения: 75
Зарегистрирован: 01 июн 2012, 15:32

simpl3x писал(а):какой еще псевдоинтерфейс? вам просто показали на примере показали, как разделить трафик между двумя соединениями. переведите дословно Policy Based Routing. там в качестве критериев выступают трафик к соц. сетям и остальной. ничего не мешает переложить это на вашу, т.е. трафик от одной сети и от другой.

Простите мне мой нубизм, но впн же это тунель, т.е. в теории нужен условно сервер и клиен между ними среда связи в которой и строится тунель. Или в данном случае имеется ввиду, что каждому локальному клиенту я должен поднять еще и впн до микротика кроме обычного прямого соединения?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

в масштабе этой документации, рассматривайте vpn как один из видов подключения к интернету, его тип не имеет никакого значения. там речь идёт о том, что есть два подключения, и надо между ними раскидать трафик к соц. сетям и ко всему остальному.


KentAVr
Сообщения: 75
Зарегистрирован: 01 июн 2012, 15:32

simpl3x писал(а):в масштабе этой документации, рассматривайте vpn как один из видов подключения к интернету, его тип не имеет никакого значения. там речь идёт о том, что есть два подключения, и надо между ними раскидать трафик к соц. сетям и ко всему остальному.

Если рассматривать, данную документацию, то в моем случае она бесполезна, к томуже на вашем форуме есть подробный разбор полета по этой теме на три листа убористым подчерком, я правда так и не прочитал ее полностью ибо вопрос двух провайдеров с одним шлюзом в ней не рассматривается.
Теперь по поводу вашей ссылки обосновываю.
там поразумевается, что есть два интерфейса обычный и впн причем одно из них впн получает шлюз динамически - это ключевой момент, впрочем если и не впн конект получает шлюз по дшсп, задача упрощается в разы и рассмотренна на просторах интернета в подробностях и с разных сторон. Сразу оговорюсь я тестировал на прошивке 5,хх, так что все следуюшие утверждения верны именно для нее.
И так , в чемже преимущество получаемого шлюза от статического, а втом, что микротик получая шлюз сразу видит его и ассоциирует с соответсвующиим интерфесом, что позволяет в роутинге прописывать не шлюз ! а интерфес и раз шлюз привязан к интерфейсу трафик идет правильно, микротик знает через какой шлюз идти.

Код: Выделить всё

Ip Route Add Dst-Address=0.0.0.0/0 Gateway="My VPN" Routing-Mark=Through_VPN
в гэтавее стоит интерфейс а не конкретный гэтавэй. дома имея два провайдера один по впн другой по дшсп я рашил задачу за 10 минут со всеми тестами
Теперь рассмотрим вариант с двумя сетями и одним шлюзом
Допустим мы прописали роутинг, так как в предложенном вами варианте

Код: Выделить всё

ip route add Dst-Address=0.0.0.0/0 gateway=ether1 routing-mark=inet1
ip route add Dst-Address=0.0.0.0/0 gateway=ether2 routing-mark=inet2

Так как настройки статические , то микротик не знает какие шлюзы ассоциированны с интерфейсами ether1 иether2
в полне возможно , что существует способ привязать шлюз к интерфейсу, по крайней мере в винде я это сделать могу. По микротику я задавл вопрос мне не ответили (
Ответ казалось бы очевиден - указать не шлюзы в роутенге, а интерфейсы, но внешние адреса провайдера статичны и не ппое соответсвенно не понятно как увязать шлюз с конкретным интерфейсом.

Мне не ответили.
Логично, что если микротик не знает шлюза, то и интернет он никуда не прокинет.
Единственный способ прописать шлюз который я знаю, это

Код: Выделить всё

ip route add Dst-Address=0.0.0.0/0 gateway=1.1.1.1 routing-mark=inet1
ip route add Dst-Address=0.0.0.0/0 gateway=1.1.1.1 routing-mark=inet2

т.е. явно указать шлюз в роутинге, если бы шлюзы были разные , то проблем бы тоже не возникло, но шлюзы одинаковые и по этому микротик ассоциирует шлюз только с последним интерфейсом .
Задача разделения сетей и провайдеров была решена, через полчаса после втыкания шнурка в микротик и настройки файервола, она вобщем решалась простой маркировкой даже без построения локальных таблиц роутинга, хотя с таблицами я тоже попробовал от без исходности. Так вот задача стояла именно ассоциировать шлюз с интерфейсом , указать микротику конкретно, что один и тотже шлюз принадлежит обоим интерфейсом, а не одному как он решает автоматом.
соответсвенно указание одновременно шлюза и интерфеса через процент в роутенге - решило проблемму)


KentAVr
Сообщения: 75
Зарегистрирован: 01 июн 2012, 15:32

Возник такой вопрос.
допустим мы прописали

Код: Выделить всё

ip route add Dst-Address=0.0.0.0/0 gateway=ether1 routing-mark=inet1
те все пакеты с меткой 1 пойдут через первый интерфейс, но у нас еще есть роутинг по дефолту, для того чтобы микротик мог тоже выходить в нет.
Допустим мы закрыли правило с меткой 1 , тогда весь трафик пойдет на интерфейс по умолчаниюю. А этого не хотелось бы.
Как такое осуществи ть?
Спасибо


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

KentAVr писал(а):Две сетки два провайдера разных, хочется , чтоб для каждой сетки были свои днсы, но при этом у клиентов прописывался в днс только адрес шлюза

не пойму, вы же пишете, ДВА РАЗНЫХ ПРОВАЙДЕРА, но при этом говорите:
т.е. явно указать шлюз в роутинге, если бы шлюзы были разные , то проблем бы тоже не возникло, но шлюзы одинаковые и по этому микротик ассоциирует шлюз только с последним интерфейсом .

вы определитесь, у вас два разных провайдера? или все таки два соединения от одного?

те все пакеты с меткой 1 пойдут через первый интерфейс, но у нас еще есть роутинг по дефолту, для того чтобы микротик мог тоже выходить в нет.
Допустим мы закрыли правило с меткой 1 , тогда весь трафик пойдет на интерфейс по умолчаниюю. А этого не хотелось бы.
Как такое осуществи ть?

напутано все и сумбурно, НО
сделайте маркировку не только для цепочки prerouting, но и для output и добавьте этот маркер к маршруту для микротика, а маршруты без маркеров уберите. в итоге, если вы "закрыли" правило, т.е. либо отключили маршрут с маркером ether1 или убрали саму маркеровку ether1, то маршрутов для пакетов не будет, и соответственно они никуда не пойдут.


KentAVr
Сообщения: 75
Зарегистрирован: 01 июн 2012, 15:32

simpl3x писал(а):
KentAVr писал(а):Две сетки два провайдера разных, хочется , чтоб для каждой сетки были свои днсы, но при этом у клиентов прописывался в днс только адрес шлюза

не пойму, вы же пишете, ДВА РАЗНЫХ ПРОВАЙДЕРА, но при этом говорите:.

Тут два разных.
simpl3x писал(а):
т.е. явно указать шлюз в роутинге, если бы шлюзы были разные , то проблем бы тоже не возникло, но шлюзы одинаковые и по этому микротик ассоциирует шлюз только с последним интерфейсом .

вы определитесь, у вас два разных провайдера? или все таки два соединения от одного?.

Тут два шнурка от одного.
всего в микротик входит три внешних шнурка, 2 от одного провайдера и один от другого..
simpl3x писал(а):
те все пакеты с меткой 1 пойдут через первый интерфейс, но у нас еще есть роутинг по дефолту, для того чтобы микротик мог тоже выходить в нет.
Допустим мы закрыли правило с меткой 1 , тогда весь трафик пойдет на интерфейс по умолчаниюю. А этого не хотелось бы.
Как такое осуществи ть?

напутано все и сумбурно, НО
сделайте маркировку не только для цепочки prerouting, но и для output и добавьте этот маркер к маршруту для микротика, а маршруты без маркеров уберите. в итоге, если вы "закрыли" правило, т.е. либо отключили маршрут с маркером ether1 или убрали саму маркеровку ether1, то маршрутов для пакетов не будет, и соответственно они никуда не пойдут.

Спасибо.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

http://wiki.mikrotik.com/wiki/Manual:IP/Route

gateway

(IP | interface | IP%interface | IP@table[, IP | string, [..]]; Default: "")

Array of IP addresses or interface names. Specifies which host or interface packets should be sent to. Connected routes and routes with blackhole, unreachable or prohibit type do not have this property. Usually value of this property is a single IP address of a gateway that can be directly reached through one of router's interfaces (but see nexthop lookup). ECMP routes have more than one gateway value. Value can be repeated several times.


микротик, такой микротик =) это не единственная фишка.
очень интересно, что такое IP@table[, IP | string, [..]]
а то рассказываешь тут людям ) а оказывается все проще.


Ответить