Вопрос по маршрутизации с Микротика

[buzb]

Здравствуйте.
Есть тик. допустим его ип 1.1.1.254
Есть сервак скажем 1.1.1.1
И есть машина клон, допустим 1.1.1.2
Сейчас все работают по рдп на 1.1.1.1
Посоветуйте как нибудь смаршрутизоровать рдп трафик через 1.1.1.254
Чтобы человек не подключался на прямую к серву а через тик.
И например чтобы если 1.1.1.1 недоступен, тик коннектил на 1.1.1.2.
Или меня ип у 1.1.1.2 на 1.1.1.1.
Буду вам очень признателен.
Сильно прошу не пинать, ибо только учусь общаться с тиком на ты....

[Kirillius]

Вы не указали каким образом "человек" подключается к серверам. Если все они в одной подсети, то никак, нужно выносить юзера в другую подсеть. В любом случае микротик должен как-то фигурировать в маршрутизации.
Допустим, если у вас nat, то можно сделать 2 правила dst-nat на 1.1.1.1 и 1.1.1.2 соответственно. А с помощью netwatch следить за доступностью 1.1.1.1 и при недоступности отключать первый dst-nat :)
Всё-таки нужно больше информации об организации связи, нарисуйте схему.

[SergeyZ]

add action=dst-nat chain=dstnat in-interface=bridge1 dst-address-type=local dst-port=3389 protocol=tcp to-addresses=1.1.1.1
add action=masquerade chain=srcnat dst-address=1.1.1.1 dst-port=3389 out-interface=bridge1 protocol=tcp src-address=1.1.1.0/24
add action=masquerade chain=srcnat dst-address=1.1.1.2 dst-port=3389 out-interface=bridge1 protocol=tcp src-address=1.1.1.0/24

Пингуете скриптом оба сервака и при недоступности первого меняете в первом правиле адрес 1.1.1.1 на 1.1.1.2 (либо удаляете это правило и создаете такое же, но с другим ip - тут уж как вам будет удобнее)

bridge1 - это локальный бридж, которому присвоен локальный ip-адрес, на который вы будете стучаться

При этих правилах вы, вводя в адрес сервера RDP строчку <bridge1_ip>:3389, где <bridge1_ip> - ip-адрес бриджа, будете подключаться по активному правилу либо к 1.1.1.1:3389, либо к 1.1.1.2:3389

[buzb]

add action=dst-nat chain=dstnat in-interface=bridge1 dst-address-type=local dst-port=3389 protocol=tcp to-addresses=1.1.1.1
add action=masquerade chain=srcnat dst-address=1.1.1.1 dst-port=3389 out-interface=bridge1 protocol=tcp src-address=1.1.1.0/24
add action=masquerade chain=srcnat dst-address=1.1.1.2 dst-port=3389 out-interface=bridge1 protocol=tcp src-address=1.1.1.0/24

Пингуете скриптом оба сервака и при недоступности первого меняете в первом правиле адрес 1.1.1.1 на 1.1.1.2 (либо удаляете это правило и создаете такое же, но с другим ip - тут уж как вам будет удобнее)

bridge1 - это локальный бридж, которому присвоен локальный ip-адрес, на который вы будете стучаться

При этих правилах вы, вводя в адрес сервера RDP строчку <bridge1_ip>:3389, где <bridge1_ip> - ip-адрес бриджа, будете подключаться по активному правилу либо к 1.1.1.1:3389, либо к 1.1.1.2:3389

Спасибо Вам за быстрый ответ.
Я правильно понял что используя ваши правила, можно будет работать по РДП не 1.1.1.1:3389, а 1.1.1.254:3389(тик) и тик сам переадресует на 1.1.1.1.
Так?

[SergeyZ]

Да, именно так)

[buzb]

Да, именно так)

Спасибо огромное. Действительно всё просто и работает.
А не подскажешь как сделать что бы компы которые воткнуты не 254 тик а в 253 понимали такой коннект.
Просто пробывал законектиться с линя и он меня лесом послал. Хотя понимаю что звучит бредово и должно работать автоматом наверное((

[SergeyZ]

Ну, если это одна подсеть, то также стучаться на 254 тик) ну или то же самое настроить на 253 и стучаться на 253)

[buzb]

Ну в лине я подключаюсь через freerdp и строка подключения у меня вида:

Код: Выделить всё

#!/bin/sh
xfreerdp -a 16 -f -z --no-osb 1.1.1.1

Компы подключаются. если меняю на 254(тик). Причём реально пофигу вин или линь.
А вот компы которые 253 тике отказываются подключаться через 254...

Код: Выделить всё

#!/bin/sh
xfreerdp -a 16 -f -z --no-osb 1.1.1.254

Подсеть одна...

Советуешь сделать так же и для 253?!
add action=dst-nat chain=dstnat in-interface=bridge1 dst-address-type=local dst-port=3389 protocol=tcp to-addresses=1.1.1.1
add action=masquerade chain=srcnat dst-address=1.1.1.1 dst-port=3389 out-interface=bridge1 protocol=tcp src-address=1.1.1.0/24
И получится все из 253 будут лазить через него...
А случайно не знаешь, на тике можно лже адрес намутить?!
Например чтобы юзверь пришет в окне подлючения 99.99.999.99 и конектится куда надо по рдп....

[SergeyZ]

Ну вообще, смотря как этот 253 микротик подключен к 254..)) Если это все одна подсеть, то все должно работать и через 254 тик

По поводу лже-адреса.. Что мешает создать виртуальный интерфейс, назначить ему адрес и работать с ним?)

[buzb]

Ну вообще, смотря как этот 253 микротик подключен к 254..)) Если это все одна подсеть, то все должно работать и через 254 тик

По поводу лже-адреса.. Что мешает создать виртуальный интерфейс, назначить ему адрес и работать с ним?)

Разобрался вроде из-за чего не хотели подключаться железки с 253... Не нравится бондинг почему то, между 254 и 253...
курю вики тика на тему скриптинга и никак не могу докурится как сделать скриптом переключение правил с 1.1.1.1 на 1.1.1.2(((
Может отпинаете в данном направлении? Или поделитесь наработкой?