Выход в интернет через туннель.

Обсуждение оборудования и его настройки
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

В моём пред-последнем сообщении используется правила MANGLE
Почитайте о них....одного НАТа тут мало.

Я же расписал всё в своём предыдущем сообщении, такое ощущение...что Вы его как-то пропустили.
Я подробно описал(Вы же просили), остальное надо гуглить и уже внутри себя собрать
логическую цепочку и решить задачу.

Реально, Вы усложняете то, что решается за 10-15 минут.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
dmitriyK
Сообщения: 22
Зарегистрирован: 05 дек 2018, 17:47

=) спасибо.
все получилось.
Сделал так:
NAT
chain=srcnat action=accept src-address=192.168.10.22 dst-address=!192.168.10.0/24 out-interface=ipip-tunnel1 log=no log-prefix=""
Route
A S 0.0.0.0/0 ipip-tunnel1 1


dmitriyK
Сообщения: 22
Зарегистрирован: 05 дек 2018, 17:47

Добрый вечер!
Vlad-2 очень нужна ваша помощь)
Задача немного усложнилась, изначально мне нужно было прокинуть трафик определенного пользователя в туннель, теперь добавилось несколько моментов.
1. В главном офисе (R1) 2 внешних ip адреса 1.1.1.2 и 3.3.3.2, USB lte modem (hilink) c адресом 192.168.8.1.
2. R2 без изменений.
3. R3 в проекте.
Задача из внутренней сети R1 часть пользователей выпускать в интернет через интернет lte, R2, R3, в офисе R1 2 внешних адреса, 1.1.1.2 для выхода в интернет всех оставшихся пользователей, 3.3.3.2 выходит в интернет только 192.168.10.2, и обратно 3.3.3.2:2222->192.168.10.2:2222
После перепрошивки модема lte, mikrotik в R1 был сброшен до заводских настроек, так как lte решительно не хотел работать с существующей конфигурацией.
обновленная схема во вложении.
Изображение

Получилось:
192.168.10.23 выходит в интернет через lte
192.168.10.22 выходит в интернет через ipip-tunnel1
192.168.10.2 выходит в интернет с адресом 3.3.3.2
Проброс с 3.3.3.2 порт 2222 приводит к 192.168.10.2:2222

Не получилось
192.168.10.0/24 нет интернета.

Конфигурация выборочно на R1.
Изображение

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=ip_mail \
passthrough=yes src-address-list=ip_2222
add action=mark-routing chain=prerouting new-routing-mark=ip_user_lte \
passthrough=yes src-address-list=ip_user_lte
add action=mark-routing chain=prerouting new-routing-mark=ip_user_tsvet \
passthrough=yes src-address-list=ip_user_ipip-tunnel1

/ip firewall nat
add action=accept chain=srcnat comment=USER_ipip-tunnel1 disabled=yes \
dst-address-list=net_ipip-tunnel1 out-interface=ipip-tunnel1 src-address-list=\
net_local
add action=masquerade chain=srcnat comment=USER_LTE disabled=yes \
dst-address-list=!net_local out-interface=lte1 src-address-list=\
ip_user_lte
add action=src-nat chain=srcnat comment=2222_OUT routing-mark=ip_2222 \
src-address-list=ip_mail to-addresses=3.3.3.2
add action=dst-nat chain=dstnat comment=2222 dst-port=2222 \
protocol=tcp to-addresses=192.168.10.2
add action=src-nat chain=srcnat comment=USER_OUT out-interface=bridge_WAN \
src-address=192.168.10.0/24 to-addresses=1.1.1.2


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Два раза почитал, офигел, и не понял.... Сети Вы тусуете, как карты, туда-сюда.. :sh_ok:

Скажите, я понимаю с одним адресом надо сделать, а всю сетку зачем?
А не проще нормальный интернет довести туда, куда надо....

И главное - сначала добиваемся, что нужный нам адрес/сеть попадают
на нужный роутер с Интернетом, а потом уже (И только на последнем роутере)
и делаем НАТ этому компу/сети.
Вы сделали что сети Ваша попадает на роутер нужный с Интернетом?

Универсальное решение на будущее:
Или на центральный роутер (для той сети) приведите интернет, и уже на центральном
роутере этой сети делайте/давайте Интернет по-списку.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
dmitriyK
Сообщения: 22
Зарегистрирован: 05 дек 2018, 17:47

Как правильно?
Маркировать, конкретизировать роут, не понимаю, что делать с натом?(

Я в тупике…


dmitriyK
Сообщения: 22
Зарегистрирован: 05 дек 2018, 17:47

«Универсальное решение на будущее:
Или на центральный роутер (для той сети) приведите интернет, и уже на центральном
роутере этой сети делайте/давайте Интернет по-списку.»

Ну я думал, что я привёл интернет на центральный роутер R1, с помощью туннелей.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

dmitriyK писал(а): 23 мар 2019, 09:08 Как правильно?
Маркировать, конкретизировать роут, не понимаю, что делать с натом?(
Я в тупике…
Я уже раза 3 повторяю в своих постах!
1) сначала мы находим тех кого надо поворачивать налево, то есть создаёте адрес-лист и туда
помещаете тех, кого будет потом помечать.
2) создаёте правило маркировки и в нём указываете в качестве источника = этот адрес лист.
Всё, правило более не трогаем, только добавляем или удаляем адреса в этом адрес листе
3) создаём маршрут с указанием этой маркировки и указанием загонять этот помеченный
трафик туда-то (на другой роутер).

ПОСЛЕ этого, уже отлавливаем на другом роутере (видим что приходят наши адреса которые есть
в адрес-листе). НАТА тут ни там не надо пока включить. Задача сначала поймать, увидеть что
Ваши первые действия были правильны...что приходят на пограничный роутер те кто нужен.

И после лишь этого....Вы добавляете /включаете для них НАТ правила.

P.S.
Я стараюсь на объектах иметь свой Интернет, то есть роутер стоит, интернет на нём есть.
Пусть он интернет будет дорогим, потом будем экономить, и заворачивать, но каждый роутер,
это отдельная ячейка в системе, с отдельным подключением....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
dmitriyK
Сообщения: 22
Зарегистрирован: 05 дек 2018, 17:47

ПЕРВАЯ ЧАСТЬ
вывод в правила, правильно?
1. Интернет для пользователей
1.1 АДРЕС ЛИСТ net_local - 192.168.10.0/24
1.2 NAT
add action=src-nat chain=srcnat dst-address-list=!local_net src-address-list=\
net_local to-addresses=1.1.1.2
1.3 Маршрут
A S 0.0.0.0/0 1.1.1.1 1
ADC 1.1.1.0/24 1.1.1.2 bridge_WAN 0
ADC 192.168.10.0/24 192.168.10.1 bridge_LAN 0

2.1 АДРЕС ЛИСТ ip_2222 - 192.168.10.2/24
2.1.1 Выход в интернет с адреса предоставленного провайдером в офисе R1
add action=src-nat chain=srcnat comment=2222_OUT \
src-address-list=ip_2222 to-addresses=3.3.3.2
2.1.2 Доступ из интернета по адресу
add action=dst-nat chain=dstnat comment=2222 dst-address-list=ip_public dst-port=2222 \
protocol=tcp to-addresses=192.168.10.2

3. Выход через LTE
3.1 адрес лист ip_user_lte
3.2 Маркируем маршрут ip_user_lte
add action=mark-routing chain=prerouting new-routing-mark=ip_user_lte \
passthrough=yes src-address-list=ip_user_lte
3.3 Маршрут
S 0.0.0.0/0 192.168.8.1 1 ip_user_lte
3.4 NAT
add action=masquerade chain=srcnat comment=USER_LTE disabled=yes \
dst-address-list=!net_local out-interface=lte1 src-address-list=\
ip_user_lte


a1dar
Сообщения: 1
Зарегистрирован: 24 июл 2022, 08:28

Добрый день!
У меня такая же задача. Есть три микромира объединённые VPN туннелями.
Микротик 1:
WAN 1.1.1.1
LAN 192.168.1.0/24
VPN IP 192.168.100.1
Микротик 2:
WAN 2.2.2.2
LAN 192.168.2.0/24
VPN IP 192.168.100.3
Микротик 3:
WAN 3.3.3.3
LAN 192.168.25.0/24
VPN IP 192.168.100.2

Микротик 2 и 3 подключаются к микротику 1.

За микротиком 3 находятся RDP сервер. Мне нужно, что бы сервер с, например, IP 192.168.25.2 выходил в интернет через микротик 2, а не свой микротик 3.

Не могли бы вы по подробней написать, что и как настроить.

Заранее спасибо!


Ответить