Несколько PPPoE на одном микротик

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
andreyko
Сообщения: 27
Зарегистрирован: 27 май 2017, 12:41

KARaS'b писал(а):1)Допустим у вас есть подсеть 192.168.10.0/24, тогда в мангле создаем правило

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=10net passthrough=no src-address=192.168.10.0/24

2) И у вас есть пппое с именем pppoe1 через которое вы эту подсеть хотите выпустить, тогда идем в маршруты и создаем маршрут

Код: Выделить всё

/ip route
add distance=1 gateway=pppoe1 routing-mark=10net

Все, вся подсеть 10.0/24 будет выходить только через это пппое. Сразу стоит отметить, указывать непосредственно интерфейс как "точку выхода" можно только если это туннель, ели у вас "статика" или dhcp такой номер не пройдет и нужно указывать непосредственно шлюз выданный провайдером.
Останется только написать правило маскарада, что бы не городить забор из 8 правил, идете в интерфейслист и создаете там лист с именем например wan, собираете свои пппое в этот лист и создаете правило

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=wan

Все, ваша подсеть полностью обинтернечена, для остальных повторяете пункты 1 и 2 с изменением меток и созданием маршрута под эту метку с указанием нужного гетвея.

а что это немного не понимаю?
Сразу стоит отметить, указывать непосредственно интерфейс как "точку выхода" можно только если это туннель


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

gateway=pppoe1 Такое возможно только если у вас, например, pppoe от провайдера, как в вашем случае, была бы статика, нельзя было бы указать интерфейс, нужно бы было указывать адрес шлюза


andreyko
Сообщения: 27
Зарегистрирован: 27 май 2017, 12:41

А подскажите пожалуйста как применить определенные правила в fireval к определенным pppoe если их 8 ?
Может как можно листы правил создавать?


kriostar
Сообщения: 52
Зарегистрирован: 26 фев 2013, 16:59

А может быть проще сделать разделение посредством VRF?


kriostar
Сообщения: 52
Зарегистрирован: 26 фев 2013, 16:59

Оживлю тему.
Самому требуется сделать по такой схеме включение двух разных PPPoE от одного провайдера (Ростелеком). У прова установлен управляемый коммутатор со 100 мб портами. У меня микротик rb850. ETH1 будет PPPoE1, ETH2-PPPoE2, ETH3-172.16.10.0/30(локалка), ETH4-172.16.11.0/30(локалка).
Вопрос: Можно сделать разделение посредством NAT не залазя в маркировку?
Вложения
Схема
Схема
nat.jpg (16.32 КБ) 4760 просмотров


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

kriostar писал(а):Вопрос: Можно сделать разделение посредством NAT не залазя в маркировку?

Ну а если подумать? Как работает сеть, передача пакеты и его приём?

1) у Вас два канала;
2) Хотите их оба использовать для глобала;
3) Шлюз по-умолчанию (обычный) может быть один ==> что ответы будут приходить
только на тот/в тот канал, для которого шлюз прописан. Второй канал (рррое) будет сидеть/висеть, но толку мало.

Маркировка для чего сделана!? Чтобы можно было создать альтернативные/дополнительные
таблица маршрутизации, в каждой которой уже можно также делать шлюз по-умолчанию.
Поэтому НАТом тут не обойтись, это обычное межсетевое взаимодействие. НАТ это уже чуть другое.

Максимум что можно сделать без маркировки, один канал в глобал, второй для местных запросов
в Ростелекоме (сети, качалка и так далее), явно описав сети Ростелекома в таблице маршрутизации
через тот канал, который будет не для глобала.
(для начинающих/ленивых админов примерно такая задача обычно им нравиться и устраивает).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
kriostar
Сообщения: 52
Зарегистрирован: 26 фев 2013, 16:59

Попробовал сделать данный фокус через нат, работает только одна из сетей. В общем маркировка необходима.


kriostar
Сообщения: 52
Зарегистрирован: 26 фев 2013, 16:59

Настроил экспериментально, работает. Но не пойму почему микротик не является DNS-ом? Приходится сватать DNS-сервера на компы.
Вот конфиг:

Код: Выделить всё

/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether3 ] arp=reply-only
set [ find default-name=ether5 ] arp=reply-only
/interface pppoe-client
add disabled=no interface=ether1 name=pppoe-out1 password=xxxxx user=xxxxx
add disabled=no interface=ether1 name=pppoe-out2 password=xxxxx user=xxxxx
/interface list
add name=WAN
/ip pool
add name=dhcp_pool1 ranges=172.16.11.2-172.16.11.6
add name=dhcp_pool2 ranges=172.16.12.3-172.16.12.14
add name=dhcp_pool3 ranges=172.16.17.2-172.16.17.14
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
add add-arp=yes address-pool=dhcp_pool2 disabled=no interface=ether3 name=dhcp2
add add-arp=yes address-pool=dhcp_pool3 disabled=no interface=ether4 name=dhcp3
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether5
/interface list member
add interface=pppoe-out1 list=WAN
add interface=pppoe-out2 list=WAN
/ip address
add address=172.16.11.1/29 interface=bridge1 network=172.16.11.0
add address=172.16.17.1/28 disabled=yes interface=ether4 network=172.16.17.0
add address=172.16.12.1/28 interface=ether3 network=172.16.12.0
/ip arp
add address=172.16.12.2 interface=ether3 mac-address=4C:17:EB:07:66:B9
/ip dhcp-server lease
add address=172.16.12.14 always-broadcast=yes mac-address=88:70:8C:E1:B7:E9 server=dhcp2
/ip dhcp-server network
add address=172.16.11.0/28 dns-server=77.88.8.8,77.88.8.1 gateway=172.16.11.1
add address=172.16.12.0/28 dns-server=77.88.8.8,77.88.8.1 gateway=172.16.12.1
add address=172.16.17.0/28 dns-server=172.16.17.1 gateway=172.16.17.1
/ip firewall address-list
add address=5.61.23.11 comment=ok.ru list=drop@ok.ru
add address=217.20.155.13 comment=ok.ru list=drop@ok.ru
add address=217.20.156.167 comment=ok.ru list=drop@ok.ru
add address=217.20.147.1 comment=ok.ru list=drop@ok.ru
add address=217.20.156.131 comment=ok.ru list=drop@ok.ru
add address=217.20.155.16 comment=ok.ru list=drop@ok.ru
add address=217.20.152.234 comment=ok.ru list=drop@ok.ru
add address=193.0.170.24 comment=mamba.ru list=drop@mamba.ru
add address=193.0.170.23 comment=mamba.ru list=drop@mamba.ru
add address=193.0.170.25 comment=mamba.ru list=drop@mamba.ru
add address=193.0.170.26 comment=mamba.ru list=drop@mamba.ru
/ip firewall filter
add action=drop chain=forward comment=drop@mamba.ru dst-address-list=drop@mamba.ru src-address=172.16.11.0/29
add action=drop chain=forward comment=drop@ok.ru disabled=yes dst-address-list=drop@ok.ru src-address=172.16.12.0/28
add action=drop chain=forward comment=drop@mamba.ru dst-address-list=drop@mamba.ru src-address=172.16.12.14
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=1611 passthrough=no src-address=172.16.11.0/29
add action=mark-routing chain=prerouting new-routing-mark=1612 passthrough=no src-address=172.16.12.0/28
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes src-address=172.16.11.0/29
add action=masquerade chain=srcnat disabled=yes src-address=172.16.12.0/28
add action=masquerade chain=srcnat disabled=yes src-address=172.16.17.0/28
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route
add distance=1 gateway=pppoe-out1 routing-mark=1611
add distance=1 gateway=pppoe-out2 routing-mark=1612




Может кто поможет?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

kriostar писал(а):Настроил экспериментально, работает. Но не пойму почему микротик не является DNS-ом? Приходится сватать DNS-сервера на компы.
Вот конфиг:

Код: Выделить всё

/ip route
add distance=1 gateway=pppoe-out1 routing-mark=1611
add distance=1 gateway=pppoe-out2 routing-mark=1612

Может кто поможет?

Такое ощущение что моё предыдущее сообщение вообще не читали.
Я специально оставил только ту часть кода, в которой Вы кое что пропустили.
Не догадались?

Микротику Вы не задали шлюз по-умолчанию без маркировки, то есть банально
микротик как сетевое устройство не знает куда от себя лично посылать запросы,
поэтому и пинг обычный (без указания таблицы иной) и ДНСы - с самого микротика
работать не будут, шлюз укажите, то есть какой то провайдер у Вас для микротика
будет дефолтным.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
kriostar
Сообщения: 52
Зарегистрирован: 26 фев 2013, 16:59

Да действительно прохлопал ушами:

Код: Выделить всё

/ip route
add distance=1 gateway=pppoe-out1 routing-mark=1611
add distance=1 gateway=pppoe-out2 routing-mark=1612
add distance=1 gateway=pppoe-out1,pppoe-out2

Добавил и все работает как часы.
Спасибо!


Ответить