несколько провайдеров

Hasper · 17 мар 2017, 16:36

есть Микротик у которого настроено два wan один через 3g второй через vpn (adsl модем)
есть несколько вопросов по тому как новичек в routerOS:
1. Когда работают оба WAN зайти через winBox могу только по белому ip vpn
Когда вырубаю vpn могу зайти и через 3g.
т.е. другим словами доступ из вне есть только на один внешний ip.
2. когда микротик создает автоматический rout то Distance он может поставить 0 когда создаю руками то 0 не получается выставить?
Заранее спасибо

18 мар 2017, 17:00

Почитайте форумы, и этот в том числе, ознакомьтесь с FAQ,
ну и также с другими информационными ресурсами.
И конечно повторить/изучить основы IP-сетей и маршрутизации (в начальном виде).

Ваши вопросы обычные и даже на огромную половину - не связаны с Микротиком,
а связаны с логикой и построением IP-сетей.

Hasper · 18 мар 2017, 17:19

Vlad-2 писал(а):Почитайте форумы, и этот в том числе, ознакомьтесь с FAQ,
ну и также с другими информационными ресурсами.
И конечно повторить/изучить основы IP-сетей и маршрутизации (в начальном виде).

Ваши вопросы обычные и даже на огромную половину - не связаны с Микротиком,
а связаны с логикой и построением IP-сетей.

Спасибо, этим и занимаюсь..
Но))) честно сказать, ждал немного другого ответа)) думаю что человеку, который в этом понимает лучше меня, ответить на эти вопросы.. а лучше дать совет,
как сделать так что бы микротик был доступен по обоим wan интерфейсам не составит особого труда.
Заранее спасибо.

18 мар 2017, 18:05

Hasper писал(а):Но))) честно сказать, ждал немного другого ответа)) думаю что человеку, который в этом понимает лучше меня, ответить на эти вопросы.. а лучше дать совет,
как сделать так что бы микротик был доступен по обоим wan интерфейсам не составит особого труда.
Заранее спасибо.

(начну с лирики)
Я обычно добр и стараюсь помочь, но смотрите что получается, я будучи уже сетевым администратором,
зная линукс системы, имея опыт работы в сетях, и когда только начал (в качестве хобби) изучать Микротик
и тоже изучал по по всяким трудам и FAQ, также прекрасно узнал, что Микротик великолепно
разруливает 2-3-4 провайдера одновременно (во всяком случаи так писали), и даже имея опыт сетей,
я к этому вопросу, и даже к знаниям подошёл наверно только спустя месяца 3-4 после первого взятия в руки роутера Микротик.
То есть я хочу показать, что работать с двумя провайдерами, с двумя WAN-подключениями,
надо не просто тыкнуть и всё, тут всё (с одной стороны просто, но просто когда уже набил шишек,
и не одну ночь/выходные посидел), а с другой стороны опять же - IP-сети работают и функционируют
в рамках своих правил и своей идеологии, и согласитесь, я не могу Вам подсказать то, что прописано в букваре
основ сетевых IP.

Но всё же отвечу Вам по теме (в той или иной мере):
1) чтобы можно было заходить по обоим адресам внешним на микротик, надо микротику (да и как и любому роутеру)
явно показать, чтобы он знал куда и что принимать и главное - и куда отсылать. Роутер должен знать откуда пришёл пакет,
для кого, кому ответить и главное ещё через какой интерфейс, то есть чтобы работало надо описывать два шлюза,
и правильно это делать (есть своя тонкость).

2) С Дистанциями, вот тоже это основы сетей, но попробую Вам на аллегории описать:
Дистанция 0 - это прямая сеть или Директ-коннекшен или попросту то что есть всегда, а если на примере,
то находясь на кухне, и супруга Ваша находясь на кухне, Вы не будете общаться с ней через тёщу сидящую в зале.
Вы рядом, соединены напрямую. То есть Дистанция 0 показывает то, что роутер знает об этой сети, так как у него уже
есть адрес из этой сети на каком то из интерфейсов. Дистанция 0 ставиться автоматически при установки IP на интерфейсе,
или при подключении. Дистанция 1 и выше - ставиться при создании маршрутов и т.д., а также Вы можете сами ставить
нужную дистанцию и этим манипулировать. Чем дистанция Выше, тем маршрут менее ценен.
Есть определённые цифры для Дистанции которые зарезервированы.
Но опять же - видите сколько тонкостей (дистанция, маршрут, цена маршрута...).
Это всё - уже инженерные курсы, а до них надо напрактиковаться.

Вот как-то так...

P.S.
(поправил ошибки)

18 мар 2017, 21:56

Уважаемый ТС, предлагаю все же выдать военную и государственную тайну - ваш конфиг. Без него вас засыплют словами, насоветуют общего, предложит изучить частности... Хотя по первому впечатлению надо маркировать соединения и маршруты, скорее всего дописывать маршруты. А то ведь действительно получается, что железка получает запрос со второго канала, но ответ шлет через первый. Потому как не знает, через какой интерфейс пришел пакет.

Hasper · 19 мар 2017, 00:01

to Vlad-2
Спасибо за лирику)
про дистанции понятно было примерно понятно.. но.. почему я не могу создать такой же маршрут руками если его микротик создает автоматом ?

Спасибо) что натолкнули на мысль про маркировку .. делал для доступности за натом rdp сервера по обоим ip .. но и в голову не могло придти что то же самое нужно делать для самой железки.. и главное как ?
mark_connection понятно.. а mark_routing ?? что в качестве scr. adress ?
только что проверил доступность железки в том месте где два Ip И один rdp сервер.. и настроен mangele с метками..доступен по обоим..
сделал то же самое но без указания адреса scr. adress на испытуемом объекте как то так

Код: Выделить всё

  chain=forward action=mark-connection new-connection-mark=m-byfly 
  passthrough=yes in-interface=byFly log=no log-prefix="" 

  chain=forward action=mark-connection new-connection-mark=m-3g 
  passthrough=yes in-interface=byFly log=no log-prefix="" 

  chain=prerouting action=mark-routing new-routing-mark=r_3g passthrough=yes 
  connection-mark=m-3g log=no log-prefix="" 

 chain=prerouting action=mark-routing new-routing-mark=r_byfly 
 passthrough=yes connection-mark=m-byfly log=no log-prefix=""

да и добавил дублирующие маршруты с маркировкой
. нифига не завелось..

предполагаю что нужно как то по особенному настроить mangle нашел на просторах такое

Код: Выделить всё

/ip firewall mangle
add action=mark-connection chain=input in-interface=ISP1 \
    new-connection-mark=ISP1-conn passthrough=yes
add action=mark-routing chain=output connection-mark=ISP1-conn \
    new-routing-mark=ISP1-route passthrough=no
add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=\
    ISP2-conn passthrough=yes
add action=mark-routing chain=output connection-mark=ISP2-conn \
    new-routing-mark=ISP2-route passthrough=no
add action=mark-connection chain=input in-interface=ISP3 \
    new-connection-mark=ISP3-conn passthrough=yes
add action=mark-routing chain=output connection-mark=ISP3-conn \
    new-routing-mark=ISP3-route passthrough=no
add action=mark-connection chain=forward in-interface=ISP1 \
    new-connection-mark=ISP1-conn-f passthrough=no
add action=mark-routing chain=prerouting connection-mark=ISP1-conn-f \
    in-interface=bridge new-routing-mark=ISP1-route 
add action=mark-connection chain=forward in-interface=ISP2 \
    new-connection-mark=ISP2-conn-f passthrough=no
add action=mark-routing chain=prerouting connection-mark=ISP2-conn-f \
    in-interface=bridge new-routing-mark=ISP2-route 
add action=mark-connection chain=forward in-interface=ISP3 \
    new-connection-mark=ISP3-conn-f passthrough=no
add action=mark-routing chain=prerouting connection-mark=ISP3-conn-f \
    in-interface=bridge new-routing-mark=ISP3-route

так будет правильно ?

19 мар 2017, 09:56

Hasper писал(а):to Vlad-2
Спасибо за лирику)

Не за что (это я о Лирике). :mi_ga_et:

Но судя по Вашим ответам, и то что часть наших просьб Вы проигнорировали и не сделали, но потом
недовольными остаётесь, если мы не отвечаем....как то не правильно, должен быть диалог, понимания....

Hasper писал(а):про дистанции понятно было примерно понятно.. но.. почему я не могу создать такой же маршрут руками если его микротик создает автоматом ?

На счёт дистанции - понятно, но всё же не понятно так как надо.
Ещё раз - дистанция 0 - это физическое подключение, то есть подключив компьютер к роутеру и дав им обоим адресацию вы сделали прямое (директ) подключение.
А маршрут - это указания куда идти/слать данные и через какие подключения (их может быть много). Маршрут не работает без директ-коннекшион.
Аллегория: стоит здание, фундамент есть, а вы хотите проживая на 4м этаже залить фундамент, вопрос - что он Вам даст на 4м этаже этот фундамент?
Так и тут, делать дистанцию 0 при создании маршрутов - бесполезно, поэтому и нельзя.

Hasper писал(а):Спасибо) что натолкнули на мысль про маркировку .. делал для доступности за натом rdp сервера по обоим ip .. но и в голову не могло придти что то же самое нужно делать для самой железки.. и главное как ?
mark_connection понятно.. а mark_routing ?? что в качестве scr. adress ?

Вы про маркировки должны были знать, и отвечая Вам в первый раз, я косвенно про неё упомянул.
Но опять же, Вы не говорите - работали Вы с ними, знаете как их применять и что это?
Но судя по всяким не совсем читаемым параметрам - Вы их слабо понимаете....

Я лишь Вам приведу рабочий пример как у меня в манглах описан каждый провайдер,
в примере будет показан лишь один провайдер (первый мой), от Вас останется понять
данные строчки, интерфейсы заменить своими и так сделать со вторым, третьем и так далее
провайдерами....данный пример маркирует провайдера и также позволяет через адрес-листы явно вставать
в этого провайдера

/ip firewall mangle
add action=mark-connection chain=input comment="Mark-conn input on ISP1_in" in-interface=vlan7-W-id287 new-connection-mark=ISP1_in passthrough=no
add action=mark-connection chain=forward comment="Mark-conn forward on ISP1_in to new-mark ISP1_for" in-interface=vlan7-W-id287 new-connection-mark=ISP1_for passthrough=no
add action=mark-routing chain=prerouting comment="Mark-rout with mark-conn ISP1_for to route via iface of ISP1" connection-mark=ISP1_for new-routing-mark=ISP1_rout passthrough=no src-address-list=LocalNet
add action=mark-routing chain=prerouting comment="GO-to-ISP1 (via AddrList)" connection-mark=no-mark dst-address-list=!LocalNet new-routing-mark=ISP1_rout passthrough=no src-address-list=to_ISP1
add action=mark-routing chain=output comment="Mark-rout with mark-conn ISP1_in to route via iface ISP1" connection-mark=ISP1_in new-routing-mark=ISP1_rout passthrough=no

Удачи Вам...

Hasper · 19 мар 2017, 23:15

to Vlad2, спасибо ) достаточно только mangle ? или нужно что то с маршрутами делать в этом случае ?

19 мар 2017, 23:52

Hasper писал(а):to Vlad2, спасибо ) достаточно только mangle ? или нужно что то с маршрутами делать в этом случае ?

Ну а если подумать? Для чего мы делаем маркировку ...конечно надо маршруты делать!!!

В таблице маршрутов надо добавить маршруты:
0.0.0.0/0 через GW-ISP1 и поставить метку ISP1_rout (дистанция 1)
0.0.0.0/0 через GW-ISP2 и поставить метку ISP2_rout (дистанция 1)
и так каждого провайдера, которого мы "отмаркировали".
Так мы создали таблицы для каждого провайдера и роутер знает куда отсылать пакеты
отмаркированные/пришедшие для выхода для того или иного провайдера.

Ну а потом прописываете шлюз по умолчанию (куда без него),
те же самые правила, только уже без маркировки, и соответственно
0.0.0.0/0 через GW-ISP1 (дистанция 1, этот провайдер будет текущим, то есть активным)
0.0.0.0/0 через GW-ISP2 (дистанция 2, этот будет вторым при неработающим первом, будет отображаться синим цветом, не пугаться)

Значения "GW-ISP1" или "GW-ISP2" - может принимать вид в виде IP адреса шлюза (выдаёт провайдер при статике) или в виде название интерфейса рррое/lte.

Ну и по идее всё, если сделаете правильно.

Hasper · 20 мар 2017, 09:49

Спасибо))
И еще вопрос по поводу address-list их нужно создавать руками или микротик сам в состоянии из создать автоматом ?

несколько провайдеров

Вход • Регистрация