Два провайдера - две сети непересекающихся

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
maximilian
Сообщения: 26
Зарегистрирован: 07 июн 2017, 00:00

Собственно у меня такая проблема, есть два провайдера и есть микротик, и две сети.
Что сделано, два провайдера выведены в ваны, два дхцп на каждую сеть, маскарады по сетям.
грубо говоря, цель примерно как распилить микротик на два, что бы эти сети были не пересекаемыми, каждая со своим провайдером.

на данный момент, в каждой сети свой проброс портов, и почему то , если два провайдера аплинк, и у которого дистанция меньше норм все, а вот у второго внешний интерфейс не але, тобишь стучись на него не стучись ничего не происходит , хотя по логам видно что байты на нужны порт идут. Если дистанцию ставить одинаковую то тут рандомом то один работает то второй.
(Если WAN2 дистанция 1, а WAN1 дистанция 2, то сервер, который проброшен через WAN1 - не виден.)
написал сумбурно, уточняйте непонятные моменты, хочу разобраться что не так. конфиг под спойлером.

 конфиг
# oct/20/2017 16:17:24 by RouterOS 6.40.3
# model = RouterBOARD 3011UiAS

/interface bridge
add name=bridge1
add name=bridge2

/ip pool
add name=dhcp2 ranges=192.168.2.150-192.168.2.254
add name=dhcp1 ranges=192.168.1.150-192.168.1.254
/ip dhcp-server
add address-pool=dhcp2 disabled=no interface=bridge2 lease-time=1d name=dhcp_2
add address-pool=dhcp1 disabled=no interface=bridge1 lease-time=1d name=dhcp_1
/interface bridge port
add bridge=bridge2 interface=ether05_master
add bridge=bridge1 interface=ether10_master
/ip address
add address=192.168.2.2/24 interface=ether05_master network=192.168.2.0
add address=192.168.1.1/24 interface=ether10_master network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=WAN2 use-peer-ntp=no
add default-route-distance=2 dhcp-options=hostname,clientid disabled=no interface=WAN1 use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.133 client-id=1:0:c:29:1d:ad:77 comment="Old Server" mac-address=00:0C:29:1D:AD:77 server=dhcp_1
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.2 gateway=192.168.2.2 netmask=24
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN2 src-address=192.168.2.0/24
add action=masquerade chain=srcnat out-interface=WAN1 src-address=192.168.1.0/24
add action=netmap chain=dstnat dst-port=80 in-interface=WAN1 protocol=tcp to-addresses=192.168.1.133 to-ports=80
/ip route rule
add action=unreachable dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=unreachable dst-address=192.168.2.0/24 src-address=192.168.1.0/24


Мои игрушки Mikrotik RB2011 RB3011 RB3011 RB3011rev2 RB4011 :men: еще парочка CAP 5acD2nD на закуску
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Не будет тут жёсткого разделения микротика на два микротика.
Да, у микротика каждый порт - независим, но логика, система одна то.
Поэтому всё же самое правильно-простое решение: купить отдельный второй микротик и всё.
Каждый микротик будет шлюзом для своей сети, и всё будет работать.
Потом можно между микротиками сделать маршрутизацию и чтобы локалки или отдельные
узлы друг друга видели, вдруг там поиграться/фильмы посмотреть...

Ну а если не хочется простого-правильного решения, то тогда вперёд, к (мучениям):
на изучения маркировки, таблицы Мангл, создания правил по маркировки трафика,пакетов, и так далее
создания дополнительных таблиц маршрутизации, создания про-маркированных маршрутов.
И это уже другие познания, и другой уровень работы с микротиком.
И реализация опять же - она у каждого тренера/учителя/у каждого админа микротика - своя.
Нет правильного или не правильного решения, просто есть решения менее гибкие, есть более гибче,
удобнее.
И на форуме тут было не раз описано всё это, собрать воедино будет не просто, надо понимать и сущность
что нужно, применить логику, и плюс делать свою конфигурацию с учётом своих данных, интерфейсов и так далее...
Но эта информация доступна, есть и при желании всё можно сделать...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

распилить легко, но при условии что маршрут до провайдера будет статика, а не по dhcp.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

kt72ru писал(а):распилить легко, но при условии что маршрут до провайдера будет статика, а не по dhcp.

Не надо вбросов в воздух. Либо по теме конкретно, либо никак. Тут читателей много, если бы все писали для того, чтобы отметится, такой бардак был бы.
To TC:
Посмотрите в сторону тем о балансировке, там есть описания, что и как делать. Если общими словами, уходить пакеты могут правильно по адресу, а вот приходя на Микротик обратно, пакетам надо конкретно указать, куда идти. Для этого очень удобна маркировка соединений, маршрутов и пакетов. Далее вам не составит труда разрулить трафик маршрутами, направив помеченный трафик в соответствующую сеть.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

maximilian писал(а):Собственно у меня такая проблема, есть два провайдера и есть микротик, и две сети.

Эти два провйдера подключены по двум физически разным проводам ?


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

какие вбросы, это же примитив, решается в три клика мышки, но при условии что дефолтные маршруты статика

/ip address
add address=192.168.1.1/24 comment=User-Net-1 interface=bridge1 network=192.168.1.0
add address=192.168.2.1/24 comment=User-Net-2 interface=bridge2 network=192.168.2.0
add address=192.168.100.2/24 comment=ISP1 interface=ether4 network=192.168.100.0
add address=192.168.101.2/24 comment=ISP2 interface=ether5 network=192.168.101.0

/ip dhcp-client add dhcp-options=hostname,clientid disabled=no

/ip firewall mangle
add action=mark-connection chain=input in-interface=ether4 new-connection-mark=in-ISP1
add action=mark-routing chain=output connection-mark=in-ISP1 new-routing-mark=ISP1 passthrough=no
add action=mark-connection chain=input in-interface=ether5 new-connection-mark=in-ISP2
add action=mark-routing chain=output connection-mark=in-ISP2 new-routing-mark=ISP2 passthrough=no

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether5

/ip route
add distance=1 gateway=192.168.100.1 routing-mark=ISP1
add distance=1 gateway=192.168.101.1 routing-mark=ISP2

/ip route rule
add action=lookup-only-in-table routing-mark=ISP1 table=ISP1
add action=lookup-only-in-table routing-mark=ISP2 table=ISP2
add action=lookup-only-in-table src-address=192.168.1.0/24 table=ISP1
add action=lookup-only-in-table src-address=192.168.2.0/24 table=ISP2


maximilian
Сообщения: 26
Зарегистрирован: 07 июн 2017, 00:00

mafijs писал(а):Эти два провйдера подключены по двум физически разным проводам ?


Да естественно.
Последний раз редактировалось maximilian 22 окт 2017, 16:57, всего редактировалось 1 раз.


Мои игрушки Mikrotik RB2011 RB3011 RB3011 RB3011rev2 RB4011 :men: еще парочка CAP 5acD2nD на закуску
maximilian
Сообщения: 26
Зарегистрирован: 07 июн 2017, 00:00

kt72ru писал(а):какие вбросы, это же примитив, решается в три клика мышки, но при условии что дефолтные маршруты статика
 конфиг
/ip address
add address=192.168.1.1/24 comment=User-Net-1 interface=bridge1 network=192.168.1.0
add address=192.168.2.1/24 comment=User-Net-2 interface=bridge2 network=192.168.2.0
add address=192.168.100.2/24 comment=ISP1 interface=ether4 network=192.168.100.0
add address=192.168.101.2/24 comment=ISP2 interface=ether5 network=192.168.101.0

/ip dhcp-client add dhcp-options=hostname,clientid disabled=no

/ip firewall mangle
add action=mark-connection chain=input in-interface=ether4 new-connection-mark=in-ISP1
add action=mark-routing chain=output connection-mark=in-ISP1 new-routing-mark=ISP1 passthrough=no
add action=mark-connection chain=input in-interface=ether5 new-connection-mark=in-ISP2
add action=mark-routing chain=output connection-mark=in-ISP2 new-routing-mark=ISP2 passthrough=no

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether5

/ip route
add distance=1 gateway=192.168.100.1 routing-mark=ISP1
add distance=1 gateway=192.168.101.1 routing-mark=ISP2

/ip route rule
add action=lookup-only-in-table routing-mark=ISP1 table=ISP1
add action=lookup-only-in-table routing-mark=ISP2 table=ISP2
add action=lookup-only-in-table src-address=192.168.1.0/24 table=ISP1
add action=lookup-only-in-table src-address=192.168.2.0/24 table=ISP2


В принципе понятно,
единственное вопрос,по /ip route rule , если мы промаркировали и зарулили маркированные по гитвеям, зачем с таблицей замут, я не понимаю.
И второй вопрос насчет маршрутов, айпишники провайдеров выдаются dhch, но они не меняются ибо белые, в этом случае уже не важно динамические маршруты или статика ?


Мои игрушки Mikrotik RB2011 RB3011 RB3011 RB3011rev2 RB4011 :men: еще парочка CAP 5acD2nD на закуску
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

единственное вопрос,по /ip route rule , если мы промаркировали и зарулили маркированные по гитвеям, зачем с таблицей замут, я не понимаю.

Код: Выделить всё

add action=lookup-only-in-table routing-mark=ISP1 table=ISP1
add action=lookup-only-in-table routing-mark=ISP2 table=ISP2

эти правила для правильной обратной маршрутизации пакетов инициированных из вне на IP микротика

Код: Выделить всё

add action=lookup-only-in-table src-address=192.168.1.0/24 table=ISP1
add action=lookup-only-in-table src-address=192.168.2.0/24 table=ISP2

эти правила для правильной маршрутизации локальных пользователей согласно их внешнему интерфейсу

И второй вопрос насчет маршрутов, айпишники провайдеров выдаются dhch, но они не меняются ибо белые, в этом случае уже не важно динамические маршруты или статика ?

как выдаются IP неважно, важно что-бы маршруты были прописаны статикой. IP можете получать по dhcp (правда не понятно зачем если они фиксированные), а вот дефолтные маршруты придется прописать руками.


maximilian
Сообщения: 26
Зарегистрирован: 07 июн 2017, 00:00

Спасибо за разъяснение, завтра попробую отпишусь о результате.


Мои игрушки Mikrotik RB2011 RB3011 RB3011 RB3011rev2 RB4011 :men: еще парочка CAP 5acD2nD на закуску
Ответить