Доступ к внешним ресурсам через определенного провайдера

[Deex]

Здравствуйте!
Помогите разобраться. Есть роутер MikroTik 750, два провайдера (wan1, wan2) и локальная сеть (lan). Нужно настроить доступ к внешним ресурсам строго через определенного провайдера, например к 2ip.ru (178.63.151.224) через wan1, к yoip.ru (90.156.201.94) через wan2 и запретить выход через другого провайдера.

wan1
ip: 192.168.0.151/24
gw: 192.168.0.1

wan2
ip: 10.0.7.22/24
gw: 10.0.0.7.1

lan
10.0.0.0/24

Настраивал так
# Маскарадинг для локальной сети

Код: Выделить всё

/ip firewall nat add chain=srcnat action=masquerade src-address=10.0.0.0/24

# Создал статическое правило маршрутизации

Код: Выделить всё

/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.1,10.0.7.1

# Маркировка маршрутов и соединений

Код: Выделить всё

/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=to-wan1
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.0.7.1 routing-mark=to-wan2
/ip firewall mangle add action=mark-connection chain=forward disabled=no in-interface=wan1 new-connection-mark=to-wan1c passthrough=yes 
/ip firewall mangle add action=mark-connection chain=forward disabled=no in-interface=wan2 new-connection-mark=to-wan2c passthrough=yes 

# создал списки ip-адресов

Код: Выделить всё

/ip firewall address-list add list=2ip address=178.63.151.224 disabled=no
/ip firewall address-list add list=yoip address=90.156.201.94 disabled=no

# ходить на внешние ресурсы строго через определенного провайдера

Код: Выделить всё

/ip firewall mangle add action=mark-routing chain=prerouting comment="to 2ip.ru" connection-state=new disabled=no dst-address=!192.168.0.151 dst-address-list=2ip \ new-routing-mark=to-wan1 passthrough=yes src-address=10.0.0.0/24
/ip firewall mangle add action=mark-routing chain=prerouting comment="to yoip.ru" connection-state=new disabled=no dst-address=!10.0.7.22 dst-address-list=yoip \ new-routing-mark=to-wan2 passthrough=yes src-address=10.0.0.0/24

В итоге ничего не работает, где ошибка?

[Deex]

Правила заработали, проблема оказалась в настройках DNS, одного сервера 8.8.8.8 было не достаточно.
Но выявилась проблема, если я отключаю первого провайдера (wan1) то сайт 2ip.ru открывается через второго провайдера (wan2). Как запретить доступ к ресурсу, если провайдер через который настроен доступ недоступен?

[vqd]

Ну судя по конфигу вы где то чего то поглядели, инфу кусками взяли но понятия не имеете для чего оно нужно и как работает.

Хотя бы вот это берем

/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=to-wan1
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.0.7.1 routing-mark=to-wan2
/ip firewall mangle add action=mark-connection chain=forward disabled=no in-interface=wan1 new-connection-mark=to-wan1c passthrough=yes
/ip firewall mangle add action=mark-connection chain=forward disabled=no in-interface=wan2 new-connection-mark=to-wan2c passthrough=yes

Как оно по вашему работает?

[Deex]

Ну судя по конфигу вы где то чего то поглядели, инфу кусками взяли но понятия не имеете для чего оно нужно и как работает.

Хотя бы вот это берем

/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=to-wan1
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.0.7.1 routing-mark=to-wan2
/ip firewall mangle add action=mark-connection chain=forward disabled=no in-interface=wan1 new-connection-mark=to-wan1c passthrough=yes
/ip firewall mangle add action=mark-connection chain=forward disabled=no in-interface=wan2 new-connection-mark=to-wan2c passthrough=yes

Как оно по вашему работает?

так и есть, содрал конфиг от сюда http://unixteam.ru/content/mikrotik-i-dva-provaydera

насколько я понимаю этой командой добавляем два маршрута с маркировкой, что позволит нам в дальнейшем направлять трафик через эти маршруты

Код: Выделить всё

/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=to-wan1
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.0.7.1 routing-mark=to-wan2

маркируем входящее соединение

Код: Выделить всё

/ip firewall mangle add action=mark-connection chain=forward disabled=no in-interface=wan1 new-connection-mark=to-wan1c passthrough=yes 
/ip firewall mangle add action=mark-connection chain=forward disabled=no in-interface=wan2 new-connection-mark=to-wan2c passthrough=yes

я пропустил правила, которые направляют ответ на шлюз того провайдера которому принадлежат соединения

Код: Выделить всё

/ip firewall mangle add action=mark-routing chain=prerouting connection-mark=to-wan1c disabled=no new-routing-mark=to-wan1 passthrough=yes src-address=10.0.0.0/24 
/ip firewall mangle add action=mark-routing chain=prerouting connection-mark=to-wan2c disabled=no new-routing-mark=to-wan2 passthrough=yes src-address=10.0.0.0/24 

[vqd]

))) воот

Поехали дальше

Это зачем?
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.1,10.0.7.1

[Deex]

))) воот

Поехали дальше

Это зачем?
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.1,10.0.7.1

это основной маршрут позволяющий разделить нагрузку по подключениям поровну

[vqd]

В том числе и с самого микротика и 50 на 50 независимо от ширины самого канала. То есть если один канал у вас пропал то 50% начинает терятся.

Но опять же вы пишите что вам надо принудительно отправить часть юзеров через один канал, а часть через другой. Но тут уж вам виднее.

Теперь дальше.
В случае если вы на прироутинге заруливаете какое либо соединение через определенный маршрут (таблицу), а таблица эта не работает или ее нет то микротик отправляет все в main то есть вот в тот ваш маршрут некрасивый

Что бы он этого не делал стоит для обоих каналов создать правило типа этого:
/ip route rule add routing-mark=to-wan1c table=to-wn1 action=lookup-only-in-table

[Deex]

В том числе и с самого микротика и 50 на 50 независимо от ширины самого канала. То есть если один канал у вас пропал то 50% начинает терятся.

Но опять же вы пишите что вам надо принудительно отправить часть юзеров через один канал, а часть через другой. Но тут уж вам виднее.

Теперь дальше.
В случае если вы на прироутинге заруливаете какое либо соединение через определенный маршрут (таблицу), а таблица эта не работает или ее нет то микротик отправляет все в main то есть вот в тот ваш маршрут некрасивый

Что бы он этого не делал стоит для обоих каналов создать правило типа этого:
/ip route rule add routing-mark=to-wan1c table=to-wn1 action=lookup-only-in-table

Мне не нужна балансировка, мне необходимо чтобы сайт 2ip.ru открывался только через wan1, если wan1 не работает сайт 2ip не открывается, так же ситуация с yoip.ru от должен открываться только через wan2.

если я удаляю этот маршрут у меня пропадает интернет)

Код: Выделить всё

/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.1,10.0.7.1

[vqd]

Ну логично что он пропадает. Микротик же не знает куда отправлять запросы.

Создайте два маршрута и разнесите их метриками

[Deex]

каким образом я настроить доступ к определенному сайту только через одного провайдера?