Настройка двух LAN сетей на провайдера с двумя IP

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

xvo писал(а): 25 янв 2023, 18:07
Вот это условие уберите, с ним у вас просто доступ из противоположной сети (собственно и снаружи тоже) не пробрасывается вовсе:
/ip firewall nat add chain=dstnat src-address=10.10.0.0/23 dst-address=88.66.89.241 protocol=tcp dst-port=80 action=dst-nat to-addresses=10.10.0.10 comment=LoopBack_to_IP:10.10.0.10_Port:80
/ip firewall nat add chain=srcnat src-address=10.10.0.0/23 dst-address=10.10.0.10 protocol=tcp dst-port=80 action=masquerade comment=LoopBack_to_IP:10.10.0.10_Port:80
Без этого условия из LAN2 не открывается вообще сервер по внешнему адресу 88.66.89.241

Еще вместо этого условия, работает вот такое:

Код: Выделить всё

/ip firewall mangle
add chain=prerouting dst-address=88.66.89.241 in-interface=LAN2 connection-state=new action=mark-packet new-packet-mark=NAT-LB-241 passthrough=yes comment="NAT Loopback detect" 

/ip firewall nat
add chain=srcnat packet-mark=NAT-LB-241 action=masquerade comment="NAT Loopback replace address" 

/ip firewall nat
add chain=dstnat dst-address=88.66.89.241 protocol=tcp dst-port=80,443 action=dst-nat to-addresses=10.10.0.10
add chain=dstnat dst-address=88.66.89.241 protocol=tcp dst-port=4480,4040 action=dst-nat to-addresses=10.10.0.10


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

Так, беру паузу... Пойду покурить, все осмыслить.. Еще раз подумать, перепроверить все и потом отпишусь, а то каша уже в голове...


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Вот если честно, весь смысл городить vrf был в том, что сети будут независимые.
И тогда бы получался простой и легковесный конфиг.

А так мы мало того, что мы опять приходим к mangle, так ещё и нужны будет куча доп правил, которые будут описывать поведение при переходе трафика из одной половины роутера в другую.
Зачем?
Надо было тогда оставлять обычную схему - две сети, два WAN'а, а кто через какой WAN ходит описывать в mangle, просто размечая соединения.


Telegram: @thexvo
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

xvo писал(а): 25 янв 2023, 18:31 Вот если честно, весь смысл городить vrf был в том, что сети будут независимые.
И тогда бы получался простой и легковесный конфиг.
Так и так сети не зависимые, только почему-то по умолчанию из сети LAN1 не открывается внешний WAN2 адрес,
и наоборот из сети LAN2 не открывается внешний WAN1 адрес.
Когда было два роутера, эти условия то работали...

Мне-же не нужно из сети LAN1 открывать сервер по адресу из сети LAN2,
как и не нужно из сети LAN2 открывать сервер по адресу из сети LAN1.


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

Вот изначальный, простой конфиг для разделения сетей:

Код: Выделить всё

/interface bridge
add name=LAN1
add name=LAN2
add name=WAN1
add name=WAN2

/interface bridge port
add bridge=WAN1 comment=88.66.89.240 interface=ether1
add bridge=WAN2 comment=88.66.89.241 interface=ether6
add bridge=LAN1 interface=ether2
add bridge=LAN1 interface=ether3
add bridge=LAN1 interface=ether4
add bridge=LAN1 interface=ether5
add bridge=LAN2 interface=ether7
add bridge=LAN2 interface=ether8
add bridge=LAN2 interface=ether9
add bridge=LAN2 interface=ether10

/ip address
add address=88.66.89.240/24 interface=WAN1 network=88.66.89.0
add address=88.66.89.241/24 interface=WAN2 network=88.66.89.0
add address=20.20.0.1/24 interface=LAN1 network=20.20.0.0
add address=10.10.0.1/23 interface=LAN2 network=10.10.0.0

/ip dns
set servers=88.66.89.200,88.66.89.201

/ip route vrf
add interfaces=LAN1,WAN1 routing-mark=VRF_1
add interfaces=LAN2,WAN2 routing-mark=VRF_2

/ip route
add gateway=88.66.89.1%WAN1 routing-mark=VRF_1
add gateway=88.66.89.1%WAN2 routing-mark=VRF_2

add distance=1 gateway=88.66.89.1%WAN1
add distance=2 gateway=88.66.89.1%WAN2

/ip firewall nat add chain=srcnat out-interface=WAN1 action=masquerade
/ip firewall nat add chain=srcnat out-interface=WAN2 action=masquerade 
Почему по умолчанию клиенты из сети LAN1 не могут открыть внешний адрес WAN2 и наоборот из сети LAN2 открыть внешний WAN1?

----

При конфиге приведенном выше, так-же не открывается Telnet и SSH Telnet из сети LAN2 по адресу 88.66.89.241,
но если добавить условие: /ip route add dst-address=10.10.0.0/23 gateway=LAN2 то начинает открываться.


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Именно потому что две независимые таблицы, каждая из которых про существование другой не знает.
Вот и происходит, что когда пакет приходит скажем из LAN2, а попасть надо куда-то в VRF1 - то пакет вероятно улетает к провайдеру.
Нужно руками добавлять недостающие маршруты, так как будто бы это разные роутеры.


Telegram: @thexvo
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

Большое спасибо за помощь!! :co_ol:

Вообщем вот такой вариант конфига получился, вроде все работает:
 
/interface bridge
add name=LAN1
add name=LAN2
add name=WAN1
add name=WAN2

/interface bridge port
add bridge=WAN1 comment=88.66.89.240 interface=ether1
add bridge=WAN2 comment=88.66.89.241 interface=ether6
add bridge=LAN1 interface=ether2
add bridge=LAN1 interface=ether3
add bridge=LAN1 interface=ether4
add bridge=LAN1 interface=ether5
add bridge=LAN2 interface=ether7
add bridge=LAN2 interface=ether8
add bridge=LAN2 interface=ether9
add bridge=LAN2 interface=ether10

/ip address
add address=88.66.89.240/24 interface=WAN1 network=88.66.89.0
add address=88.66.89.241/24 interface=WAN2 network=88.66.89.0
add address=20.20.0.1/24 interface=LAN1 network=20.20.0.0
add address=10.10.0.1/23 interface=LAN2 network=10.10.0.0

---

/ip dns
set servers=88.66.89.200,88.66.89.201

/ip route vrf
add interfaces=LAN1,WAN1 routing-mark=VRF_1
add interfaces=LAN2,WAN2 routing-mark=VRF_2

/ip route
add gateway=88.66.89.1%WAN1 routing-mark=VRF_1
add gateway=88.66.89.1%WAN2 routing-mark=VRF_2

------ Для работы Internet на самом роутере --------

/ip route
add distance=1 gateway=88.66.89.1%WAN1
add distance=1 gateway=88.66.89.1%WAN2

------- Без этих записей из LAN1 не открывается web сервис на WAN2 и из LAN2 не открывается web сервис на WAN1 --------

/ip route add dst-address=20.20.0.0/24 gateway=LAN1 routing-mark=VRF_2
/ip route add dst-address=10.10.0.0/23 gateway=LAN2 routing-mark=VRF_1

------- Без этих записей из LAN1 не открывается Telnet и Telnet SSH ---------------------------------------------------

/ip route add dst-address=20.20.0.0/24 gateway=LAN1
/ip route add dst-address=10.10.0.0/23 gateway=LAN2

-----------------------------------------------------------------------------------------------------------------------

/ip firewall nat add chain=srcnat out-interface=WAN1 action=masquerade
/ip firewall nat add chain=srcnat out-interface=WAN2 action=masquerade

/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1
add action=masquerade chain=srcnat out-interface=WAN2

---

/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 \ in-interface=WAN2 protocol=tcp to-addresses=10.10.0.10 to-port=80 comment=WEB
/ip firewall nat add action=dst-nat chain=dstnat dst-port=443 \ in-interface=WAN2 protocol=tcp to-addresses=10.10.0.10 to-port=443 comment=SHTTP

/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 \ in-interface=WAN1 protocol=tcp to-addresses=20.20.0.40 to-port=80 comment=WEB_80_SERVER-04
/ip firewall nat add action=dst-nat chain=dstnat dst-port=443 \ in-interface=WAN1 protocol=tcp to-addresses=20.20.0.40 to-port=443 comment=WEB_443_SERVER-04

--------------- LoopBack -----------------------------

/ip firewall mangle add chain=prerouting dst-address=88.66.89.241 in-interface=LAN2 connection-state=new action=mark-packet new-packet-mark=NAT-LB-241 passthrough=yes comment="NAT Loopback detect LAN2"
/ip firewall mangle add chain=prerouting dst-address=88.66.89.240 in-interface=LAN1 connection-state=new action=mark-packet new-packet-mark=NAT-LB-240 passthrough=yes comment="NAT Loopback detect LAN1"

/ip firewall nat add chain=srcnat packet-mark=NAT-LB-241 action=masquerade comment="NAT Loopback replace address LAN2"
/ip firewall nat add chain=dstnat dst-address=88.66.89.241 protocol=tcp dst-port=80,443 action=dst-nat to-addresses=10.10.0.10

/ip firewall nat add chain=srcnat packet-mark=NAT-LB-240 action=masquerade comment="NAT Loopback replace address LAN1"
/ip firewall nat add chain=dstnat dst-address=88.66.89.240 protocol=tcp dst-port=80,443 action=dst-nat to-addresses=20.20.0.40

------------------------------------------------------
Но надо попробовать наверно изначальный вариант, а то тут уж очень все сложно получилось,
и боюсь не очень надежно.. А еще VPN надо поднимать на сети LAN2...


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А в чем ненадежность то?
И о надежности чего вообще тут может идти речь? :)

Да и как раз таки схема абсолютно простая, прямолинейная и симметричная относительно двух WAN-ов.


Telegram: @thexvo
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

И теперь из сети LAN1 пингуются хосты сети LAN2..

Проще конечно было-бы два роутера использовать...

---

Не, все-таки с такой конфигурацией сеть не стабильно работает,
при запущенной удаленке AmmyAdmin с одного компа в сети LAN1
на другой в этой-же сети и подключении по IP постоянно идет обрыв
соединения.

Так-же многие машины в сети перестали отвечать свои на имена, по IP отвечают,
а по имени нет.


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Про ammyadmin не подскажу, у него могут быть какие-то свои причины нормально не работать.
Попробуйте, например, aspia для этих целей.

С другой стороны вы пишите:

Код: Выделить всё

с одного компа в сети LAN1 на другой в этой-же сети и подключении по IP постоянно идет обрыв
соединения.
Вы же понимаете, что при обращении в рамках одной подсети пакеты вообще могут не проходить через шлюз, а в 99% случаев используют сетевое взаимодействие на уровне коммутаторов? То есть микротик, и уж, тем более, его настройки на двух провайдеров, вообще не причем.


Что касается "отвечать по именам", то вкратце так: Windows "ищет имена" в рамкой одной подсети (броадкастовый запрос), поэтому все это этой подсетью и ограничено. Более подробно все это описано здесь: viewtopic.php?p=37908#p37908
Чтобы гарантировать обращение по именам в одноранговой сети (читай сеть без AD) поднимайте сервер WINS.


Ответить