Нужна помощь RB2011

Обсуждение ПО и его настройки
Ответить
12black12
Сообщения: 18
Зарегистрирован: 18 сен 2017, 19:02

Всем привет!
Необходима помощь в настройке определенной схемы.
Имеется:
три провайдера и три внешних белых адреса.
один RB2011
одна локалка 192.168.1.0/24
в локалке компы пользователей и два сервера.
Необходимо:
1 - Чтоб все три провайдера заходили в микрот.
2 - Чтоб инет в локалку попадал с первого провайдера,
3 - а два сервера ходили в инет со второго и третьего провайдера и на сервера можно было обращаться на внешние адреса провайдеров (второго и третьего) на определенные порты висящей на серверах софтины. Также, сервера должны быть в локалке 192.168.1.0/24. Сейчас На серверах по два сет. интерфейса, один смотрит в локалку, а во второй напрямую заходит кабель провайдера. Хочется запустить кабеля провайдеров через микрот.

По пунктам 1 и 2 понятно, все работает.
Как мне реализовать третий пункт немного непонятно.
Настроить интерфейсы второго и третьего провайдеров на микроте на портах 2 и 3 и настроить с них переадресацию портов на локальные интерфейы серверов? Как тогда сделать, чтоб микрот знал чей трафик куда гнать... Где-то крутится, но не могу до конца понять как реализовать такую схему....
Шибко не силен еще в подобных задачках, тяжело в учении легко в бою)....

Спасибо


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

12black12 писал(а): 20 июл 2018, 08:59 Имеется:
три провайдера и три внешних белых адреса.
один RB2011
одна локалка 192.168.1.0/24
в локалке компы пользователей и два сервера.
Необходимо:
1 - Чтоб все три провайдера заходили в микрот.
2 - Чтоб инет в локалку попадал с первого провайдера,
1) Буквально две такие темы обсуждаются прям сейчас, пытались читать их? (внизу дам ссылки на них)

2) Вы используете РБ2011, у него первые 5 портов это гигабит, а вторые 5-ть портов это 100мбит,
тогда ответьте самому себе, зачем провайдерские подключение делать в гигабитный порт?
Тем более с учётом что это РБ2011, реальный гигабит на провайдере вряд ли он прокачает.
Поэтому явно советую:
первые 5 портов - это должна быть Ваша локальная сеть + подключены сервера
а уже в 9, в 8 и в 7й порты = Вы должны подключать провайдеров, самое места им быть в тех портах.
12black12 писал(а): 20 июл 2018, 08:59 3 - а два сервера ходили в инет со второго и третьего провайдера и на сервера можно было обращаться на внешние адреса провайдеров (второго и третьего) на определенные порты висящей на серверах софтины. Также, сервера должны быть в локалке 192.168.1.0/24. Сейчас На серверах по два сет. интерфейса, один смотрит в локалку, а во второй напрямую заходит кабель провайдера. Хочется запустить кабеля провайдеров через микрот.
Не используем вторую сетевуху, не будем заморачиваться с маршрутами на серверах, поэтому как я написал чуть выше,
подключаете сервера в микротик, по гигабиту, один сервер - одна сетевуха - один порт.
Для примера:
1й порт = Ваша локальная сеть (подключить сюда свитч и компы уже через свитч)
2й порт - сервер работающий через второго провайдера
3й порт - сервер работающий через третьего провайдера
12black12 писал(а): 20 июл 2018, 08:59 По пунктам 1 и 2 понятно, все работает.
Думаю второй пункт может сейчас и работает, но при создании расширенной маршрутизации,
там всё не просто будет. И возможно надо будет перенастраивать.
12black12 писал(а): 20 июл 2018, 08:59 Как мне реализовать третий пункт немного непонятно.
Настроить интерфейсы второго и третьего провайдеров на микроте на портах 2 и 3 и настроить с них переадресацию портов на локальные интерфейы серверов? Как тогда сделать, чтоб микрот знал чей трафик куда гнать... Где-то крутится, но не могу до конца понять как реализовать такую схему....
Шибко не силен еще в подобных задачках, тяжело в учении легко в бою)....
Ну я банально повторюсь: надо маркировать трафик каждого провайдера, делать таблицы маршрутизации с привязкой к этим маркировкам,
и уже загонять в ту или иную таблицу тот или иной сервер. Естественно надо разрешить локальному адресу сервера2 работать (выходить
в Интернет через провайдера2), такое же и с сервером3 и провайдером3. И конечно сети основной - выходить через провайдера1.
И только после того как маркировка работает, как работает НАТ через нужного провайдера, уже можно делать
пробросы и прочее.

И даю ссылки на темы, которые сейчас обсуждаем буквально и которые на 75-90% похоже на Вашу задачу,
там может быть отличие в кол-ве провайдеров или в других нюансах.
1) viewtopic.php?f=3&t=9016
2) viewtopic.php?f=15&t=9041

Там я дал практически на 90% "шпаргалку" в виде своего конфига, который более-менее это делает,
если слегка попрактиковаться, и повторить/перенести конфигурацию с учётом Ваших условий - уже будете видеть результат.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
12black12
Сообщения: 18
Зарегистрирован: 18 сен 2017, 19:02

ок, спасибо почитаю. По поводу провайдеров в последние порты, так и делаю, тут образно написал 2 и 3 ))
В принципе понял направление )


12black12
Сообщения: 18
Зарегистрирован: 18 сен 2017, 19:02

Выложу конфиг, прошу помощи, тк с маршрутами как-то печально у меня по сей час)
Еще проблема в том, что я не на боевом месте, а надо сделать так, чтоб приехал, поставил, провода воткнул и все полетело как надо.
Получается, что локальная одна сеть 192,168,1,0.
Провайдер по факту один, но три внешних адреса. Инет статика, шлюз у всех один.
Инет у юзеров в дхцп должен работать через INET-LOCAL, а SRV-100 и SRV-101 соответственно через INET-SRV-100 и INET-SRV-101 при этом в одной локалке.
Маркировку трафика нарисовал, маршруты нарисовал, но очень сомневаюсь, что маршруты правильно сделал.... А может еще чего не так... :sh_ok:

Спасибо заранее
 
> export

# model = 2011UiAS-2HnD

/interface bridge
add arp=proxy-arp fast-forward=no name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=local name=eth1
set [ find default-name=ether2 ] name=eth2
set [ find default-name=ether3 ] name=eth3
set [ find default-name=ether4 ] name=eth4
set [ find default-name=ether5 ] name=eth5
set [ find default-name=ether8 ] comment=INET-SRV-101 name=eth8
set [ find default-name=ether9 ] comment=INET-SRV-100 name=eth9
set [ find default-name=ether10 ] comment=INET-LOCAL name=eth10
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.1.10-192.168.1.200
add name=vpn ranges=192.168.1.230-192.168.1.240
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge-local lease-time=10h10m name=dhcp1
/ppp profile
add bridge=bridge-local dns-server=192.168.1.1 local-address=vpn name=vpn remote-address=vpn
/interface bridge port
add bridge=bridge-local interface=eth1
add bridge=bridge-local interface=eth2
add bridge=bridge-local interface=eth3
add bridge=bridge-local interface=eth4
add bridge=bridge-local interface=eth5
/ip neighbor discovery-settings
set discover-interface-list=none
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=Avto-Ng2018 use-ipsec=yes
/interface pptp-server server
set authentication=mschap2
/ip address
add address=XX.XXX.XXX.YY/20 comment=INET-SRV-100 interface=eth9 network=XX.XXX.XXX.0
add address=XX.XXX.XXX.QQ/20 comment=INET-SRV-101 interface=eth8 network=XX.XXX.XXX.0
add address=XX.XXX.XXX.KK/20 comment=INET-LOCAL interface=eth10 network=XX.XXX.XXX.0
add address=192.168.1.1/24 interface=bridge-local network=192.168.1.0
/ip cloud
set update-time=no
/ip dhcp-server lease
add address=192.168.1.100 comment=srv-100 mac-address=**:**:**:**:**:**
add address=192.168.1.101 comment=srv-101 mac-address=**:**:**:**:**:**
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.1,XX.XXX.XXX.XXX
/ip firewall address-list
add address=192.168.1.0/24 list=local
/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input dst-port=53 in-interface=all-ppp protocol=udp
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment=SRV-100 dst-port=**** in-interface=eth9 protocol=tcp
add action=accept chain=input disabled=yes dst-port=**** in-interface=eth9 protocol=tcp
add action=accept chain=input disabled=yes dst-port=**** in-interface=eth9 protocol=udp
add action=accept chain=input disabled=yes dst-port=**** in-interface=eth9 protocol=udp
add action=accept chain=input comment=SRV-101 dst-port=**** in-interface=eth8 protocol=tcp
add action=accept chain=input dst-port=**** in-interface=eth8 protocol=udp
add action=accept chain=input disabled=yes dst-port=**** in-interface=eth8 protocol=tcp
add action=accept chain=input disabled=yes dst-port=**** in-interface=eth8 protocol=udp
/ip firewall mangle
add action=mark-connection chain=input comment=INET-LOCAL dst-address=XX.XXX.XXX.KK in-interface=eth10 new-connection-mark=INET-LOCAL-input passthrough=no
add action=mark-routing chain=output connection-mark=INET-LOCAL-input new-routing-mark=INET-LOCAL passthrough=no
add action=mark-connection chain=input comment=INET-SRV-100 dst-address=XX.XXX.XXX.YY in-interface=eth9 new-connection-mark=INET-SRV-100-input passthrough=no
add action=mark-routing chain=output connection-mark=INET-SRV-100-input new-routing-mark=INET-SRV-100 passthrough=no
add action=mark-connection chain=input comment=INET-SRV-101 dst-address=XX.XXX.XXX.QQ in-interface=eth8 new-connection-mark=INET-SRV-101-input passthrough=no
add action=mark-routing chain=output connection-mark=INET-SRV-101-input new-routing-mark=INET-SRV-101 passthrough=no
add action=mark-routing chain=prerouting comment=LOCAL dst-address-list=local new-routing-mark=local passthrough=no src-address=192.168.1.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment=INET-LOCAL out-interface=eth10
add action=masquerade chain=srcnat comment=INET-SRV-100 out-interface=eth9
add action=masquerade chain=srcnat comment=INET-SRV-101 out-interface=eth8
/ip route
add check-gateway=arp distance=1 gateway=XX.XXX.XXX.GG routing-mark=INET-LOCAL
add distance=1 dst-address=192.168.1.0/24 gateway=eth10 pref-src=192.168.1.1 routing-mark=INET-LOCAL
add check-gateway=arp distance=1 gateway=XX.XXX.XXX.GG routing-mark=INET-SRV-101
add distance=1 dst-address=192.168.1.101/32 gateway=eth8 pref-src=192.168.1.1 routing-mark=INET-SRV-101
add check-gateway=arp distance=1 gateway=XX.XXX.XXX.GG routing-mark=INET-SRV-100
add distance=1 dst-address=192.168.1.100/32 gateway=eth9 pref-src=192.168.1.1 routing-mark=INET-SRV-100
add check-gateway=arp distance=1 gateway=7XX.XXX.XXX.GG
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=eth10 type=external
/lcd
set default-screen=stat-slideshow read-only-mode=yes touch-screen=disabled
/lcd interface
set wlan1 disabled=yes
set sfp1 disabled=yes
set eth1 disabled=yes
set eth2 disabled=yes
set eth3 disabled=yes
set eth4 disabled=yes
set eth5 disabled=yes
set ether6 disabled=yes
set ether7 disabled=yes
/lcd interface pages
set 0 interfaces=wlan1
/ppp secret
add local-address=192.168.1.1 name=***** password=***** profile=vpn remote-address=192.168.1.235 service=l2tp
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Yekaterinburg
/system console
set [ find ] disabled=yes
/system identity
set name=*****
/system routerboard settings
set cpu-frequency=750MHz silent-boot=no
/tool mac-server
set allowed-interface-list=none


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

12black12 писал(а): 21 июл 2018, 17:01 Выложу конфиг, прошу помощи, тк с маршрутами как-то печально у меня по сей час)
Еще проблема в том, что я не на боевом месте, а надо сделать так, чтоб приехал, поставил, провода воткнул и все полетело как надо.
Увы, но это уже другой уровень, тут надо или заказывать полный конфиг с тестированием (естественно платно)
для такой работы, ещё и в ускоренном формате. А так, каждая конфигурация дорабатывается на месте,
всех нюансов, думаю даже родной админ не всегда может предвидеть.
12black12 писал(а): 21 июл 2018, 17:01 Получается, что локальная одна сеть 192,168,1,0.
Провайдер по факту один, но три внешних адреса. Инет статика, шлюз у всех один.
Это вообще всё меняет, или на 85% меняется условия задачи, три провайдера, три разных сети, шлюза и подключения,
или три адреса у одного провайдера с одним шлюзом и маской = очень большая разница....
12black12 писал(а): 21 июл 2018, 17:01 Инет у юзеров в дхцп должен работать через INET-LOCAL, а SRV-100 и SRV-101 соответственно через INET-SRV-100 и INET-SRV-101 при этом в одной локалке.
Маркировку трафика нарисовал, маршруты нарисовал, но очень сомневаюсь, что маршруты правильно сделал.... А может еще чего не так... :sh_ok:
1) сначала давайте разберёмся с провайдерами,(вернее с одним), провод у Вас один получается?
И если Вы его подключаете в 10й порт, как Интернет появиться в 9 и в 8 порту????
Вы можете хоть по 5 адресов задать на 9 и на 8 порты, а толку будет мало.
Коли провайдер один и провод у Вас от провайдера один, Вам надо делать бридж-wan,
в котором Вы объедините 10,9 и 8 порты, так у Вас заработает "физика" между портами 10,9 и 8.

2) Маркировка трафика при таком раскладе не нужна, локальную сеть настраиваете как обычно,
основной адрес (первый) задаёте на bridge-wan и в файрволе прописываете, что НАТ(маскарайдинг)
будет идти от интерфейса bridge-wan. Это для локальной сети всё.



===== Теперь по части серверов (тут два под-варианта): =====

а) первый способ, более правильный чтоли:
на bridge-wan добавляете второй и третий айпи (внешние), в настройках серверов описываете,
что если пришёл сервер2 и хочет выйти в интернет, то он должен выйти с адреса внешнего2, и
с интерфейса bridge-wan. ОПИСЫВАТЬ НАТ надо точно именно так, потому что у Вас интерфейс
и адресация на нём совокупная, поэтому имейте ввиду.
С сервером3 тоже самое, описываете отдельным НАТ правилом, что если сервер3
хочет выйти в Интернет с адреса внешнего3, то надо ему делать НАТ подставляее адрес
внешний3 с интерфейса также bridge-wan.
Также и с пробросами, если они нужны, Вы должны обязательно указывать, что
при входящем пакете на такой то внешний адрес2 идти на сервер2. Правила
должны быть более полными и чёткими, иначе проброс не сработает.

б) второй способ чуть легче, но опаснее:
вы берёте (вроде у Вас были вторые сетевые карты), подключаете скажем в порт 6(это будет сервер2)
и в порт7 микротика (это будет сервер3) эти отдельные сетевые карты, в bridge-wan добавляете
порт 7 и 6, и фактически что получается, у Вас на bridge-wan установлен только первый основной
адрес внешний, а уже прямо на сетевых картах сервера2 и сервера3 (на внешних этих картах)
задаёте внешний адрес2 и внешний адрес3 прямо серверам.
Тут вообще всё прозрачно, микротик обслуживает локальных клиентов с первого адреса,
сервера напрямую работают каждый со своим адресом на сетевой карте.
Минус или опасность в том = что реальные адреса прямо на серверах, если Вы сможете и
знаете что сможете сделать файрвол, защиту серверов сами = тоже данный способ имеет
право на жизнь. ПОВТОРЮСЬ = сервера будут напрямую сидеть в Интернете, роутер
в рамках бриджа bridge-wan будет просто выполнять роль свитча(хаба) для трафика серверов.

P.S.
конфиг не смотрел, так пробежался....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
12black12
Сообщения: 18
Зарегистрирован: 18 сен 2017, 19:02

От провайдера приходит три провода)
Просто они видимо из одного шлюза провайдера с разными адресами.


12black12
Сообщения: 18
Зарегистрирован: 18 сен 2017, 19:02

А сейчас как раз и сделано: на одном сет интерфейсе сервера настроен инет статика, а второй в локалку смотрит и никакого фаерволла нет. Вот и хочется запустить все три инет кабеля в микрот и чтоб он рулил всем


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) провайдер у Вас отжигает. 3-ти порта занять...странно. У нас за это бы деньги провайдер снял с клиента.

2) попробуйте всё же сделать бридж-wan, и на нём задать сначала 1-й адрес, подключить 1й кабель,
и прописать шлюз (который у Вас один), и проверьте с роутера пинг (например 8.8.8.8).
Также, не меняя "физику", то есть не дёргая кабель, вместо 1-ого адреса, задайте другой,
также попробуйте проверить пингом. Задача убедиться, что используя 1 кабель можно
по одному кабелю работать со всеми выданными адресами.

Если так не сработает, уточните у провайдера, может он сможет сделать так, чтобы все
три адреса были доступны через одно физическое подключение?

Если нет, то ещё под-вариант, в бридж-wan добавлять 9 и 8 порты, туда кабеля остальные
подключаете и всё это делать единым интерфейсом (бридж это сделает), но за такое
провайдеры тоже могут поругать (будут 3 мак-адреса у него на порту светиться).

И последний под-вариант: делать 3 внешних бриджа:
а)...bridge-wan1 (порт10 и кабель туда первый) + адрес внешний1 ставим на этот bridge-wan1
б)...bridge-wan2 (порт9 и кабель туда второй) + адрес внешний2 ставим на этот bridge-wan2
в)...bridge-wan3 (порт8 и кабель туда третить) + адрес внешний3 ставим на этот bridge-wan3
Правда я такое извращение не делал, не совсем понимаю как будет отрабатываться шлюз
при таком режиме (в голове не могу пока это прокрутить), но в любом случаи вариаций я Вам дал.


Ну и так как у Вас адресация одна (в рамках одного провайдера), шлюз один, маркировка тут не нужна.
Делаете как я Выше описал, а если Вы хотите чтобы внешняя адресация была ТОЛЬКО на роутере,
значит делаете ближе всё к плану а) (в прошлом моём сообщении)

Ну а всё остальное уже по мере действий и оттачиваете на практике. Те конфигурации что я привёл
пример, они рабочие и по одному разу точно были сделаны.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить