Доступ был и пропал

Обсуждение ПО и его настройки
Ответить
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

Всем привет. Ситуация странная, есть микротик, много чем рулит. Нет ничего необычного.
перед ним стоит ADSL-модем в режиме бриджа с адресом 192.168.0.88.1, dhcp отключено, отключено почти все.
модем соединяется с микротиком тремя патчкордами.
1) pppoe1
2) pppoe2
3) порт микротика выведен из общего бриджа, и прописана статика 192.168.88.11 - которая создает дефолтный динамический маршрут в подсетку ...88.0/24.
Собственно иначе невозможно поднять два разных pppoe и иметь доступ к самому модему.
И ребята все работало до недавнего времени, с любого компа нулевой сети заходишь в браузере на 88.1 и все норм.
И что-то пошло не так и доступ пропал (и пинги тоже). Теперь чтобы зайти в модем приходится этот порт добавлять в общий бридж микротика (сеть 192.168.0.0/24) и прописывать на компе адресацию модема, например 192.168.88.89 и тогда можно зайти.
Отключение всех правил фаервола - не помогло, по прежнему нет доступа.
Подскажите что могло произойти и как исправить


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) вообще не понял схему
2) Вы написали, что тремя патчкордами подключен микротик, ладно, у микротика
обычно 4-5 портов, а что у ADSL роутера тоже 3 (минимум) порта?

Нарисуйте схему, или хотя бы нормально составьте описание.
Про два рррое - к одному провайдеру ? И зачем два их ?
У компов шлюз какой? (IP-шлюз какой прописан ??)
Провайдер не поменял логику подключения?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

1) микротик Cloud Switch 24 порта
2) модем с 4 LAN портами

модем в бридже, т.е. любой из 4 портов работает как мост, и можно поднять 4 pppoe. у меня два, третий порт просто связывает микротик и модем в одну подсеть.
сетка модема 192.168.88.0/24. сетка основная микротика (компов и т.д) 192.168.0.0/24. Микротик одним портом, выделенным из бриджа соединен с модемом, для управления. вопрос в том как с компа основной локальной сети 192.168.0.0/24 зайти на адрес модема 192.168.88.1. зачем два pppoe одного провайдера - вопрос неуместный, потому что так сделано и так работает.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Skylear писал(а): 28 янв 2019, 08:48 1) микротик Cloud Switch 24 порта
2) модем с 4 LAN портами
модем в бридже, т.е. любой из 4 портов работает как мост, и можно поднять 4 pppoe.
Обычно рррое можно и 3 и 4 штуки поднять на одном интерфейсе и втыкать 2-3 провода для
каждого рррое - как-то уж совсем по-бытовому. И тем более занимать столько портов и в модеме,
и тем более в роутере.
Skylear писал(а): 28 янв 2019, 08:48 сетка модема 192.168.88.0/24. сетка основная микротика (компов и т.д) 192.168.0.0/24. Микротик одним портом, выделенным из бриджа соединен с модемом, для управления. вопрос в том как с компа основной локальной сети 192.168.0.0/24 зайти на адрес модема 192.168.88.1.
Такое решение давалось тут и не раз. Тем более особенно в Вашем варианте, когда нет возможности
настроек в модеме, оно идеально вписывается. Объясню своими словами и по-русски.

Чтобы зайти на модем, надо сделать так, чтобы он думал, что это микротик лезет со своего адреса,
у модема 88.1, у микротика пусть будет 88.2, значит чтобы попасть в веб-админку модема с компов,
надо создать правило НАТ (оно будет узко-направленное), а значит оно (правило) должно быть выше
(первее) чем другие правила НАТ (если такие есть). А звучит правило НАТ так:
если пришёл запрос с сети 192.168.0.0/24 и в адресе назначения есть 192.168.88.1/32, то
сделать SRC-NAT от адреса 192.168.88.2.
Вот и всё. (Скрины для примера)


Изображение

Изображение

Skylear писал(а): 28 янв 2019, 08:48 зачем два pppoe одного провайдера - вопрос неуместный, потому что так сделано и так работает.
Вопрос уместный, потому что была одна тема, и когда человек начал рассказывать,
что РРРоЕ-сервер провайдера он видит у себя в локальной сети (на что я сказал так не должно быть)
и после 2х страниц общения поняли что конфигурация у него неправильная, порты WAN и LAN
были объединены и всё в таком роде. Поэтому конфигурация и логика подключения всегда нужна.

И даже если у Вас два рррое = могу погадать, но скорее всего они работают по-очередно, или ещё
как-то, ибо чтобы запустить одновременную работы два рррое - это уже не начальная практика.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

два pppoe работают в балансе одновременно. один - это 2 мбит и реалайпи, второй 10 мбит и серый айпи. канал линии 10 мбит. необходим был баланс двух WAN. пробросы, видео, астериск и т.д. но нужен еще и ютуб и все такое.
короче правило проброса NAT не сработало. решил проблему так. сделал маскарадинг на интерфейсе LAN23-BRIDGEADSL (это тот самый порт 192.168.88.11, который присоединен к модему), а также было создано правило в мангле, маркирующий роутинг идущий на сетку 88.0/24, и опущено ниже правил, которые маркируют роутинг основной сети 0.0/24 (для баланса, отправки пакетов туда откуда пришли).
выявил, просто - создал правило маскарадинга без интерфейсов и адресов выше всех - все заработало... вот потом начал искать. причем правило в мангле, маркирующее роутинг на сетку модема в самих МАРШРУТАХ не фигурирует, но если его выключить - коннекта нет. п.с. правила мангл, балансирующие LAN, прописаны в маршрутах... в общем микротик со сложной конфой, но проблему решил

ну и еще прописаны в мангле маркировки для отдельных хостов (сервер, астр) и для них также прописаны маршруты, чтобы они ходили через конкретный WAN, а не случайный


Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

в общем проверил ваше правило, работает только в том случае, если включено правило маркировки роутинга, как писал выше. т.е. маскарадинг можно отключить и работает с этим правилом. спасибо. подскажите как оставить будет более правильно
1) НАТ проброс
2) маскарадинг


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Ну вот, как и оказалось и как я предполагал, если есть 2 рррое, или всё очень просто или всё сложно.
Не совсем понял зачем некоторые манипуляции и так далее...но в любом случаи, если Вы работаете
уже с манглами, то такую задачу должны были решить сами, это основа сетей.
Skylear писал(а): 28 янв 2019, 18:37 в общем проверил ваше правило, работает только в том случае, если включено правило маркировки роутинга, как писал выше. т.е. маскарадинг можно отключить и работает с этим правилом. спасибо. подскажите как оставить будет более правильно
1) НАТ проброс
2) маскарадинг
Сложно посоветовать, для меня это разные вещи, НАТ-проброс это DST, а Маскарайдинг - тот же SRC, поэтому
советовать сложно с учётом Ваших там настроек и маркировок, в любом случаи это работает, и
в моём первом сообщении и в практики (я много раз использовал подмену исходящего адреса)
и это работает хорошо с подменой, значит всё же ближе тут SRC-NAT (не маскарайдинг, и не проброс уж точно).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить