1 комп через другой WAN...

Обсуждение ПО и его настройки
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

На мой взгляд не сильно удачная идея. Это нужно для каждого пакета подменять адрес источника. Ведь удалённый хост всегда отвечает на тот IP адрес, с которого пришёл запрос.
Будут проблемы со скайпом, банковскими клиентами, бухгалтерскими прогами, сип и так далее. Проблемы эти решить можно, но нужно подменять адреса, а это дополнительная нагрузка на оборудование.

Не проще ли сервера в одну дырку, все стальной в другую, но весь трафик и входящий и исходящий?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Николай, соглашусь с gmx - задача (именно описанная в последнем Вашем посте) слегка не простая,
тем более, что тема поста идёт как - "1 комп через другой WAN", а значит надо оперировать WAN подключениями,
и используя разные подключения формировать группы клиентов которых мы направим в один канал,
а других(остальных) в другой. Я в рамках этой сущности и отвечал, и делился как это у меня сделано.
И я используя это и в жизни, на быстрый канал подключены у меня сервера и директора (они типа платят за это),
на медленный канал подключены не требовательные подключения - (ВиФи сегмент, качальщики и всякое разное).

Ну и на счёт того, чтобы входящий брать с одного подключения,а исходящий со второго подключение = это также сложно,
как если брать "фазу" с одного источника питания и "минус" с другого источника питания и эти источники никак не соединены - и пытаться чтобы нагрузка заработала.

Поэтому уточните, как всё же надо, и будем идти к цели.
Со своей стороны и помогу чем смогу, и могу дать доступы на роутер(ы) для понимания сущности работы двух(и более каналов) в рамках статичного распределения клиентов локальных между WAN'ами.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Я походу не совсем так выразился.

Есть два вышеописанных провайдера.
Задача чтобы все пользователи сети ( вообще все, кроме ... тут будет некий список исключения, но это не сейчас ... ) ходили в инет через первый провайдер. Ходили, седели, качали и загружали. Полноценная работа с одним провайдером.
Но есть несколько серверов в локальной сети + vpn сервер в самом микротике, которые должны ходить только через второй провайдер.

Для понимания процесса говорю ( хотя это не так и оба провайдера выдают белый IP), что первый провайдер НЕ имеет внешнего ip, второй имеет.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Dragon_Knight писал(а):Я походу не совсем так выразился.
Есть два вышеописанных провайдера.
Задача чтобы все пользователи сети ( вообще все, кроме ... тут будет некий список исключения, но это не сейчас ... ) ходили в инет через первый провайдер. Ходили, седели, качали и загружали. Полноценная работа с одним провайдером.
Но есть несколько серверов в локальной сети + vpn сервер в самом микротике, которые должны ходить только через второй провайдер.
Для понимания процесса говорю ( хотя это не так и оба провайдера выдают белый IP), что первый провайдер НЕ имеет внешнего ip, второй имеет.

Задача обычная, как раз без всяких замудрств и сложностей, есть дефолтный канал и второй.
Насчёт айпи белых, тут не важно, главное натить от адреса данного провайдером, а дальше уже задача провайдера
выпускать трафик в глобал.

Часть конфигов я выше приводил, в любом случаи - стучитесь в личку, будем решать задачу на практике.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

https://wiki.mikrotik.com/wiki/Manual:I ... ault_route
{quote]pref-src of connected route is equal to address part of address of ip address item.[/quote]

Если я правильно понимаю этот параметр, то когда он не заполнен, маршрут будет работать с любого IP адреса роутера (клиент может обращаться на любой IP, который есть у роутера, и этот маршрут будет использоваться).
А если в это поле вписать конкретный IP (из тех, что присвоены роутеру), то маршрут будет использоваться только для клиентов, обратившихся в этот конкретный адрес.

Если вики меня не обмануло, тогда так:

Повесить на бридж второй IP.
В IP / Route добавить еще один дефолт (0.0.0.0), выбрав в gateway нужного оператора (IP. или интерфейс).
А в Pref. Source поставить этот второй IP, присвоенный бриджу.
Все.

На компьютерах, которым нужно ходить в интернет через этого оператора вручную ставить дефолтный маршрут на этот второй IP бриджа.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Erik_U писал(а):https://wiki.mikrotik.com/wiki/Manual:IP/Route#Default_route
pref-src of connected route is equal to address part of address of ip address item.
Если я правильно понимаю этот параметр, то когда он не заполнен, маршрут будет работать с любого IP адреса роутера (клиент может обращаться на любой IP, который есть у роутера, и этот маршрут будет использоваться).
А если в это поле вписать конкретный IP (из тех, что присвоены роутеру), то маршрут будет использоваться только для клиентов, обратившихся в этот конкретный адрес.

Я его истолковываю чуть чуть иначе, pref-source - предпочитаемый адрес роутера при взаимодействии с другим роутером при маршрутизации(ях).

Erik_U писал(а):Повесить на бридж второй IP.
В IP / Route добавить еще один дефолт (0.0.0.0), выбрав в gateway нужного оператора (IP. или интерфейс).
А в Pref. Source поставить этот второй IP, присвоенный бриджу.
Все.
На компьютерах, которым нужно ходить в интернет через этого оператора вручную ставить дефолтный маршрут на этот второй IP бриджа.

Увы, дефолтный маршрут с одинаковой метрикой и без альтернативной(ых) таблиц маршрутизации - может быть один.
Вы попробуйте так сделать, у Вас второй маршрут будет "синий" и соответственно не работать.

Не надо тут придумывать, задача простая в целом (для средне-начинающих микротиковцев).
1) настраиваем роутер на работу с одним каналом и естественно он у нас как дефолтный
2) (грубо и обобщённо скажу) делаем адрес-лист нужных нам условий (айпи адреса, ещё по каким то критерием), эти
критерии заносим в адрес-лист, этот адрес лист "метим", то бишь маркируем(через мангл-правила), и уже в таблице маршрутизации
описываем куда помеченные пакеты слать (в данном случаи на шлюз второго канала).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Ну да, согласен.

Тогда, как вариант, можно поднять метароутер, у которого в локальную сеть будет другой IP, а дефолтный маршрут прописан в сторону второго оператора.
И если IP метароутера указывать на ПК как шлюз по умолчанию, в сторону второго оператора пакеты и полетят.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Решил поднять старую тему, может кому пригодится...

Вообще причиной тому, что у меня поголовно не один роутер не работал с двумя провайдерами заключается в опции "ip settings rp-filter: strict". После установки опции "loose" всё заработало как нужно.
Спасибо vqd за поиск этой проблемы.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Во как! А за что, собственно, данная опция отвечает? У меня "no" по-умолчанию всегда...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

podarok66, проверка адреса источника.
Для предотвращения DDoS атак это опция - спасение, но из-за неё нельзя сделать два WAN...
Вот выдержка из wiki, я как-то последнюю строчку и упустил из виду :(

Disables enables source validation.

no - No source validation.
strict - Strict mode as defined in RFC3704 Strict Reverse Path. Each incoming packet is tested against the FIB and if the interface is not the best reverse path the packet check will fail. By default failed packets are discarded.
loose - Loose mode as defined in RFC3704 Loose Reverse Path. Each incoming packet's source address is also tested against the FIB and if the source address is not reachable via any interface the packet check will fail.

Current recommended practice in RFC3704 is to enable strict mode to prevent IP spoofing from DDos attacks. If using asymmetric routing or other complicated routing or VRRP, then loose mode is recommended.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить