два провайдера настройка маршрутиризации

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Приветсвую, всех !

Есть dual wan на Микротике. Wan1 получает статику с другого роутера, который выходит в Интернет. Wan-ом2 является ppp-out интерфейс модема со статическим IP.

Может кто-нибудь помочь - объяснить какие именно нужны правила в мангл и маршруты чтобы входящие соединения с обоих провайдеров уходили туда откуда пришли.

Никак не пойму такую вещь - кто-то маркирует цепочки input и output. Кто-то forward и postroiting. Перечитал кучу инструкций, но главного так и не понял. Как лучше и правильно то это делать ? Один админ сказал мне, что маркировать input вообще не правильно - устарелые все инструкции, кто маркирует в цепочке Инпут. Это так ?

В частности проблема в том, что на второй из WAN-ов снаружи приходят VPN-клиенты PPTP-сервера. Из-за неправильно настроенный манглов есть предположение, что исходящее соединение для pptp-клиента уходит в первый WAN.
Оба WAN должны использоваться одновременно с одинаковыми дистанциями.

Еще раз вопрос: как правильно промаркировать соединения и сделать роуты чтобы то, что пришло с wan1 ушло бы на wan1 и также соответственно и с wan2

С внутренней сети, как я понимаю, все равно куда кто уходит, а pptp-соединение должно уходить в WAN2. "Ответный трафик pptp-сервера для клиента" это же трафик, генерируемый самим роутером, - в какую цепочку он попадает (output или ...?)

Пожалуйста, тому, кто ответит нормально, заранее респект ! Не отсылайте, пожалуйста, к руководствам. Если не сочтете за труд положите в ответ маршруты и манглы и сильно не ругайте ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

И еще тупой вопрос - если создается два дефолтных маршрута для каждого из провайдеров, маркированных метками - на кой в инструкциях везде пишут, что нужен третий маршрут не маркированный ничем (для таблицы main) очевидно. Если все соединения маркируются и уходят по меткам зачем маршрут не маркированный нужен и почему без него ничего не работает - никак не могу понять ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Недавно разъяснял и помогал тут человеку,
прочтите моё(и) сообщения

viewtopic.php?p=54361#p54361



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Vlad-2, как всегда спасибо Вам большое. Вы, пожалуй, самый терпеливый, "учитель" на форуме - никогда не оставляете вопрошающих без внимания и стараясь не обижать никого сделать так, чтобы вопрошающий понял, в отличии от некоторых "звездных" товарищей ...

Из Ваших ответов в указанной Вами теме, видно, что Вы метите вообще все цепочки трафика - и input и forward и preroiting и output. Не могли бы Вы (для чайника) объяснить в кратце какие из них будут использоваться для "правильного" коннекта в виде VPN подключения. Правильно ли я понимаю, что для нормальной работы VPN-сервера (если он естественно имея один постоянный белый IP - работает через один из WAN-оф) достаточно метить только цепочки Input и Output, ведь соединения в этом случае устанавливаются с самим маршрутиризатором, который является VPN-сервером ?
То есть для нормальной работы этой части системы правила для мечения цепочек prerouting и forward не нужны - они используются для корректной работы соединений с сетями за роутером - правильно ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 19 июл 2018, 15:48 Vlad-2, как всегда спасибо Вам большое. Вы, пожалуй, самый терпеливый, "учитель" на форуме - никогда не оставляете вопрошающих без внимания и стараясь не обижать никого сделать так, чтобы вопрошающий понял, в отличии от некоторых "звездных" товарищей ...
Все мы люди, некоторые вопросы меня тоже иногда вводят в шок. Я посижу, морально остыну,
подумаю, прочитаю раза 5, и пробую ответить. Иногда я более глубоко пытаюсь понять смысл
повествования, чем надо, поэтому иногда (хи-хи) часто мои ответы не однострочные.
Sertik писал(а): 19 июл 2018, 15:48 Из Ваших ответов в указанной Вами теме, видно, что Вы метите вообще все цепочки трафика - и input и forward и preroiting и output. Не могли бы Вы (для чайника) объяснить в кратце какие из них будут использоваться для "правильного" коннекта в виде VPN подключения.
Боюсь что тут мы оба "чайника", ибо курс "Трафик контрол" для меня (по ощущениям сложен) и если я был сейчас в Москве,
или в городе где давали бы этот курс, наверно я бы не пошёл. Я морально кажется ещё не готов, особенно летом. :-)

Я много инструкций видел, много читал и можно сказать я сделал по своему типу, мой конфиг позволяет юзать сразу
все каналы(в какой-то степени параллельности), ответы идут туда куда надо, а также естественно всё это можно слегка
управлять, и заворачивать (Васю туда, Машу суда).

На счёт маркировки, помечаю всё, так как это и работает и так правильно, ибо трафиком надо управлять, и для
этого надо на всех его промежутках видеть/контролировать.
Sertik писал(а): 19 июл 2018, 15:48 Правильно ли я понимаю, что для нормальной работы VPN-сервера (если он естественно имея один постоянный белый IP - работает через один из WAN-оф) достаточно метить только цепочки Input и Output, ведь соединения в этом случае устанавливаются с самим маршрутиризатором, который является VPN-сервером ?
Нет (я думаю).
ВПН это по сути тоже самое подключение, что RDP, что другие сервисы, Вы не просто делаете подключение, оно же Вам зачем то надо!?
Какой смысл, если я помечу ВПН на вход и на выход, ведь у микротика не всё что попало - сразу и вышло?!
Sertik писал(а): 19 июл 2018, 15:48 То есть для нормальной работы этой части системы правила для мечения цепочек prerouting и forward не нужны - они используются для корректной работы соединений с сетями за роутером - правильно ?
Думаю, что если сделать ТОЛЬКО маркировку на вход и выход, и сделать правильный маршрут (с этой же маркировкой) в таблице маршрутизации,
возможно поднятие ВПН по реальному адресу будет корректно отрабатываться, то есть роутер не перепутает, он будет знать куда отдавать ответные пакеты.
(не в шлюз по-умолчанию, в рамках реальных адресаций).

НО будет ли ВПН-трафик внутри работать, и всё остальное? Пойдут ли данные по такому ВПНу каналу?
Не пробовал, но думаю что "правильно" не будет работать.

P.S. (на счёт правильности...обобщённо)
один раз видел такую картину, в другом городе провайдер отключил контору(не уплата), но отключение
у них заключалось в том, что запрещены устанавливать новые подключение, старые сохранились, и что я вижу,
а вижу что туннель у меня поднят с ними, даже внутри туннеля параметр keepalive стоит и отрабатывает,
но внутри туннеля трафика нету, а так сразу и не понять....маршруты исправны, всё должно работать,
но по итогу не работает.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Спасибо ! Сегодня попробую Вашу схему вечерком. Не могли бы вы выложить к ней маршруты точные ( как я понимаю их должно быть три да ? два меченных для соответствующих Ванов и один общий без метки с указанием двух шлюзов в нем так ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

И еще вопрос. Если в локальной сети будут хосты, адреса которых "не засунуты" ни в один из адрес-листов куда к ним и от них трафик пойдет ? Через главную таблицу маршрутиризации - не меченную, то есть при указании маршрута вида 0.0.0.0/0 gateway WAN1, WAN2 такие "клиенты" будут равноценно пытаться ходить через одного и другого провайдера типа "балансировки" ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 19 июл 2018, 16:55 Спасибо ! Сегодня попробую Вашу схему вечерком. Не могли бы вы выложить к ней маршруты точные ( как я понимаю их должно быть три да ? два меченных для соответствующих Ванов и один общий без метки с указанием двух шлюзов в нем так ?
В моём примере я их приводил, там лишь скрыт адрес шлюза моего провайдера. Нового ничего там нет.

Должно быть столько шлюзов с маркировкой, сколько Вы каналов сделали. Ведь у каждого провайдера
свой шлюз/интерфейс
+
И для самого микротика, как для обычного скажем компа - мы делаем обычный шлюз, такой же как
обычно делаем без маркировки, я не использую сразу два шлюза, это не совсем правильно в данном варианте.
Микротику нужен шлюз по умолчанию чтобы всё что не явно описано, плюс то, что сам
микротик как устройство делает (исходящие соединения) - он же должен их куда-то посылать (по-умолчанию)?!
(теже ДНС запросы?!)

Если делать маршрут сразу с двумя шлюзами, у Вас будет как бы перебор между провайдерами,
этого в данном случаи нам не нужно.
Также напоминаю, команда ПИНГ и Трасерт в микротике имеют возможность
при настройки роутера явно выбирать через какой маршрут с маркировками посылать
запросы и тем самым корректно и сразу видеть как работает и отрабатывает настройки роутер.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 19 июл 2018, 17:01 И еще вопрос. Если в локальной сети будут хосты, адреса которых "не засунуты" ни в один из адрес-листов куда к ним и от них трафик пойдет ? Через главную таблицу маршрутиризации - не меченную, то есть при указании маршрута вида 0.0.0.0/0 gateway WAN1, WAN2 такие "клиенты" будут равноценно пытаться ходить через одного и другого провайдера типа "балансировки" ?
Я выше ответил, нельзя использовать сразу в одном правиле два шлюза, у Вас может и будет возникать
такая ситуация, что зайдя на SSL страницу или скажем работая в онлайн-банке, первая часть
запросов уйдёт через первого провайдера, а вторая через второго = банк сразу не будет работать.

Поэтому я не маркированный шлюз по-умолчанию делаю на основного провайдера, и тогда мне не надо клиентов
засовывать всех(или условно всех) даже в этого основного провайдера, главное нужных завернуть во второго и всё.

Опять же, основных не маркированных шлюзов может быть больше одного,но с разным параметром дистанции,
то есть у нас основной не маркированный шлюз на прова1, дистанция1, а второй такой же шлюз, на прова2, с дистанцией
тоже два, и если первый упадёт, второй шлюз станет главным, и все туда всё равно пойдут.

P.S. (уговорили, даю скрин с роутера, с другого примера)
Там всё просто и тупо, первый канал большой, мощный и основной, кого то я
заруливаю во второй или в четвёртый канал. Третий провайдер был, но отказались,
поэтому логику оставил, 1, 2 и 4-й провайдер. Промаркированы они также последовательно.
Теперь обратите внимание (красным) выделил, основные маршруты, первый пров основной,
если он упадёт, перейдёт роутер по дефолту на второго провайдера (дистанция 2), и потом
уже на 4го провайдера (дистанция 3).


Изображение



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

1. Так у вас маршруты еще и рекурсивные !

2. Цитата: Я выше ответил, нельзя использовать сразу в одном правиле два шлюза, у Вас может и будет возникать
такая ситуация, что зайдя на SSL страницу или скажем работая в онлайн-банке, первая часть
запросов уйдёт через первого провайдера, а вторая через второго = банк сразу не будет работать.

Почему нельзя ? А как же в большинстве инструкций так и делают - не правильно ?
Вот, например, .... http://unixteam.ru/content/mikrotik-i-dva-provaydera

3. Если дефолтный маршрут немаркированный делается только на одного провайдера - это совсем не интерестно. Если два дефолтных немаркированных с разными дистанциями - это еще куда ни шло.
Но почему в одном то маршруте нельзя указать оба шлюза ? Наверняка как то можно так делать ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Ответить