1 комп через другой WAN...

Обсуждение ПО и его настройки
vviz
Сообщения: 75
Зарегистрирован: 09 окт 2014, 16:46

alexanderx10 писал(а):Сеть 30.0.0.0 в одной организации, делаю три группы 30.0.0.10-50, 30.0.0.51-100, 30.0.0.101-150 (adress list), и каждой групе выделяю один модем. Разделять эти сети маской смысла нет, так как их не надо изолировать друг от друга. Каждой группе по модему ставлю так как модем не сильно жирный и сразу много конектов не тянет (хочу заметить что мне это тоже не нарвиться, но надо сделать более менее нормальный интернет). Провести хорошую линию, оптику, adsl, или какойто беспроводный канал на данный момент не реально, так как никто такие услуги не предоставляет у меня.


Адрес лист в данной ситуации - это для ленивых :) Ядро же будет сравнивать строки при обработке списков - а это операция не из легких. Маскировать все одно лучше ,т.к. там бинарная операция.
У тебя несколько подключений от провайдера, что можно три модема повесить? Без схемы по железу трудно однозначно ситуацию понять....


alexanderx10
Сообщения: 52
Зарегистрирован: 23 дек 2013, 14:06

Ну почему для ленивых. Так впринципе проще. Подключение ижложено на схеме, в реале тока свичей и точек доступа больше. Сейчас я для сети 30.0.0.0 дал просто отдельный один модем, и все работает прекрасно через роутинг. Но щас моим интетом пользуются только некоторые кому я дал доступ, а для того чтобы запустить больше народа надо распределить нагрузку на три модема. Использовать балансировку не хочу, так как не всегда корректо работает. Хотя может и упрощу ей себе жизнь. Но дело как раз не в упрощении жизни а в предоставлении качественных услуг ))

plan = http://www.imageup.ru/img213/1947283/plan.jpg.html


vviz
Сообщения: 75
Зарегистрирован: 09 окт 2014, 16:46

alexanderx10 писал(а):Ну почему для ленивых. Так впринципе проще. Подключение ижложено на схеме, в реале тока свичей и точек доступа больше. Сейчас я для сети 30.0.0.0 дал просто отдельный один модем, и все работает прекрасно через роутинг. Но щас моим интетом пользуются только некоторые кому я дал доступ, а для того чтобы запустить больше народа надо распределить нагрузку на три модема. Использовать балансировку не хочу, так как не всегда корректо работает. Хотя может и упрощу ей себе жизнь. Но дело как раз не в упрощении жизни а в предоставлении качественных услуг ))

plan = http://www.imageup.ru/img213/1947283/plan.jpg.html


Качество будет только в том случае, когда используется правильное оборудование правильным способом и еще запас остается...
Ну хозяин - барин, тебе виднее.


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

Dragon_Knight писал(а):

Код: Выделить всё

ip route rule add src-address=IP.AD.DR.ES/S2 action=lookup table=pk2-toisp2
ip route add dst-address=0.0.0.0/0 gateway=ISP.2.GATE.WAY routing-mark=pk2-toisp2


Через мангал не пробовал, - деньги на сим карте кончились :-)


ну во общем как я и писал раньше))


alexanderx10
Сообщения: 52
Зарегистрирован: 23 дек 2013, 14:06

Прийдется с манглом разбираться. Все меня устраивало пока не нечал использовать свой DNS который был в другой сети.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Ребят, вынужден срочно поднять тему из пепла, ибо инет упал а он срочно нужен...

Ситуация точно такая-же: Два инета, Оптика + 3G модем. На обоих маршруты автоматом с разной метрикой (10 и 20 соответственно). Собственно нужно пустить в инет 3G не всю сеть (а сети несколько подсетей), а только 2 компа (10.0.1.20, 10.0.1.21).
Пример выше работает, но блокируется работу DNS сервера микротика (разумеется автомаршрут отрубал).

Вообще два канала это не моя стихия кажись...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Не переживай, 2 канала это такое состояние... :mi_ga_et:

Если я правильно понял суть вопроса, то при переподключении айпишников в тот или иной канал,
эти машины теряют доступ к ДНСам микротика? Или к глобальным ДНСам в целом? Или что-то другое?
(в любом случаи попробуй компам этим ВРЕМЕННО задать глобальные днсы (яндекса или гугла) и проверить...

Ну и опиши про ДНС более подробно.
Возможно надо/нужно явно и доступы к ДНСам промарковать. Или задать микротику локальный ДНС (а уже этот
локальный будет иметь доступ к глобальным).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Vlad-2, Вот так. И 3г упал. Это вообще (*)...
Ну ситуация такая: Сейчас SFP вообще лежит (рваная оптика). Я подрубил модем настроил инет с него. Инет пошёл у всех, всё ок.
Далее задача по простому зарезать этот инет для всех, кроме [IPs]. Я сделал так:

Код: Выделить всё

/ip route
add distance=1 gateway=ISP-MEGAFON routing-mark=toisp2
/ip route rule
add src-address=10.0.1.20/32 table=toisp2
add src-address=10.0.1.21/32 table=toisp2

и если пинговать хосты по IP, то всё ок, если пытаться резолвить имя DNS, то получаю таймаут. Предполагаю что роутер сам не имеет выход в мир, что прицепи и логично, учитывая что я только для конкретных IP прописали маршруты.
И вот тут я затупил, - как мне сам роутер (10.0.0.1 и 10.0.1.1) выпустить в мир через этот-же 3G модем, не порушив всю сеть...

DNS самого микротика. Если прописать на компе внешние DNS, то всё работает, но это совершенно не интересно.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Николай, я всё же делаю слегка иначе. (может и я делаю не правильно..но работает).
1) при наличии 2х-3х-4х каналов - всегда один их них должен быть по-дефолту (по-дефолту без метки)
1.1) если быть точнее то каждый канал имеет дефолт-шлюз с метрикой 1, но у каждой такой записи - есть метка маркировки (для отправки пакетов предназначенных именно для этого канала)
1.2) в один момент времени всегда имеется канал по умолчанию (без маркировки),потом второй канал с дистанцией 2, третий канал с дистанцией 3 и так далее..

2) я не заворачиваю в таблице маршрутизации явно адреса в тот или иной канал, я делаю
адрес-листы (каждый адрес-лист это отдельный пров), эти адрес листы у меня описаны в манглах,
и соответственно указав нужные адреса,подсети в адрес-лист(тот в который нужен мне),
компы через 10-20 сек уже начинают работать только через этот канал.

Изображение

P.S.
1) На картинке показано как у меня это наяву, канал 5 - отключила контора (экономия), канал 6 так и не подключили, но в своё время
под него делал конфигурацию и описывал.

P.S.2
(внизу привожу полный конфиг мангла своего домашнего роутера, у меня правда каналов 9 описаны,
я убрал все кроме первых двух, чтобы было видна логика, остальные каналы описываются также,правятся
только названия, интерфейсы, комментарии и так далее).
Главное в файрволле иметь адрес-лист LocalNet (IP адресации локальный сети).

Код: Выделить всё

/ip firewall address-list
add address=192.168.25.241 comment="ISP1 - RTK" list=to_ISP1
add address=192.168.25.242 comment="ISP2 - SKTV" list=to_ISP2
add address=192.168.25.0/24 comment="Network of VLAD" list=LocalNet


/ip firewall mangle
add action=mark-connection chain=input comment="Mark-conn input on ISP1_in" \
    in-interface=vlan7-W-id287 new-connection-mark=ISP1_in passthrough=no
add action=mark-connection chain=input comment="Mark-conn input on ISP2_in" \
    disabled=yes in-interface=pppoe-13 new-connection-mark=ISP2_in passthrough=no


add action=mark-connection chain=forward comment=\
    "Mark-conn forward on ISP1_in to new-mark ISP1_for" in-interface=\
    vlan7-W-id287 new-connection-mark=ISP1_for passthrough=no
add action=mark-routing chain=prerouting comment=\
    "Mark-rout with mark-conn ISP1_for to route via iface of ISP1" \
    connection-mark=ISP1_for new-routing-mark=ISP1_rout passthrough=no \
    src-address-list=LocalNet
add action=mark-connection chain=forward comment=\
    "Mark-conn forward on ISP2_in to new-mark ISP2_for" disabled=yes \
    in-interface=pppoe-13 new-connection-mark=ISP2_for passthrough=no
add action=mark-routing chain=prerouting comment=\
    "Mark-rout with mark-conn ISP2_for to route via iface of ISP2" \
    connection-mark=ISP2_for disabled=yes new-routing-mark=ISP2_rout \
    passthrough=no src-address-list=LocalNet


add action=mark-routing chain=output comment=\
    "Mark-rout with mark-conn ISP1_in to route via iface ISP1" \
    connection-mark=ISP1_in new-routing-mark=ISP1_rout passthrough=no
add action=mark-routing chain=output comment=\
    "Mark-rout with mark-conn ISP2_in to route via iface ISP2" \
    connection-mark=ISP2_in disabled=yes new-routing-mark=ISP2_rout \
    passthrough=no


add action=mark-routing chain=prerouting comment="GO-to-ISP1 (via AddrList)" \
    connection-mark=no-mark dst-address-list=!LocalNet new-routing-mark=\
    ISP1_rout passthrough=no src-address-list=to_ISP1
add action=mark-routing chain=prerouting comment="GO-to-ISP2 (via AddrList)" \
    connection-mark=no-mark disabled=yes dst-address-list=!LocalNet \
    new-routing-mark=ISP2_rout passthrough=no src-address-list=to_ISP2




На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Наверно я совсем тупой, но у меня ничего не работает....

Ситуация немного другая, но проблема тажа:
Есть два провайдера (совершенно разные, с разными шлюзами и пулами), подключенный в порт 1 и 2. Оба настроены по статическому IP.
Первый провайдер: 1.1.1.111/24 через 1.1.1.1
Второй провайдер: 2.2.2.222/24 через 2.2.2.2
Задача следующая: Пустить весь "исходящий" трафик через первый провайдер, а весь "входящий" через второй. Под исходящем я имею ввиду то, что было инициализировано клиентом в сети, а входящий это то, что было инициализировано клиентом в интернете. Проще говоря все устройства сети должны выходить в мир только через первый провайдер, а все сервера в сети (в т.ч. и сам микротик, на котором поднят VPN сервер) отвечать только через второй провайдер.
Никакой балансировки и резервирования. Тупо разделить компы от серверов...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить