Настройка двух LAN сетей на провайдера с двумя IP

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

25 янв 2023, 05:43

Доброго времени суток!

Прошу помощи в настройке. Задача собственно из одного роутера сделать два.
Имеем провайдера со статикой, два внешних IP адреса, один адрес
должен работать для одной LAN сети, другой для другой. Шлюз у провайдера общий.

Настроил вот так:
 
Условия:
На MikroTik приходит два канала от одного провайдера, с разными статическими IP.
Шлюз у обоих ip-адресов одинаковый (88.66.89.1)

Необходимо разделить две локальные подсети таким образом, что бы
одна (20.20.0.0/24) ходила наружу по WAN1 (88.66.89.240)
а другая (10.10.0.0/23) по WAN2 (88.66.89.241).

WAN1 (88.66.89.240)
WAN2 (88.66.89.241)

1.Назначена адресация интерфейсов:

/ip address
add address=88.66.89.240/24 network=88.66.89.0 interface=WAN1
add address=88.66.89.241/24 network=88.66.89.0 interface=WAN2
add address=20.20.0.1/24 network=20.20.0.0 interface=LAN1
add address=10.10.0.1/23 network=10.10.0.0 interface=LAN2

2.Создаем адрес листы, по которым раскидываем подсети, согласно которым будут распределяться внешние каналы:

/ip firewall address-list
add address=20.20.0.0/24 list=LAN1_ADR_LIST
add address=10.10.0.0/23 list=LAN2_ADR_LIST

3.Маркируем каналы, указав каждому из них адрес лист:

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=WAN1_240 src-address-list=LAN1_ADR_LIST
add action=mark-routing chain=prerouting new-routing-mark=WAN2_241 src-address-list=LAN2_ADR_LIST

4.Настраиваем правила NAT выхода в интернет:

/ip firewall nat
add action=src-nat chain=srcnat out-interface=WAN1 src-address=20.20.0.0/24 to-addresses=88.66.89.240
add action=src-nat chain=srcnat out-interface=WAN2 src-address=10.10.0.0/23 to-addresses=88.66.89.241

/ip firewall nat
add action= masquerade chain=srcnat out-interface=WAN1
add action= masquerade chain=srcnat out-interface=WAN2

5.Прописываем статически маршруты, обратите внимание, так как оба внешних ip-адреса провайдера используют один и тот же шлюз, мы добавляем через % имя интерфейса, с которого они выходят:

/ip route
add check-gateway=ping distance=1 gateway=88.66.89.1%WAN1 pref-src=88.66.89.240 routing-mark=WAN1_240
add check-gateway=ping distance=1 gateway=88.66.89.1%WAN2 pref-src=88.66.89.241 routing-mark=WAN2_241
add check-gateway=ping distance=1 gateway=88.66.89.1

6.Добавляем правила:

/ip route rule
add dst-address=20.20.0.0/24 action=lookup table=main
add dst-address=10.10.0.0/23 action=lookup table=main
add dst-address=88.66.89.0/24 action=lookup table=main

7.Настраиваем forwarding:

/ip firewall filter
add action=accept chain=forward src-address=20.20.0.0/24
add action=accept chain=forward dst-address=20.20.0.0/24
add action=accept chain=forward src-address=10.10.0.0/23
add action=accept chain=forward dst-address=10.10.0.0/23
С такой конфигураций оно вроде и работает, но как-то не стабильно что-ли, как-то не правильно.
Так-же не получилось с первого раза прописать доступ из WAN1 для серверов сети LAN1,
и так-же прописать доступ из WAN2 для серверов сети LAN2.

Да и что-то сложно как-то все, нельзя ли как-то проще сделать подобную конфигурацию?


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
xvo
Сообщения: 3608
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

25 янв 2023, 08:30

1) Если бы и правда нужно было «из одного роутера сделать два», то все можно было бы реализовать проще - добавив вторую vfr (и просто по паре интерфейсов в каждой).
Но так как вы предполагаете доступы между этими vfr, то все-таки проще, как сейчас - когда роутер один.
2) Для доступа через чужой WAN надо перестраивать mangle - чтобы он сначала помечал соединения (и не только исходящие, но и входящие) - и уже на основе этих меток помечал роутинг.
Собственно, это в любом случае более правильный подход, даже просто с точки зрения нагрузки на железо.
Плюс должны быть убраны лишние условия из src-nat’ов - оставить только условия на исходящий интерфейс.


Telegram: @thexvo

Дома: [CCR1009-7G-1C-1S+] [CRS112-8P-4S-IN] [wAP ac] [RB260GS]
Не дома: [RB4011iGS+] [CRS326-24G-2S+RM] [wAP 60ad] [cAP ac]...
...[hEX] [hAP ac²] [hAP ac lite] [hAP mini] [RB260GS]
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

25 янв 2023, 10:11

xvo писал(а):
25 янв 2023, 08:30
1) Если бы и правда нужно было «из одного роутера сделать два», то все можно было бы реализовать проще - добавив вторую vfr (и просто по паре интерфейсов в каждой).
Ну собственно это и нужно сделать, чтоб один роутер заменял два.
Ходить между сетями LAN1 и LAN2 не нужно.
Не подскажите как реализовать?

Может так?
 
/ip address
add address=88.66.89.240/24 interface=WAN1
add address=88.66.89.241/24 interface=WAN2
add address=20.20.0.1/24 interface=LAN1
add address=10.10.0.1/23 interface=LAN2

/ip route
add gateway=88.66.89.1

# add VRF configuration
/ip vrf
add name=VRF_LAN1 interface=LAN1 place-before 0
add name=VRF_LAN2 interface=LAN2 place-before 0

# add vrf routes
/ip route
add gateway=88.66.89.1@main routing-table=VRF_LAN1
add gateway=88.66.89.1@main routing-table=VRF_LAN2

# masquerade local source
/ip firewall nat add chain=srcnat out-interface=WAN1 action=masquerade

# mark new customer connections
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new new-connection-mark=VRF_LAN1_CONN src-address=20.20.0.1/24 passthrough=no

add action=mark-connection chain=prerouting connection-state=new new-connection-mark=VRF_LAN2_CONN src-address=10.10.0.1/23 passthrough=no


# mark routing
/ip firewall mangle
add action=mark-routing chain=prerouting connection-mark=VRF_LAN1_CONN
in-interface=WAN1 new-routing-mark=VRF_LAN1

add action=mark-routing chain=prerouting connection-mark=VRF_LAN2_CONN
in-interface=WAN2 new-routing-mark=VRF_LAN2
xvo писал(а):
25 янв 2023, 08:30
Плюс должны быть убраны лишние условия из src-nat’ов - оставить только условия на исходящий интерфейс.
А какие там лишние условия?


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
xvo
Сообщения: 3608
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

25 янв 2023, 10:45

Andrey_Ak писал(а):
25 янв 2023, 10:11

Ну собственно это и нужно сделать, чтоб один роутер заменял два.
Ходить между сетями LAN1 и LAN2 не нужно.
Не подскажите как реализовать?

Может так?
Да по идее не нужно тогда вообще никаких mangle: в одну vrf - WAN1 и LAN1, во вторую - WAN2 и LAN2.
Ну и придумать что-то в основной таблице для самого роутера: либо один из дефолтных маршрутов продублировать, либо оба с разными метриками.
Andrey_Ak писал(а):
25 янв 2023, 10:11
А какие там лишние условия?
На адрес источника.
Достаточно исходящего интерфейса.
Из какого пакет исходит, в тот адрес и натить.


Telegram: @thexvo

Дома: [CCR1009-7G-1C-1S+] [CRS112-8P-4S-IN] [wAP ac] [RB260GS]
Не дома: [RB4011iGS+] [CRS326-24G-2S+RM] [wAP 60ad] [cAP ac]...
...[hEX] [hAP ac²] [hAP ac lite] [hAP mini] [RB260GS]
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

25 янв 2023, 12:33

xvo писал(а):
25 янв 2023, 10:45
Да по идее не нужно тогда вообще никаких mangle: в одну vrf - WAN1 и LAN1, во вторую - WAN2 и LAN2.
Ну и придумать что-то в основной таблице для самого роутера: либо один из дефолтных маршрутов продублировать, либо оба с разными метриками.
Получается как-то так?
 
ip address
add address=88.66.89.240/24 interface=WAN1
add address=88.66.89.241/24 interface=WAN2
add address=20.20.0.1/24 interface=LAN1
add address=10.10.0.1/23 interface=LAN2

/ip route
add gateway=88.66.89.1

/ip route vrf
add interfaces=LAN1,WAN1 routing-mark=VRF_1
add interfaces=LAN2,WAN2 routing-mark=VRF_2

/ip route
add gateway=89.66.89.1%WAN1 routing-mark=VRF_1
add gateway=89.66.89.1%WAN2 routing-mark=VRF_2

/ip firewall nat add chain=srcnat out-interface=WAN1 action=masquerade
/ip firewall nat add chain=srcnat out-interface=WAN2 action=masquerade
Последний раз редактировалось Andrey_Ak 25 янв 2023, 12:53, всего редактировалось 3 раза.


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
xvo
Сообщения: 3608
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

25 янв 2023, 12:42

Получается оно так, или нет - это уже вы скажите.
Но в голове выглядит, что как-то примерно так, да.
Только куда-то второй маскарад потерялся.
И не уверен, что в дефолтных маршрутах, которые руками создаются, надо ссылаться на таблицу main - там же по идее в каждой должен бы быть в наличии свой маршрут до шлюза.


Telegram: @thexvo

Дома: [CCR1009-7G-1C-1S+] [CRS112-8P-4S-IN] [wAP ac] [RB260GS]
Не дома: [RB4011iGS+] [CRS326-24G-2S+RM] [wAP 60ad] [cAP ac]...
...[hEX] [hAP ac²] [hAP ac lite] [hAP mini] [RB260GS]
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

25 янв 2023, 12:45

Исправил вроде, попробую проверить...

А как NAT настроить в таком конфиге и проброску портов?


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
xvo
Сообщения: 3608
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

25 янв 2023, 12:54

Обычным образом.
Если не надо крест-накрест.

А если надо, то тут сходу не скажу, там надо между двумя vrf перекидывать.
Я вас сразу спросил про то насколько буквально надо понимать разделение "на два роутера".


Telegram: @thexvo

Дома: [CCR1009-7G-1C-1S+] [CRS112-8P-4S-IN] [wAP ac] [RB260GS]
Не дома: [RB4011iGS+] [CRS326-24G-2S+RM] [wAP 60ad] [cAP ac]...
...[hEX] [hAP ac²] [hAP ac lite] [hAP mini] [RB260GS]
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

25 янв 2023, 13:01

xvo писал(а):
25 янв 2023, 12:54
Я вас сразу спросил про то насколько буквально надо понимать разделение "на два роутера".
Да, буквально. Есть два роутера,
один роутер для сети LAN1 и использует первый WAN адрес провайдера,
и есть второй роутер для сети LAN2 и использует второй WAN адрес провайдера.

Суть даже не в том, чтоб сэкономить на одном роутере,
а просто интересно такое реализовать.

Так-же нужно проброску портов WAN1-LAN1 и WAN2-LAN2 организовать для обоих сетей и VPN для одной из сетей.


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
xvo
Сообщения: 3608
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

25 янв 2023, 13:16

Тогда, по идее, без особенностей.
Только добавлять в dst-nat условия на то, с какого WAN пришло.


Telegram: @thexvo

Дома: [CCR1009-7G-1C-1S+] [CRS112-8P-4S-IN] [wAP ac] [RB260GS]
Не дома: [RB4011iGS+] [CRS326-24G-2S+RM] [wAP 60ad] [cAP ac]...
...[hEX] [hAP ac²] [hAP ac lite] [hAP mini] [RB260GS]
Ответить