несколько MAC/IP на одном интерфейсе

[akokarev]

2 провайдера, настроено резервирование. Хочу прикрутить микротику помимо основного IP (192.168.1.1) еще два IP адреса (192.168.1.2 и 192.168.1.3) с разными МАС адресами, чтобы можно было вручную указывать их на компе в качестве шлюза, а микротик маршрутизировал бы исключительно в сторону одного из провайдеров (без отказоустойчивости).
Просто указать еще 2 IP адреса ни чего не дает, т.к. локалка полностью висит на ether5, МАС светит на все IP одинаковый, в итоге маршрутизирует одинаково по всем IP.
В инете читал что можно использовать Virtual Ethernet, но созданные vif1 и vif2 кажет курсивом\красным, как-будто нет линка. Потыкал кнопки, оказалось что линк появляется на Virtual Ethernet только при включенной виртуальной машине с присоединенным портом vif.
Вроде еще можно создать 2 бриджа, но если в них не входит ни один порт, то у бриджа нет МАС'а. При маршрутизации бриджа\присоединении ether5 клиент видит все тот же МАС что и у ether5.
С vlan'ами тоже возникли проблемы...
В общем я в тупике. Чувствую что все просто, но теряюсь в трех соснах :( Помогите кто чем может гиганту мысли, отцу русской демократии :D

[simpl3x]

то что вы хотите сделать не требует каких либо дополнительных адресов.
http://wiki.mikrotik.com/wiki/Policy_Base_Routing

[akokarev]

Это уже все сделано.. Вы меня наверно не правильно поняли.

В прикрепленном рисунке я изобазил что хочу получить:
ПК1 имеет ip 192.168.1.100 и шлюз 192.168.1.1. При рабочем интернете через ISP1 весь трафик идет туда. Если ISP1 поломался, трафик перенаправляется в ISP2. Это уже у меня сделано.
ПК2 имеет ip 192.168.1.101 и шлюз 192.168.1.2. Его трафик всегда отправляется через ISP1, даже если ISP1 поломан!
ПК3 имеет ip 192.168.1.102 и шлюз 192.168.1.3. Его трафик всегда отправляется через ISP2, даже если ISP2 поломан!
IP ПК использовать для выбора маршрута на ISP1 или ISP2 нельзя, т.к. IP динамические, один ПК может использовать оба шлюза (192.168.1.2 и 192.168.1.3) в зависимости от собственных потребностей. Я просто указал что они все находятся в одной сети.

[podarok66]

Я, конечно, могу ошибаться, но того, что описано в стартовом топике Вам не нужно вообще. Всё можно разрулить например маркировкой трафика. Или я не прав?

[simpl3x]

podarok66, коллега вы естественно правы, просто ТС не совсем понимает что ему хотят донести.

akokarev, то что вы хотите сделать, не требует каких то дополнительных ip адресов для микротика. ВСЕ ПК ваши могут выходить через ОДИН ip адрес микротика, а потом с помощью маркировки на нём, им может задаваться уникальная политика маршрутизации. например:

Код: Выделить всё

ip firewall mangle add chain=forward src-address=IP.AD.DR.ES/S1 action=mark-connection new-connection-mark=pk1
ip firewall mangle add chain=forward connection-mark=pk1 action=mark-routinfg new-routinfg-mark=pk1-toisp1
ip route add dst-address=0.0.0.0/0 gateway=ISP.1.GATE.WAY routing-mark=pk1-toisp1

ip firewall mangle add chain=forward src-address=IP.AD.DR.ES/S2 action=mark-connection new-connection-mark=pk2
ip firewall mangle add chain=forward connection-mark=pk1 action=mark-routinfg new-routinfg-mark=pk2-toisp2
ip route add dst-address=0.0.0.0/0 gateway=ISP.2.GATE.WAY routing-mark=pk2-toisp2

тут мы маркируем соединения, потом маркируем роутинг по этим соединениям и создали две таблицы маршрутов для этих маркеров,
как мы видим, IP адреса микротика тут нет, но при этом, два хоста будут ходить через разные аплинки.

можно сделать еще по другому:

Код: Выделить всё

ip route rule add src-address=IP.AD.DR.ES/S1 action=lookup table=pk1-toisp1
ip route rule add src-address=IP.AD.DR.ES/S2 action=lookup table=pk2-toisp2

ip route add dst-address=0.0.0.0/0 gateway=ISP.1.GATE.WAY routing-mark=pk1-toisp1
ip route add dst-address=0.0.0.0/0 gateway=ISP.2.GATE.WAY routing-mark=pk2-toisp2

т.е. мы создали две отдельные таблицы маршрутов, и указали микротику всегда смотреть эти таблицы от двух хостов соотвтетственно.
и опять, тут не фигурирует ip адрес микротика, но хосты будут ходить через разные аплинки.

[podarok66]

simpl3x, у меня вопрос возник. А не решается ли сия задача в NAT? Как-то типа такого:

Код: Выделить всё

/ip firewall nat
         add src-address=192.168.1.100/32 chain=srcnat action=masquerade
         add src-address=192.168.1.101/32 out-interface=ether1 chain=srcnat action=masquerade
         add src-address=192.168.1.102/32 out-interface=ether2 chain=srcnat action=masquerade

Или я что-то недопонимаю?

[vqd]

Так ее можно несколькими путями решать то. Я бы тоже с помощью манагл делал

[simpl3x]

simpl3x, у меня вопрос возник. А не решается ли сия задача в NAT? Как-то типа такого:

Код: Выделить всё

/ip firewall nat
         add src-address=192.168.1.100/32 chain=srcnat action=masquerade
         add src-address=192.168.1.101/32 out-interface=ether1 chain=srcnat action=masquerade
         add src-address=192.168.1.102/32 out-interface=ether2 chain=srcnat action=masquerade

Или я что-то недопонимаю?

нет, процессы нат и роутинг не зависимы. по русски ваш код звучит так:

Код: Выделить всё

если от 192.168.1.100/32 полетит трафик то его маскардим
если от 192.168.1.101/32 полетит трафик через ether1 то его маскардим
если от 192.168.1.102/32 полетит трафик через ether2 то его маскардим

таким образом, если это конечный список и ниже ничего нет, то при вылете 192.168.1.101/32 через ether2 с трафиком ничего не будем делать и он полетит с его реальным адресом источника. в этом контексте out-interface это не указание лететь через интерфейс, а всего лишь фильтр для летящего трафика.

[simpl3x]

Так ее можно несколькими путями решать то. Я бы тоже с помощью манагл делал

а мне кажется что через правила роутинга это как то эстетичнее. во-первых нет лишних движений в фаерволе, что даст прирост к производительности (хотя честно, не знаю, как реализовано это, может там функция, которая все равно красит трафик маркером и это теже грабли =) ). во вторых это как то больше похоже на pbr. красить надо, когда вы хотите типы трафика или еще что то выделить, а при простых задачах надо их проще решать =)

[vqd]

Ну да, если банально сеть или конкретный адрес нужно запустить через какой то маршрут то рулес самое простое и быстрое. Тут собственно спорить то не с чем.

Но бывает же как:
"Здравствуйте, у нас вот есть компьютеры 1, 4 и 100 - 123 их надо через провайдера 1, а есть директор и замдиректор и помощник зама директора со своим секретарем, и вот их надо бы через провайдера 2 да и приоритета побольше. А еще мы хотим потом сами добавлять ПК но мы в этом не бум бум и поэтому сделайте нам попроще как то."

И вот тут уже голимый мангл + срц-лист и заказчика показываешь пальчиком, что мол вот сюда просто ИП вбейте и будет вам счастье )) А один раз вообще пришлось батник писать который автоматом срц лист обновлял

Так что рулез как то редко приходится применять для именно перенаправления трафика юзеров