Страница 1 из 7
Два провайдера - две сети непересекающихся
Добавлено: 20 окт 2017, 16:50
maximilian
Собственно у меня такая проблема, есть два провайдера и есть микротик, и две сети.
Что сделано, два провайдера выведены в ваны, два дхцп на каждую сеть, маскарады по сетям.
грубо говоря, цель примерно как распилить микротик на два, что бы эти сети были не пересекаемыми, каждая со своим провайдером.
на данный момент, в каждой сети свой проброс портов, и почему то , если два провайдера аплинк, и у которого дистанция меньше норм все, а вот у второго внешний интерфейс не але, тобишь стучись на него не стучись ничего не происходит , хотя по логам видно что байты на нужны порт идут. Если дистанцию ставить одинаковую то тут рандомом то один работает то второй.
(Если WAN2 дистанция 1, а WAN1 дистанция 2, то сервер, который проброшен через WAN1 - не виден.)
написал сумбурно, уточняйте непонятные моменты, хочу разобраться что не так. конфиг под спойлером.
# oct/20/2017 16:17:24 by RouterOS 6.40.3
# model = RouterBOARD 3011UiAS
/interface bridge
add name=bridge1
add name=bridge2
/ip pool
add name=dhcp2 ranges=192.168.2.150-192.168.2.254
add name=dhcp1 ranges=192.168.1.150-192.168.1.254
/ip dhcp-server
add address-pool=dhcp2 disabled=no interface=bridge2 lease-time=1d name=dhcp_2
add address-pool=dhcp1 disabled=no interface=bridge1 lease-time=1d name=dhcp_1
/interface bridge port
add bridge=bridge2 interface=ether05_master
add bridge=bridge1 interface=ether10_master
/ip address
add address=192.168.2.2/24 interface=ether05_master network=192.168.2.0
add address=192.168.1.1/24 interface=ether10_master network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=WAN2 use-peer-ntp=no
add default-route-distance=2 dhcp-options=hostname,clientid disabled=no interface=WAN1 use-peer-ntp=no
/ip dhcp-server lease
add address=192.168.1.133 client-id=1:0:c:29:1d:ad:77 comment="Old Server" mac-address=00:0C:29:1D:AD:77 server=dhcp_1
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.2 gateway=192.168.2.2 netmask=24
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN2 src-address=192.168.2.0/24
add action=masquerade chain=srcnat out-interface=WAN1 src-address=192.168.1.0/24
add action=netmap chain=dstnat dst-port=80 in-interface=WAN1 protocol=tcp to-addresses=192.168.1.133 to-ports=80
/ip route rule
add action=unreachable dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=unreachable dst-address=192.168.2.0/24 src-address=192.168.1.0/24
Re: Два провайдера - две сети непересекающихся
Добавлено: 21 окт 2017, 02:03
Vlad-2
Не будет тут жёсткого разделения микротика на два микротика.
Да, у микротика каждый порт - независим, но логика, система одна то.
Поэтому всё же самое правильно-простое решение: купить отдельный второй микротик и всё.
Каждый микротик будет шлюзом для своей сети, и всё будет работать.
Потом можно между микротиками сделать маршрутизацию и чтобы локалки или отдельные
узлы друг друга видели, вдруг там поиграться/фильмы посмотреть...
Ну а если не хочется простого-правильного решения, то тогда вперёд, к (мучениям):
на изучения маркировки, таблицы Мангл, создания правил по маркировки трафика,пакетов, и так далее
создания дополнительных таблиц маршрутизации, создания про-маркированных маршрутов.
И это уже другие познания, и другой уровень работы с микротиком.
И реализация опять же - она у каждого тренера/учителя/у каждого админа микротика - своя.
Нет правильного или не правильного решения, просто есть решения менее гибкие, есть более гибче,
удобнее.
И на форуме тут было не раз описано всё это, собрать воедино будет не просто, надо понимать и сущность
что нужно, применить логику, и плюс делать свою конфигурацию с учётом своих данных, интерфейсов и так далее...
Но эта информация доступна, есть и при желании всё можно сделать...
Re: Два провайдера - две сети непересекающихся
Добавлено: 21 окт 2017, 17:38
kt72ru
распилить легко, но при условии что маршрут до провайдера будет статика, а не по dhcp.
Re: Два провайдера - две сети непересекающихся
Добавлено: 21 окт 2017, 18:30
podarok66
kt72ru писал(а):распилить легко, но при условии что маршрут до провайдера будет статика, а не по dhcp.
Не надо вбросов в воздух. Либо по теме конкретно, либо никак. Тут читателей много, если бы все писали для того, чтобы отметится, такой бардак был бы.
To TC:
Посмотрите в сторону тем о балансировке, там есть описания, что и как делать. Если общими словами, уходить пакеты могут правильно по адресу, а вот приходя на Микротик обратно, пакетам надо конкретно указать, куда идти. Для этого очень удобна маркировка соединений, маршрутов и пакетов. Далее вам не составит труда разрулить трафик маршрутами, направив помеченный трафик в соответствующую сеть.
Re: Два провайдера - две сети непересекающихся
Добавлено: 21 окт 2017, 18:52
mafijs
maximilian писал(а):Собственно у меня такая проблема, есть два провайдера и есть микротик, и две сети.
Эти два провйдера подключены по двум физически разным проводам ?
Re: Два провайдера - две сети непересекающихся
Добавлено: 21 окт 2017, 19:08
kt72ru
какие вбросы, это же примитив, решается в три клика мышки, но при условии что дефолтные маршруты статика
/ip address
add address=192.168.1.1/24 comment=User-Net-1 interface=bridge1 network=192.168.1.0
add address=192.168.2.1/24 comment=User-Net-2 interface=bridge2 network=192.168.2.0
add address=192.168.100.2/24 comment=ISP1 interface=ether4 network=192.168.100.0
add address=192.168.101.2/24 comment=ISP2 interface=ether5 network=192.168.101.0
/ip dhcp-client add dhcp-options=hostname,clientid disabled=no
/ip firewall mangle
add action=mark-connection chain=input in-interface=ether4 new-connection-mark=in-ISP1
add action=mark-routing chain=output connection-mark=in-ISP1 new-routing-mark=ISP1 passthrough=no
add action=mark-connection chain=input in-interface=ether5 new-connection-mark=in-ISP2
add action=mark-routing chain=output connection-mark=in-ISP2 new-routing-mark=ISP2 passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether5
/ip route
add distance=1 gateway=192.168.100.1 routing-mark=ISP1
add distance=1 gateway=192.168.101.1 routing-mark=ISP2
/ip route rule
add action=lookup-only-in-table routing-mark=ISP1 table=ISP1
add action=lookup-only-in-table routing-mark=ISP2 table=ISP2
add action=lookup-only-in-table src-address=192.168.1.0/24 table=ISP1
add action=lookup-only-in-table src-address=192.168.2.0/24 table=ISP2
Re: Два провайдера - две сети непересекающихся
Добавлено: 22 окт 2017, 16:48
maximilian
mafijs писал(а):Эти два провйдера подключены по двум физически разным проводам ?
Да естественно.
Re: Два провайдера - две сети непересекающихся
Добавлено: 22 окт 2017, 16:56
maximilian
kt72ru писал(а):какие вбросы, это же примитив, решается в три клика мышки, но при условии что дефолтные маршруты статика
/ip address
add address=192.168.1.1/24 comment=User-Net-1 interface=bridge1 network=192.168.1.0
add address=192.168.2.1/24 comment=User-Net-2 interface=bridge2 network=192.168.2.0
add address=192.168.100.2/24 comment=ISP1 interface=ether4 network=192.168.100.0
add address=192.168.101.2/24 comment=ISP2 interface=ether5 network=192.168.101.0
/ip dhcp-client add dhcp-options=hostname,clientid disabled=no
/ip firewall mangle
add action=mark-connection chain=input in-interface=ether4 new-connection-mark=in-ISP1
add action=mark-routing chain=output connection-mark=in-ISP1 new-routing-mark=ISP1 passthrough=no
add action=mark-connection chain=input in-interface=ether5 new-connection-mark=in-ISP2
add action=mark-routing chain=output connection-mark=in-ISP2 new-routing-mark=ISP2 passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether5
/ip route
add distance=1 gateway=192.168.100.1 routing-mark=ISP1
add distance=1 gateway=192.168.101.1 routing-mark=ISP2
/ip route rule
add action=lookup-only-in-table routing-mark=ISP1 table=ISP1
add action=lookup-only-in-table routing-mark=ISP2 table=ISP2
add action=lookup-only-in-table src-address=192.168.1.0/24 table=ISP1
add action=lookup-only-in-table src-address=192.168.2.0/24 table=ISP2
В принципе понятно,
единственное вопрос,по /ip route rule , если мы промаркировали и зарулили маркированные по гитвеям, зачем с таблицей замут, я не понимаю.
И второй вопрос насчет маршрутов, айпишники провайдеров выдаются dhch, но они не меняются ибо белые, в этом случае уже не важно динамические маршруты или статика ?
Re: Два провайдера - две сети непересекающихся
Добавлено: 22 окт 2017, 19:49
kt72ru
единственное вопрос,по /ip route rule , если мы промаркировали и зарулили маркированные по гитвеям, зачем с таблицей замут, я не понимаю.
Код: Выделить всё
add action=lookup-only-in-table routing-mark=ISP1 table=ISP1
add action=lookup-only-in-table routing-mark=ISP2 table=ISP2
эти правила для правильной обратной маршрутизации пакетов инициированных из вне на IP микротика
Код: Выделить всё
add action=lookup-only-in-table src-address=192.168.1.0/24 table=ISP1
add action=lookup-only-in-table src-address=192.168.2.0/24 table=ISP2
эти правила для правильной маршрутизации локальных пользователей согласно их внешнему интерфейсу
И второй вопрос насчет маршрутов, айпишники провайдеров выдаются dhch, но они не меняются ибо белые, в этом случае уже не важно динамические маршруты или статика ?
как выдаются IP неважно, важно что-бы маршруты были прописаны статикой. IP можете получать по dhcp (правда не понятно зачем если они фиксированные), а вот дефолтные маршруты придется прописать руками.
Re: Два провайдера - две сети непересекающихся
Добавлено: 22 окт 2017, 23:15
maximilian
Спасибо за разъяснение, завтра попробую отпишусь о результате.