Всем привет!
Необходима помощь в настройке определенной схемы.
Имеется:
три провайдера и три внешних белых адреса.
один RB2011
одна локалка 192.168.1.0/24
в локалке компы пользователей и два сервера.
Необходимо:
1 - Чтоб все три провайдера заходили в микрот.
2 - Чтоб инет в локалку попадал с первого провайдера,
3 - а два сервера ходили в инет со второго и третьего провайдера и на сервера можно было обращаться на внешние адреса провайдеров (второго и третьего) на определенные порты висящей на серверах софтины. Также, сервера должны быть в локалке 192.168.1.0/24. Сейчас На серверах по два сет. интерфейса, один смотрит в локалку, а во второй напрямую заходит кабель провайдера. Хочется запустить кабеля провайдеров через микрот.
По пунктам 1 и 2 понятно, все работает.
Как мне реализовать третий пункт немного непонятно.
Настроить интерфейсы второго и третьего провайдеров на микроте на портах 2 и 3 и настроить с них переадресацию портов на локальные интерфейы серверов? Как тогда сделать, чтоб микрот знал чей трафик куда гнать... Где-то крутится, но не могу до конца понять как реализовать такую схему....
Шибко не силен еще в подобных задачках, тяжело в учении легко в бою)....
Спасибо
Нужна помощь RB2011
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) Буквально две такие темы обсуждаются прям сейчас, пытались читать их? (внизу дам ссылки на них)
2) Вы используете РБ2011, у него первые 5 портов это гигабит, а вторые 5-ть портов это 100мбит,
тогда ответьте самому себе, зачем провайдерские подключение делать в гигабитный порт?
Тем более с учётом что это РБ2011, реальный гигабит на провайдере вряд ли он прокачает.
Поэтому явно советую:
первые 5 портов - это должна быть Ваша локальная сеть + подключены сервера
а уже в 9, в 8 и в 7й порты = Вы должны подключать провайдеров, самое места им быть в тех портах.
Не используем вторую сетевуху, не будем заморачиваться с маршрутами на серверах, поэтому как я написал чуть выше,12black12 писал(а): ↑20 июл 2018, 08:59 3 - а два сервера ходили в инет со второго и третьего провайдера и на сервера можно было обращаться на внешние адреса провайдеров (второго и третьего) на определенные порты висящей на серверах софтины. Также, сервера должны быть в локалке 192.168.1.0/24. Сейчас На серверах по два сет. интерфейса, один смотрит в локалку, а во второй напрямую заходит кабель провайдера. Хочется запустить кабеля провайдеров через микрот.
подключаете сервера в микротик, по гигабиту, один сервер - одна сетевуха - один порт.
Для примера:
1й порт = Ваша локальная сеть (подключить сюда свитч и компы уже через свитч)
2й порт - сервер работающий через второго провайдера
3й порт - сервер работающий через третьего провайдера
Думаю второй пункт может сейчас и работает, но при создании расширенной маршрутизации,
там всё не просто будет. И возможно надо будет перенастраивать.
Ну я банально повторюсь: надо маркировать трафик каждого провайдера, делать таблицы маршрутизации с привязкой к этим маркировкам,12black12 писал(а): ↑20 июл 2018, 08:59 Как мне реализовать третий пункт немного непонятно.
Настроить интерфейсы второго и третьего провайдеров на микроте на портах 2 и 3 и настроить с них переадресацию портов на локальные интерфейы серверов? Как тогда сделать, чтоб микрот знал чей трафик куда гнать... Где-то крутится, но не могу до конца понять как реализовать такую схему....
Шибко не силен еще в подобных задачках, тяжело в учении легко в бою)....
и уже загонять в ту или иную таблицу тот или иной сервер. Естественно надо разрешить локальному адресу сервера2 работать (выходить
в Интернет через провайдера2), такое же и с сервером3 и провайдером3. И конечно сети основной - выходить через провайдера1.
И только после того как маркировка работает, как работает НАТ через нужного провайдера, уже можно делать
пробросы и прочее.
И даю ссылки на темы, которые сейчас обсуждаем буквально и которые на 75-90% похоже на Вашу задачу,
там может быть отличие в кол-ве провайдеров или в других нюансах.
1) viewtopic.php?f=3&t=9016
2) viewtopic.php?f=15&t=9041
Там я дал практически на 90% "шпаргалку" в виде своего конфига, который более-менее это делает,
если слегка попрактиковаться, и повторить/перенести конфигурацию с учётом Ваших условий - уже будете видеть результат.
-
- Сообщения: 18
- Зарегистрирован: 18 сен 2017, 19:02
ок, спасибо почитаю. По поводу провайдеров в последние порты, так и делаю, тут образно написал 2 и 3 ))
В принципе понял направление )
В принципе понял направление )
-
- Сообщения: 18
- Зарегистрирован: 18 сен 2017, 19:02
Выложу конфиг, прошу помощи, тк с маршрутами как-то печально у меня по сей час)
Еще проблема в том, что я не на боевом месте, а надо сделать так, чтоб приехал, поставил, провода воткнул и все полетело как надо.
Получается, что локальная одна сеть 192,168,1,0.
Провайдер по факту один, но три внешних адреса. Инет статика, шлюз у всех один.
Инет у юзеров в дхцп должен работать через INET-LOCAL, а SRV-100 и SRV-101 соответственно через INET-SRV-100 и INET-SRV-101 при этом в одной локалке.
Маркировку трафика нарисовал, маршруты нарисовал, но очень сомневаюсь, что маршруты правильно сделал.... А может еще чего не так...
Спасибо заранее
Еще проблема в том, что я не на боевом месте, а надо сделать так, чтоб приехал, поставил, провода воткнул и все полетело как надо.
Получается, что локальная одна сеть 192,168,1,0.
Провайдер по факту один, но три внешних адреса. Инет статика, шлюз у всех один.
Инет у юзеров в дхцп должен работать через INET-LOCAL, а SRV-100 и SRV-101 соответственно через INET-SRV-100 и INET-SRV-101 при этом в одной локалке.
Маркировку трафика нарисовал, маршруты нарисовал, но очень сомневаюсь, что маршруты правильно сделал.... А может еще чего не так...
Спасибо заранее
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Увы, но это уже другой уровень, тут надо или заказывать полный конфиг с тестированием (естественно платно)
для такой работы, ещё и в ускоренном формате. А так, каждая конфигурация дорабатывается на месте,
всех нюансов, думаю даже родной админ не всегда может предвидеть.
Это вообще всё меняет, или на 85% меняется условия задачи, три провайдера, три разных сети, шлюза и подключения,
или три адреса у одного провайдера с одним шлюзом и маской = очень большая разница....
1) сначала давайте разберёмся с провайдерами,(вернее с одним), провод у Вас один получается?12black12 писал(а): ↑21 июл 2018, 17:01 Инет у юзеров в дхцп должен работать через INET-LOCAL, а SRV-100 и SRV-101 соответственно через INET-SRV-100 и INET-SRV-101 при этом в одной локалке.
Маркировку трафика нарисовал, маршруты нарисовал, но очень сомневаюсь, что маршруты правильно сделал.... А может еще чего не так...
И если Вы его подключаете в 10й порт, как Интернет появиться в 9 и в 8 порту????
Вы можете хоть по 5 адресов задать на 9 и на 8 порты, а толку будет мало.
Коли провайдер один и провод у Вас от провайдера один, Вам надо делать бридж-wan,
в котором Вы объедините 10,9 и 8 порты, так у Вас заработает "физика" между портами 10,9 и 8.
2) Маркировка трафика при таком раскладе не нужна, локальную сеть настраиваете как обычно,
основной адрес (первый) задаёте на bridge-wan и в файрволе прописываете, что НАТ(маскарайдинг)
будет идти от интерфейса bridge-wan. Это для локальной сети всё.
===== Теперь по части серверов (тут два под-варианта): =====
а) первый способ, более правильный чтоли:
на bridge-wan добавляете второй и третий айпи (внешние), в настройках серверов описываете,
что если пришёл сервер2 и хочет выйти в интернет, то он должен выйти с адреса внешнего2, и
с интерфейса bridge-wan. ОПИСЫВАТЬ НАТ надо точно именно так, потому что у Вас интерфейс
и адресация на нём совокупная, поэтому имейте ввиду.
С сервером3 тоже самое, описываете отдельным НАТ правилом, что если сервер3
хочет выйти в Интернет с адреса внешнего3, то надо ему делать НАТ подставляее адрес
внешний3 с интерфейса также bridge-wan.
Также и с пробросами, если они нужны, Вы должны обязательно указывать, что
при входящем пакете на такой то внешний адрес2 идти на сервер2. Правила
должны быть более полными и чёткими, иначе проброс не сработает.
б) второй способ чуть легче, но опаснее:
вы берёте (вроде у Вас были вторые сетевые карты), подключаете скажем в порт 6(это будет сервер2)
и в порт7 микротика (это будет сервер3) эти отдельные сетевые карты, в bridge-wan добавляете
порт 7 и 6, и фактически что получается, у Вас на bridge-wan установлен только первый основной
адрес внешний, а уже прямо на сетевых картах сервера2 и сервера3 (на внешних этих картах)
задаёте внешний адрес2 и внешний адрес3 прямо серверам.
Тут вообще всё прозрачно, микротик обслуживает локальных клиентов с первого адреса,
сервера напрямую работают каждый со своим адресом на сетевой карте.
Минус или опасность в том = что реальные адреса прямо на серверах, если Вы сможете и
знаете что сможете сделать файрвол, защиту серверов сами = тоже данный способ имеет
право на жизнь. ПОВТОРЮСЬ = сервера будут напрямую сидеть в Интернете, роутер
в рамках бриджа bridge-wan будет просто выполнять роль свитча(хаба) для трафика серверов.
P.S.
конфиг не смотрел, так пробежался....
-
- Сообщения: 18
- Зарегистрирован: 18 сен 2017, 19:02
От провайдера приходит три провода)
Просто они видимо из одного шлюза провайдера с разными адресами.
Просто они видимо из одного шлюза провайдера с разными адресами.
-
- Сообщения: 18
- Зарегистрирован: 18 сен 2017, 19:02
А сейчас как раз и сделано: на одном сет интерфейсе сервера настроен инет статика, а второй в локалку смотрит и никакого фаерволла нет. Вот и хочется запустить все три инет кабеля в микрот и чтоб он рулил всем
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) провайдер у Вас отжигает. 3-ти порта занять...странно. У нас за это бы деньги провайдер снял с клиента.
2) попробуйте всё же сделать бридж-wan, и на нём задать сначала 1-й адрес, подключить 1й кабель,
и прописать шлюз (который у Вас один), и проверьте с роутера пинг (например 8.8.8.8).
Также, не меняя "физику", то есть не дёргая кабель, вместо 1-ого адреса, задайте другой,
также попробуйте проверить пингом. Задача убедиться, что используя 1 кабель можно
по одному кабелю работать со всеми выданными адресами.
Если так не сработает, уточните у провайдера, может он сможет сделать так, чтобы все
три адреса были доступны через одно физическое подключение?
Если нет, то ещё под-вариант, в бридж-wan добавлять 9 и 8 порты, туда кабеля остальные
подключаете и всё это делать единым интерфейсом (бридж это сделает), но за такое
провайдеры тоже могут поругать (будут 3 мак-адреса у него на порту светиться).
И последний под-вариант: делать 3 внешних бриджа:
а)...bridge-wan1 (порт10 и кабель туда первый) + адрес внешний1 ставим на этот bridge-wan1
б)...bridge-wan2 (порт9 и кабель туда второй) + адрес внешний2 ставим на этот bridge-wan2
в)...bridge-wan3 (порт8 и кабель туда третить) + адрес внешний3 ставим на этот bridge-wan3
Правда я такое извращение не делал, не совсем понимаю как будет отрабатываться шлюз
при таком режиме (в голове не могу пока это прокрутить), но в любом случаи вариаций я Вам дал.
Ну и так как у Вас адресация одна (в рамках одного провайдера), шлюз один, маркировка тут не нужна.
Делаете как я Выше описал, а если Вы хотите чтобы внешняя адресация была ТОЛЬКО на роутере,
значит делаете ближе всё к плану а) (в прошлом моём сообщении)
Ну а всё остальное уже по мере действий и оттачиваете на практике. Те конфигурации что я привёл
пример, они рабочие и по одному разу точно были сделаны.
2) попробуйте всё же сделать бридж-wan, и на нём задать сначала 1-й адрес, подключить 1й кабель,
и прописать шлюз (который у Вас один), и проверьте с роутера пинг (например 8.8.8.8).
Также, не меняя "физику", то есть не дёргая кабель, вместо 1-ого адреса, задайте другой,
также попробуйте проверить пингом. Задача убедиться, что используя 1 кабель можно
по одному кабелю работать со всеми выданными адресами.
Если так не сработает, уточните у провайдера, может он сможет сделать так, чтобы все
три адреса были доступны через одно физическое подключение?
Если нет, то ещё под-вариант, в бридж-wan добавлять 9 и 8 порты, туда кабеля остальные
подключаете и всё это делать единым интерфейсом (бридж это сделает), но за такое
провайдеры тоже могут поругать (будут 3 мак-адреса у него на порту светиться).
И последний под-вариант: делать 3 внешних бриджа:
а)...bridge-wan1 (порт10 и кабель туда первый) + адрес внешний1 ставим на этот bridge-wan1
б)...bridge-wan2 (порт9 и кабель туда второй) + адрес внешний2 ставим на этот bridge-wan2
в)...bridge-wan3 (порт8 и кабель туда третить) + адрес внешний3 ставим на этот bridge-wan3
Правда я такое извращение не делал, не совсем понимаю как будет отрабатываться шлюз
при таком режиме (в голове не могу пока это прокрутить), но в любом случаи вариаций я Вам дал.
Ну и так как у Вас адресация одна (в рамках одного провайдера), шлюз один, маркировка тут не нужна.
Делаете как я Выше описал, а если Вы хотите чтобы внешняя адресация была ТОЛЬКО на роутере,
значит делаете ближе всё к плану а) (в прошлом моём сообщении)
Ну а всё остальное уже по мере действий и оттачиваете на практике. Те конфигурации что я привёл
пример, они рабочие и по одному разу точно были сделаны.