Mangle(ы) и маршруты.

Обсуждение ПО и его настройки
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Vlad-2 писал(а): 10 янв 2019, 23:12
Примерно же в этом русле я ни раз повторял, что сеть (IP-адресация) закреплённая за VPN у меня
уже привязана к тому каналу провайдера, куда надо её отправлять.

То есть я работаю больше с IP-маршрутизацией, Вам нравиться пока работать
с интерфейсами (такое ощущение у меня складывается).
Вот сколько адреса VPN-тоннеля не запихивал в один из Ваших соответствующих WAN-каналу адрес-лист (типа to_ISP1, например), всё равно всё работало как хотело, но только не через нужный маршрут с нужного канала ...

Получилось (и то вероятно не правильно), когда я сам VPN-интерфейс запихнул в интерфейс лист одного из каналов WAN. Но это то не правильно, судя по Вашим комментариям. Вы не однократно писали, что если выход в глобал через интерфейс не нужен - то нечего его маркировать.

Ну ладно, востановлю роутер, там посмотрите где я накосячил ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Ещё вопрос:

Если локальный адрес некоего устройства пусть будет 192.168.88.17 принадлежит сети роутера R1, который стоит "выше" того, на котором настроены Ваши манглы (R2)... При этом R1 воткнут в eth1-порт R2 (то есть для R2 R1 является WAN1-каналом). Eth1-порт R2 получает от R1 статический адрес 192.168.88.13.
Пинг с R2 до 192.168.88.17 есть. Но, например, команда fetch с R2 не может обращаться к 192.168.88.17 - почему ?

Может это быть из-за того, что я поставил в /rooles маршруту со соответствующей маркой "смотреть только в свою таблицу" ?

или на вышеуказанных условиях чтобы с R2 можно было достучаться до устройства в сети с R1 192.168.88.17 и получить от него ответ нужно обязательно прописать в адрес листе для ISP1 адрес 192.168.88.17 ? т.к. адреса сети 192.168.88.0/24 лежат на пути WAN1, то и ходить к ним можно только через WAN1 ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Мало пока что понял, после работы тяжко.

Пока кратко:
Всё что не описано в адрес-листе LocalNet = условно считается как внешнее, и уже
будет пытаться отрабатывать из ходя из этого.
Поэтому все, все локальные/DMZ сети должны быть описаны в LocalNet



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

локальные/DMZ сети - уточните, всё же имеется ввиду локальные сети этого роутера и расположенные "ниже" его или "выше" тоже ?
В моем вопросе - меня интересует нормальное общение с локальной сетью вышестоящего роутера (R1), являющегося одним из WAN-каналов для роутера с Вашими манглами (R2). Эту локальную сеть нужно заносить в LocalNet R2?
Я думал, что в LocalNet заносятся только сети роутера с Манглами R2 ну и может ниже его лежащих роутеров - если и это нужно для чего-то ...

Если Вы пишите, что "Всё что не описано в адрес-листе LocalNet = условно считается как внешнее, и уже
будет пытаться отрабатывать из ходя из этого" - то получается, что это должно промаркироваться на входе и уйти на этот же вход при выходе - так какого-же у меня нет нормального доступа к устройству с такого входа/выхода ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

как всё сложно то....

в LocalNet я описываю все "ЛОКАЛЬНЫЕ, промежуточно-локальные сети", которые так или иначе на роутере тусуются,
чтобы роутер знал что это локальная/ДМЗ сеть. Ещё раз = сеть Ваша, там сеть камер, сеть касс, сеть вифи-сегмента,
значит она локальная.
Хотите делать по серой сети взаимодействие в глобал = то делайте, то такую сеть описывать не надо. Она
будет сетью провайдерской, и для нас локальной и хорошей не является.

Поэтому у Вас видимо и глюки, одна сеть должна быть локальная, другая (отдельная) условно внешняя.
Одновременно туда и сюда = в плане логике не получится.

(я же просил, не усложняйте....)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Думаю, мы пока друг друга не понимаем.

У моего R2 есть только одна СВОЯ локальная сеть - 192.168.89.0/24.

НО ! WAN-интерфейс этого роутера Eth1 получает адрес от R1 - 192.168.88.13 от локальной сети R1 192.168.88.0/24 (сам R1 192.168.88.1).
Проблем между общением R1 и R2 я не замечаю ...

Меня интересует доступ к устройству скажем 192.168.88.17 с роутера R2 - пинг с самого роутера через /tool ping есть, а /fetch обратиться не может - куда-то всё проваливается ....

Еще раз на конкретике - нужно сеть 192.168.88.0/24 заносить в LocalNET или нет - повторяю это сеть не R2, а R1 ? и почему ее туда нужно заносить ? Если нужно - то не логично как-то выходит ... LocalNet и должны быть LAN этого роутера, а мы LAN сеть WAN-канала заносим в LocalNET ...

Я уже запутался - мозг начинает вскипать ... Поясните, если можно, просто, в чем различие отработки маркировок занесенных в LocalNet и не занесенных туда сетей ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 15 янв 2019, 14:53 Я уже запутался - мозг начинает вскипать ... Поясните, если можно, просто, в чем различие отработки маркировок занесенных в LocalNet и не занесенных туда сетей ?
Ну здрасти!
Посмотрите в правилах мангл (которые по адрес-листу туда или сюда направлют айпи)...посмотрите как это сделано.
Так же сразу несколько условий и действие...

Код: Выделить всё

add action=mark-routing chain=prerouting comment="GO-to-ISP1 (via AddrList)" connection-mark=no-mark dst-address-list=!LocalNet new-routing-mark=ISP1_rout passthrough=no src-address-list=to_ISP1
Взять трафик, без маркировки(1), проверяем что если (IP который хотим завернуть находиться в to_ISPx) в этом списке,
и адрес назначения (не LocalNet), то сделать то и то с трафиком(пакетом).
Ну сколько мне разбирать.....правила....

Кириллов (сертифицированный тренер) у него на сайте также есть статья по 2Dual WAN , и там тоже что-то вроде LocalNet список используется,
и примерно такая же логика, мы должны же роутеру показывать что локальное(а локальное проще описать), и от этого уже и отталкиваться.

На сегодня пока всё...спать...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Отдыхайте, спасибо ....
Что в правилах делается я понимаю, только роутер сейчас не доступен и правила "не перед глазами"...

Вот именно, что кто не в локал-списке - того туда завернуть ... А кто в локал-списке того куда ?
Если я сеть 192.168.88.0/24 я НЕ заносил в локал-список - так значит по умолчанию всё правильно и коннект для этих адресов должно заворачивать на wan1 (раз с него приходит) так какого-же не работает связь то с 192.168.88.17 - в данном случае ?
Всё равно не понятно ничего ....

А ... Так ВСЁ-таки исходящий адрес нужно заносить в адрес-лист to_ISP1 обязательно, а то это условие не выполниться ! Вот в чем штука вероятно ...

Да нет, бред - ведь у нас речь идет о том что не работает /fetch с самого роутера (то есть исходящий адрес - это адрес роутера) ! А причем тут prerouting ? Это же должна быть цепочка output ...

Спокойной ночи ...

У меня получается проблема с соединением, которое исходит от самого роутера и адрес назначения не локальная его сеть и вернуться ответ должен на сам роутер. Вот это не работает ... Вероятно output для этого коннекта уходит не туда ...
Может это всё же из-за /rules ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Пока я не восстановил доступ - просьба к Вам.
Просто хочу прояснить картину для того, чтобы Вы понимали, что я хочу сделать и может пока подумали, если будет время что я делаю не правильно и как лучше такую схему реализовать.

Есть два роутера R1 (Микротик) и R3 (условно не Микротик), каждый из которых нормально работают, имеют свои локальные подсети и имеют каждый по одному каналу в Интернет. Оба эти роутера пачкордами соединены с роутером R2 и являются для него WAN-каналами в Интернет (вот именно на R2 я настроил Ваши манглы).
На R2 eth1 cоединен проводом с R1 и получает от него статический адрес на этом интерфейсе. Точно также eth5 R2 соединен с R3 и получает от него статический адрес на интерфейс eth5. Маршруты из локальной сети R1 и R3 в локальную сеть R2 на роутерах прописаны.

Пусть считаем, что каналы не равнозначны и трафика в Интернет для R2 через eth5 доступно больше чем через eth1.

R2 является также VPN-клиентом некоего роутера в другом городе - назовем его R0 и успешно с ним соединяется.

Мне нужна некая "балансировка" и резервирование на R2. То есть нужно, чтобы при пропадании eth1 или eth5 роутер R2 и его клиенты ходили в Интернет через оставшийся канал. Чтобы при наличии eth1 всегда была нормальная связь между локальными сетями R1 и R2, при наличии eth5 соответственно между сетями R1 и R3.
Чтобы можно было клиентов локальной сети R2 "заворачивать" на нужный канал при доступности обоих каналов.
И - с чем я к Вам пристаю, в частности, чтобы VPN R2 можно было пускать только конкретно через eth1 или eth5 когда я так хочу.

Ну простая схема то в общем - два роутера, каждый из них шлюз в интернет, соединяются с третьим - типа "вилки" что-то. Вот и всё. Но эти все роутеры мои и нужно чтобы и локальные сети в них нормально видели друг друга, не смотря на то, что по eth1 и eth5 будет ходить и локальный и глобальный трафик ...

Можно ведь так ?
Ваши манглы это обеспечат или нужно дополнительно что-то манглить и что-то там не учитывается для моей схемы ?
Позже пришлю схему и настройки сетей в скринах и конфигах.
Просто не понимаю, где у меня косяки ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Стоп-стоп-стоп.

1) схема?, я не хочу всё это в голове собирать.
2) уже 2-3 роутера появилось....мы общались в рамках одного....
3) я давал сущность так: у меня дома роутер, который держит 2-3-4 провайдера, и его сущность настройки, маршрутизации и т.д.
а Вы уже всё это усложнили и хотите чтобы я это всё понял и объяснил/решил в рамках с целой инфраструктурой.
4) Повторюсь: когда я соединял роутеры между собой (по GRE-туннелю) то сам GRE-интерфейсы и были как шлюзы,
задаёшь туда=сюда сети статично и маршрутизация ехала в оба направления.
4.1) если я хотел уже удалённую ту сеть выпустить в Интернет через меня, то на том удалённом роутере я делал маркировки,
GRE-туннель объявлял как второй WAN канал, на GRE вещал маленькую IP-сеть, её описывал, НАТил трафик,
пакеты доходили до моего роутера, и в глобал (в Интернет) (как-то обобщённо).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить