Белая подсеть за белым IP

Обсуждение ПО и его настройки
electro777
Сообщения: 54
Зарегистрирован: 04 сен 2016, 01:10

Я объединял WAN и LAN, железо настраиваю не в первый раз, просто тут прям затык, вроде все на поверхности и все просто, но либо у меня руки уже скривились))) либо все таки провайдер шаманит! Судя по всему либо неправильно проходят dns запросы (хотя резолвится все верно), либо у провайдера проблема с пакетами на сети и размер в 1500 слишком большой для маршрутизированной сети. Если выходить чисто через один внешний ip, то проблем никаких


electro777
Сообщения: 54
Зарегистрирован: 04 сен 2016, 01:10

Вот конфиг
/interface bridge
add mtu=1492 name=bridgewan
/interface ethernet
set [ find default-name=ether2 ] name=ether2_lan
set [ find default-name=ether6 ] mtu=1492 name=ether6_serv
set [ find default-name=ether7 ] mtu=1492 name=ether7_serv
set [ find default-name=ether8 ] mtu=1492 name=ether8_serv
set [ find default-name=ether9 ] mtu=1492 name=ether9_WANIN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridgewan interface=ether8_serv path-cost=100
add bridge=bridgewan interface=ether6_serv path-cost=100
add bridge=bridgewan interface=ether7_serv path-cost=100
/ip address
add address=283.xxx.xxx.xxx/26 interface=ether9_WANIN network=283.xxx.xxx.xxx
add address=80.xxx.xxx.xxx/29 interface=bridgewan network=80.xxx.xxx.xxx
/ip dns
set servers=8.8.8.8
/ip firewall filter
add action=accept chain=input dst-port=53 protocol=udp
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=283.xxx.xxx.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

electro777 писал(а):Я объединял WAN и LAN, железо настраиваю не в первый раз, просто тут прям затык, вроде все на поверхности и все просто, но либо у меня руки уже скривились))) либо все таки провайдер шаманит! Судя по всему либо неправильно проходят dns запросы (хотя резолвится все верно), либо у провайдера проблема с пакетами на сети и размер в 1500 слишком большой для маршрутизированной сети. Если выходить чисто через один внешний ip, то проблем никаких

Посмотрел Ваш конфиг, к сожалению ни трасертов, не пингов ничего от Вас нет.
Также в конфигие не надо всё же делать то, что пока не важно и может влиять больше в отрицательную сторону,
в частности не надо трогать МТУ, косты в бриджах.
Также меня смутило что маска на ВАН-адресе у Вас /26 ...не уж что провайдер всех своих клиентов
вот так в "общий" котёл? Тут ошибки нету?
Ну и вашу фразу " Если выходить чисто через один внешний ip, то проблем никаких" я не понял, так как я не могу
понять в контексте что Вы имели ввиду, какой IP и что за внешний. Так что чуть чуть нужна большая конкретика.

Сделайте ещё проще.
а) 1-порт WAN-IN, ставите адрес, маску, задаёте шлюз.
б) проверяете что работает Интернет. ДНСы тут не важны, ни запросы, не прохождения.
Сейчас попытка добиться работы сети и её логики. Со службами/сервисами потом.
Так что ДНС можно в микротике 8.8.8.8 прописать.
Чем проще конфиг на начальном этапе - меньше вероятность ошибки!

в) 9 - WAN2-OUT (ваша /29), также ставите адрес на порт с маской, подключаете комп, даёте компу второй адрес
из вашей /29 сети, с указанием шлюза - айпи адреса микротика из вашей /29 сети.
г) проверяете что комп пингует микротик и микротик пингует комп в рамках вашей /29 сети.
(файрвол компа - отключить)

Никаких ещё раз правок на счёт МТУ и так далее....не надо!

Траблешутинг:

1) И с компа сделайте трасерт, смотрите куда и как идёт, делайте анализ.
Надо работать, смотреть что куда и как. Инженерно подходить к задаче и не отвлекаться
на сервисы и иные вариации.
2) У провайдера попросите какой то его адрес, поставте с компа этот адрес на пинг
постоянный и пусть он его ловит/ищет
3) Попросите у друга/коллеги доступ (лучше через другого провайдера) и с того провайдера
сделайте трасерты до компа своего на котором ваш адрес из /29 сети.
4) уже говорил и напоминаю, команда трасерт и команда пинг в микротике могут
быть настроены так, что они могут посылать запросы с явно указанного интерфейса,
так что когда Вы ими пользуетесь, имейте это ввиду, тесты можно делать и как с одного,
так, и с другого, третьего интерфейсов и так.

Надо всё же не гадать, а сделать траблешутинг, всё посмтреть и уже смотреть где проблема.
Нихочу тут никого обижать,но было пару раз, что куча советов давал я, а потом,
к 5-8 странице обсуждения всё же оказывается что у админа на компе был включен файрвол.
Поэтому пожалуйста прошу пройдите по всем пунктам, и в микротике настраиваем как оно есть,
без тюнинга и так далее...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
electro777
Сообщения: 54
Зарегистрирован: 04 сен 2016, 01:10

Добрый день. С внешнего IP, как раз имел ввиду тот внешний IP на WAN, с него все ходит и нормально резолвится по DNS. Трассировки все посмотрел (как писал выше), если делать трассировку с внешнего WAN, то она доходит до адресата, скажем до 8.8.8.8, если делать с внешней подсети /29 то она проходит мои железки и стопорится где то посередине на узлах провайдера, при этом заметил что маршруты трассировки с wan и с выделенной подсети разные. Видимо все таки провайдер что-то шаманит. По поводу маски 26, не ошибка, действительно пров выделяет сразу большой пул адресов. МТУ уменьшил, т.к провайдер заявил что у него некоторые железки не пропускают пакеты более 1492


vladimir.vinogradov
Сообщения: 1
Зарегистрирован: 12 сен 2018, 20:34

Vlad-2, большое спасибо за ликбез по данной настройке (что бридж может содержать один лишь порт)
Благодаря вам удалось настроить примерно такую же конфигурацию.


Ответить