Несколько IP на одном WAN - маршрутизация

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
tegr
Сообщения: 8
Зарегистрирован: 09 апр 2019, 16:29

Приветствую!

Настраиваю довольно необычную конфигурацию сети на RB951Ui-2HnD (5 портов).

1 порт - провайдер №1, PPPoE, 1 IP
2 порт - провайдер №2, статика, пул из 9 адресов, общий шлюз
3 порт - провайдер №3, статика, пул из 5 адресов, общий шлюз
4-5 порт - локальная сеть, порты должны быть изолированы друг от друга

Часть адресов необходимо задать роутеру и выходить в инет через NAT, а часть пробросить в локальную сеть, чтобы прямо на устройствах прописывать белый IP - реализовал, объединив 2 3 4 5 порты в бридж.
4-5 и 2-3 порты изолировал друг от друга при помощи bridge filter.
Устройства в локальной сети, на которых не прописана статика провайдера должны получать адреса по DHCP от роутера и находиться за NAT. На бридже создан DHCP сервер.
(Изначально хотел поделить локалку на подсети на 4 и 5 порту, создать 2 DHCP сервера на каждом из портов, изолированы же, но роутер ругнулся, ибо порты в slave режиме - висят на бридже. Если кто знает способ реализовать - поделитесь, пожалуйста.)

Интернет в локалку за NAT сейчас тоже поступает, пока маршруты простые - через distance, позднее буду направлять локальные устройства на разные адреса/провайдеров через mangle.


Сейчас я остановился на том, как создать маршруты, чтобы выход в интернет был с разных адресов одного пула?
Т.е. чтобы 192.168.10.10-20 выходили в инет с адреса 109.ххх.ххх.171, а 192.168.10.100-200 - с адреса 109.ххх.ххх.172. Что и где прописать?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Первый и Главный вопрос:

Вы хотите одновременно работать сразу с тремя провайдерами?

P.S.
Роутер слегка не той модели выбрали.
Три провайдера, две сети, хитрая конфигурация....
роутер должен быть подороже...и по мощнее и моделью посвежее.

В любом случаи: "...стрижка только началась".... :ps_ih: :sh_ok:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
tegr
Сообщения: 8
Зарегистрирован: 09 апр 2019, 16:29

Понимаю, что роутер слабоват, но всё хотят без вложений и на коленке :nez-nayu:

Да, сразу с тремя провайдерами, при этом использовать еще и разные IP внутри одного провайдера.
Т.е. имя 3 интернет канала, выходить в инет, например, с 5 разных адресов.

Ранее роутер уже был настроен на 3 провайдеров - все WAN имели по одному IP и маршруты были настроены через маркировку пакетов по mangle.
Как поделить клиентов на 3 провайдеров я знаю, а как поделить по IP внутри одного провайдера не пойму.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

(если мои ответы будут отдавать лёгким цинизмом - прошу прощение)
tegr писал(а): 10 апр 2019, 09:24 Понимаю, что роутер слабоват, но всё хотят без вложений и на коленке :nez-nayu:
Ну тут я выскажусь так: иметь 3х провайдеров, два ещё с сетями, это даже для материка,
с доступными разными провайдерами = в любом случаи будет солидная сумма.
Поэтому странно, что такой роутер и в такие задачи.
(как говорят, Джип купил, а на колёса не хватило) :-)
tegr писал(а): 10 апр 2019, 09:24 Да, сразу с тремя провайдерами, при этом использовать еще и разные IP внутри одного провайдера.
Т.е. имя 3 интернет канала, выходить в инет, например, с 5 разных адресов.
плюс Вы там говорили ещё о том, чтобы внешние (белые) адреса внутри себя раздавать
другим устройствам, и так далее, и прочее.
Ну про раздачу другим устройствам = тут либо по вилану только. Это самое простое.
Опять же, столько каналов, запросов, желаний = не спамеры ли Вы (шучу).
tegr писал(а): 10 апр 2019, 09:24 Ранее роутер уже был настроен на 3 провайдеров - все WAN имели по одному IP и маршруты были настроены через маркировку пакетов по mangle.
Как поделить клиентов на 3 провайдеров я знаю, а как поделить по IP внутри одного провайдера не пойму.
Вот наконец-то я увидел правильное слово, это "маркировки". Потому что по Вашему первому сообщению
я даже испугался, потому что сделать 3х провайдеров, одновременную работу, разрулить сети внешние,
потом ещё и локальные, да ещё и при этом иметь всего 5 портов на роутере, это не просто,
не сложно, но не в миг, тут подход нужен.

Кроме вышеописанных нюансов (и надеюсь на них будут и ответы), ещё я явно хочу спросить вот что:
1) А у Вас кроме роутера свитчи есть, желательно управляемые?
1.1) сеть большая, управляемая, сколько сетевого оборудования, какие скорости внутри локалки?
2) зачем Вы порты 2 и 3 между собой как-то зафильтровали? Они если не являются участниками
какова-то бриджа, то такой порт независим и фильтровать его не надо.
Тем более каждый провайдер = отдельный порт. И в бридж их объединять = нельзя вообще.
3) 4-5 порты = тут проще каждый порт сделать в виде отдельной сети, правда и подключать надо их
по отдельности (то есть не допустить физического их слияния).
4) ну и по Вашему вопросу: как пускать одних через один внешний, а других через другой,
странно, что зная о маркировке, Вы не знаете как это делать.
Вам надо создавать два правила НАТ (SRC-NAT) (не маскарайдинг).
В этих правилах Вы должны явно указать какая локальная сеть, через какой
внешний интерфейс и от какова адреса(этот параметр важен) будет выходить.
В правиле SRC-NAT можно и нужно явно задать тот адрес, который нужен.
И чем больше условий в правиле, тем явно и более чётко оно будет срабатывать.
Темы тут такие были.
Вот похоже: viewtopic.php?f=1&t=10212&p=61592#p61592



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
tegr
Сообщения: 8
Зарегистрирован: 09 апр 2019, 16:29

В сети два офиса, которым нужно выходить в инет с разных адресов, несколько серверов, на которых требуется назначение белых IP, поэтому и необходимо такое количество адресов.

1. Свитчи есть, неуправляемые
1.1 Сеть маленькая, по 15 ПК на каждом порту + несколько сетевых принтеров и камер, которые не ходят в инет. Скорости внутри сети небольшие - до 30мбит в пике.

2. Порты провайдера и локалки в бридже, поскольку для назначения белых IP в локалке руководствовался этой статьей (способ 2).
Изолированы, чтобы не видели друг друга и не было паразитного трафика.

3. Изначально я так и планировал, но по описанной в статье конфигурации необходимо объединение всех портов, чтобы назначать белые адреса внутри локалки.
Готов выслушать более правильный вариант конфигурации.

4. SRC NAT настроил, спасибо. Правда, много времени убил - не хотела работать конфигурация - но заработала просто после перезагрузки роутера.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

tegr писал(а): 11 апр 2019, 12:59 В сети два офиса, которым нужно выходить в инет с разных адресов, несколько серверов, на которых требуется назначение белых IP, поэтому и необходимо такое количество адресов.
Ясно, но странно, если честно.
tegr писал(а): 11 апр 2019, 12:59 1. Свитчи есть, неуправляемые
1.1 Сеть маленькая, по 15 ПК на каждом порту + несколько сетевых принтеров и камер, которые не ходят в инет. Скорости внутри сети небольшие - до 30мбит в пике.
А роутер может быть напрямую подключён к нужным серверам(ну или скажем так, сервер(ы) могут прямо в порт микротика быть подключены?)
Вам надо хотя бы один управляемый свитч, портов мало на роутере, разруливать как трафик?
tegr писал(а): 11 апр 2019, 12:59 2. Порты провайдера и локалки в бридже, поскольку для назначения белых IP в локалке руководствовался этой статьей (способ 2).
Изолированы, чтобы не видели друг друга и не было паразитного трафика.
3. Изначально я так и планировал, но по описанной в статье конфигурации необходимо объединение всех портов, чтобы назначать белые адреса внутри локалки.
Готов выслушать более правильный вариант конфигурации.
Статья правильная, но Вы её как-то разбавили, если у нас порт1 это вход провайдера (кабель), а порт2 - это выход для подключения
внешних серверов с белой адресацией, то эти два порта уже никак не должны быть в локальной сети, или иначе скажу,
порты связанные с локальной сетью, не должны фигурировать там, где проходит реальный внешний трафик.
Опять же, сэкономив на роутере, из-за отсутствия свитчей = реально надо городить огород.
Пока вижу решение как и писал, создаёте бридж=WAN (опять же, их будет два, так как у Вас два провайдера которые дают
внешние адреса), соответственно создаёте:
а) bridge0-ISP2-WAN (второй провайдер, туда добавляете порт2, и задаёте адрес бриджу (из того пула что дал этот провайдер)
б) bridge0-ISP3-WAN (третий провайдер, туда добавляете порт3, и задаёте адрес бриджу (из того пула что дал этот провайдер)
в) создаёте вилан-312 на локальном бридже и добавляете в bridge0-ISP2-WAN
г) создаёте вилан-313 на локальном бридже и добавляете в bridge0-ISP3-WAN
У Вас в локальной сети будет бегать два вилана, 312 и 313, соответственно, если Вы их примите прямо на сервере(ах),
то сразу вставь сервером в вилан нужный = можете серверу сразу ставить реальную адресацию.
Как-то так...написал по памяти и уже поздним вечером, мог и ошибиться где-то в логике или последовательности.
Но решение вот такое. Внешний трафик должен быть изолирован от локального, и провайдер не должен видеть локальный
трафик и МАКов.
tegr писал(а): 11 апр 2019, 12:59 4. SRC NAT настроил, спасибо. Правда, много времени убил - не хотела работать конфигурация - но заработала просто после перезагрузки роутера.
Странно, хотя возможно.
Настройте таймауты (в сторону уменьшения) в Коннекшинах, чтобы сберечь память роутеру.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vkrum
Сообщения: 86
Зарегистрирован: 10 ноя 2012, 00:23

На харбе статья https://habr.com/ru/post/338538/


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

vkrum писал(а): 14 апр 2019, 12:32 На харбе статья https://habr.com/ru/post/338538/
Я Ваше сообщение удалять не буду, может другой модератор посчитает
иначе, но оно не соответствует теме.

У нас тут тема = несколько провайдеров, сложная маршрутизация.
Прочтите всю тему, всё таки поднять 2-3 адреса на разных МАКах = это одно,
а принять 2-3 провайдеров = это другое.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
tegr
Сообщения: 8
Зарегистрирован: 09 апр 2019, 16:29

1. Ничего нет, поэтому делаю так, как делаю

2. Сервера - громко сказано, большинство из них базируется на обычном офисном железе с сетевками типа realtek, которые не примут вланы (либо может какими то костылями)
2.1 Оставлю конфигурацию пока в том виде, что у меня есть. Оно работает, но имеет надостатки. Я понимаю, что локалка открыта провайдеру - тем не менее, я не думаю что провайдер будет проводить атаку на нас :du_ma_et: а за пределы его коммутатора наш трафик выходить не должен. Другая сторона вопроса - наоборот, мы можем мешать работе провайдера каким нибудь броадкастом/мультикастом, и оборудование провайдера может заблокировать порт.
Исходя из этого, я пытался ограничить трафик из локальной сети (описано в этой статье, в конце раздела bridge), проходящий через бридж таким правилом:

chain=forward action=drop out-interface=WAN2 mac-protocol=ip src-address=192.168.10.0/24 - но ни одного заблокированного пакета - подумал, может, трафика и нет - и прописал белый IP, назначенный одному из устройств внутри сети

chain=forward action=drop out-interface=WAN2 mac-protocol=ip src-address=109.ххх.ххх.173 - устройство как ходило в инет, так и ходит - а ведь должно блокировать весь исходящий трафик в WAN2 с указанного ip, верно?
Что я делаю не так? Следует использовать ip bridge firewall?

3. А еще не осилил hairpin nat :-(

0 chain=dstnat action=dst-nat to-addresses=192.168.10.2 to-ports=8080 protocol=tcp src-address=192.168.10.0/24 dst-address=109.xxx.xxx.172 dst-port=39152 (перенаправление для локальных адресов)

1 chain=srcnat action=src-nat to-addresses=109.xxx.xxx.172 protocol=tcp src-address=192.168.10.0/24 dst-address=192.168.10.2 dst-port=8080 (в мануалах пишут маскарад, но из-за трех wan интерфейсов я прописал src nat)

2 chain=dstnat action=dst-nat to-addresses=192.168.10.2 to-ports=8080 protocol=tcp dst-address=109.xxx.xxx.172 in-interface=bridge dst-port=39152 (само правило проброса, работает извне корректно)

Так же во всех мануалах рассматривается случай прямого проброса порта, у меня же порт меняется - возможно, что то неправильно понял и допустил ошибку.


Ответить