Внедрить второй Mikrotik в сеть

Обсуждение оборудования и его настройки
Ответить
Mattew
Сообщения: 6
Зарегистрирован: 13 сен 2022, 15:21

Ситуация - есть офис, в нём стоит RB2011UiAS-2HnD в него входят 2 провайдера, на нём подключены два WG интерфейса, и от него уже идёт подключение к двум свичам, Ubiquti AP, камерам.
Подсеть на все устройства одна. 192.168.88.0
Прокинуто немного портов, ну и прописаны роуты для ВПН конектов, ( часть устройств напрямую через провайдеров, часть через ВПН, и некоторые айпишники через впн у всех).
Начал замечать что микрот не вытягивает это всё дело (иногда часть устройств отпадают на пару сек, а так как есть SIP-телефония - это критично), и как раз появился второй такой же RB2011UiAS-2HnD.
Не могу понять как правильно разбить это дело на 2 роутера, чтоб снизить нагрузку.
В идеале чтоб на одном был DHCP, а второй занимался провайдерами, фаерфолом и роутингом.
Если просто один свич втыкнуть в первый, а второй в второй, то непонятно что делать с роутами по WG
Спасибо


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Снятие с первого DHCP особо его не разгрузит.
Вот WG вынести на вторую железку, а на первом оставить NAT и firewall - нормальный вариант.


Telegram: @thexvo
Mattew
Сообщения: 6
Зарегистрирован: 13 сен 2022, 15:21

xvo писал(а): 13 сен 2022, 16:38 Вот WG вынести на вторую железку, а на первом оставить NAT и firewall - нормальный вариант.
В таком случае как я смогу разграничивать роуты?
Для тех ресурсов которые всегда на впн это ок, но вот для машины я ж не смогу с второго микрота контролировать кто будет выходить чистым, а кто под ВПН
У меня все машины маркируются в мангле и под эту маркировку роут выдаёт WG
Исключения (камеры, охрана) я добавляю им другую маркировку и они идут чистыми и на второго провайдера, и свою мину время от времени перекидываю, на резервный инет, или резервный впн и прочее.


Mattew
Сообщения: 6
Зарегистрирован: 13 сен 2022, 15:21

Можно конечно соединить их через 2 порта, один чистый, второй под впн, и уже на основном прописывать в роутах кто куда выходит


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Mattew писал(а): 13 сен 2022, 17:52 У меня все машины маркируются в мангле и под эту маркировку роут выдаёт WG
Ну вот и отправлять их на второй микрот, а уже с него все уйдет в туннели.


Telegram: @thexvo
Mattew
Сообщения: 6
Зарегистрирован: 13 сен 2022, 15:21

xvo писал(а): 13 сен 2022, 21:46 Ну вот и отправлять их на второй микрот, а уже с него все уйдет в туннели.
Так я е писал что маркировки у машин могут быть разные, одни на один ВГ, другие без, третьи на другой ВГ


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну так и получится: что без маркировок, слать на первом роутере наружу .
Что на один WG - например в одном vlan'е на второй роутер отправлять, на другой WG - в другом vlan'е.
И там две разные vrf.
Ну или если там не шибко сложные критерии маркировки, то может получится на втором роутере это без mangle разрулить - чисто через route rules, даже без vlan'ов и vrf.
Но в принципе, даже если на втором роутере уже просто дублировать маркировку в mangle, но без nat'а и firewall - им уже обоим попроще будет, чем когда все на первом.


Telegram: @thexvo
Mattew
Сообщения: 6
Зарегистрирован: 13 сен 2022, 15:21

xvo писал(а): 14 сен 2022, 12:36 Ну или если там не шибко сложные критерии маркировки, то может получится на втором роутере это без mangle разрулить - чисто через route rules, даже без vlan'ов и vrf.
Но в принципе, даже если на втором роутере уже просто дублировать маркировку в mangle, но без nat'а и firewall - им уже обоим попроще будет, чем когда все на первом.
понимаю, что ничего не понимаю.
а как можно её дублировать?
там критерии - все кроме энных айпи получают маркировку VPN-1
остальные уже прописаны каждый айпи отдельно


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Mattew писал(а): 14 сен 2022, 12:46 а как можно её дублировать?
Ручками :-)
Но конечно, если там список отдельных IPшников, да ещё и добавляется/удаляется что-то, то проще с двумя vrf сделать.


Telegram: @thexvo
Ответить