Суть в том, что на Mikrotik организован HOTSPOT, то есть -> дхцп сервер для WIFI клиентов -> NAT все клиентов под внешник -> шлюз по умолчанию для выхода в инет.
Но стало быть необходимым на этом же Микротике организовать маршруты для других сетей и у которых должен быть свой шлюз по умолчанию (отлинчый от шлюза для HOTSPOT)
И как быть с таким вопросом? Кто встречался с данными задачи очень жду советов
два роутера в одном mikrotik
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
так а в чем проблема то? Оставляйте хотспот на нужной сети, а для отдельной свои правила
Есть интересная задача и бюджет? http://mikrotik.site
-
vnikolaev
- Сообщения: 100
- Зарегистрирован: 14 окт 2015, 17:30
проблема в том, что через этот микротик должна проходить другая сеть в которой этот микртотик является шлюзом и далее уже через шлюз по умолчанию происходит дальнейший выход в инет.
Грубо говоря:
Сеть HOTSPOT все настроено на микротик:
я-10.7.2.10/24->gw-10.7.2.1-NAT-89.255.95.240->default gw 89.255.95.1
Другая сеть для выхода в инет(проводная)
я-10.135.180.10->gw-10.135.180.254->!!!default gw на сервер NAT и shaping!!! -> default gw, в зависимости от сегмента, к примеру 89.255.92.134
В общем такая картина получается. И мне нужно организовать, что выделил знаком "!!!", то есть ещё один роут для дальнейшей обработки. Загвостка в том, что у меня есть уже дефолтный роут для HOTSPOT, который использует другой маршрут, более простой. Надеюсь подробно описал)
В общем как мне сделать два маршрута по умолчанию для разных сетей и в которых должны быть выходы в инет.
Грубо говоря:
Сеть HOTSPOT все настроено на микротик:
я-10.7.2.10/24->gw-10.7.2.1-NAT-89.255.95.240->default gw 89.255.95.1
Другая сеть для выхода в инет(проводная)
я-10.135.180.10->gw-10.135.180.254->!!!default gw на сервер NAT и shaping!!! -> default gw, в зависимости от сегмента, к примеру 89.255.92.134
В общем такая картина получается. И мне нужно организовать, что выделил знаком "!!!", то есть ещё один роут для дальнейшей обработки. Загвостка в том, что у меня есть уже дефолтный роут для HOTSPOT, который использует другой маршрут, более простой. Надеюсь подробно описал)
В общем как мне сделать два маршрута по умолчанию для разных сетей и в которых должны быть выходы в инет.
-
WhiteWolf
- Сообщения: 55
- Зарегистрирован: 15 сен 2015, 09:10
- Откуда: НСК
Routing Mark в помощь.
-
vnikolaev
- Сообщения: 100
- Зарегистрирован: 14 окт 2015, 17:30
Принцип работы routing mark относительно понятен исходя из множества мануалов, но все-равно рабочий конфиг сделать не получается. У многих мануалы по балансировкам/резерва трафика.
Мне же нужно чтобы один трафик(трафик hot spot) всегда ходил через один дефолтный шлюз, а другой трафик ходил через другой дефолтный шлюз. То есть грубо говоря два провайдера и 1 микротик, но фактически все в одном провайдере, только нужно два разных маршрута с DST-ADDRESS 0.0.0.0/0
Что имеем:
ip address print
ADDRESS NETWORK INTERFACE
10.7.2.1/24 10.7.2.0 vlan_702 - интерфейс для hotspot
10.135.180.254/24 10.135.180.0 vlan180 - интерфейс для lan, которую нужно отправлять на другой дефолтный шлюз
10.135.181.254/24 10.135.181.0 vlan181 - интерфейс для lan, которую нужно отправлять на другой дефолтный шлюз
ADC 89.255.95.0/24 89.255.95.240 ether2
ip routes print
DST-ADDRESS PREF-SRC GATEWAY
A S 0.0.0.0/0 89.255.95.1 - дефотный шлюз для сети hotspot
ADC 10.7.2.0/24 10.7.2.1 vlan_702
ADC 172.16.180.0/24 172.16.180.1 vlan180
ADC 172.16.181.0/24 172.16.181.1 vlan181
ip firewall nat print
chain=srcnat action=src-nat to-addresses=89.255.95.240
src-address=10.7.2.0/24 log=no
Что нужно:
DST-ADDRESS PREF-SRC GATEWAY
0.0.0.0/0 89.255.93.89
для сетей
ADDRESS NETWORK INTERFACE
ADC 172.16.180.0/24 172.16.180.1 vlan180
ADC 172.16.181.0/24 172.16.181.1 vlan181
Что я делал:
Создал влан vlan99_ptp_serv, в котором будет соединение с нужным устройством, подразумевается p-t-p и нужно нетегированное соединение, но во влане. Далее этот влан я повесил на бридж интерфейс - bridge_vlan99_ptp_serv, далее уже бридж повесил на нужный порт sfp-sfpplus1 и в заключении задал ip адрес в этом бридже 89.255.93.90/29
Опыта работы с микротиком не так много, только настройка несложных конфигов и так далее. Нашел множество мануалов и нашел наиболее подходящий к моей задаче:
я создал списки адресов
/ip firewall address-list> print
0 X list_10.135.180 10.135.180.0/24
1 X list_10.135.181 10.135.181.0/24
5 X hot_spot_list 10.7.2.0/24
Создал правила Используя цепочку prerouting и таблицу mangle
ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=prerouting action=mark-routing new-routing-mark=SERV
passthrough=yes connection-state=new dst-address-list=list_10.135.180
log=no log-prefix=""
1 X chain=prerouting action=mark-routing new-routing-mark=SERV
passthrough=yes connection-state=new dst-address-list=list_10.135.181
log=no log-prefix=""
3 X chain=prerouting action=mark-routing new-routing-mark=hotspot
passthrough=yes connection-state=new dst-address-list=hot_spot_list
log=no log-prefix=""
Ну и в настройках на каждом шлюзе я добавил соответствующий Routing Mark.
Для
0.0.0.0/0 89.255.95.1 Routing Mark SERV
0.0.0.0/0 89.255.93.8 Routing Mark hotspot
Итог работы - ничего не работает, когда делаю роутинг марк. Если сможете помочь буду очень благодарен
Мне же нужно чтобы один трафик(трафик hot spot) всегда ходил через один дефолтный шлюз, а другой трафик ходил через другой дефолтный шлюз. То есть грубо говоря два провайдера и 1 микротик, но фактически все в одном провайдере, только нужно два разных маршрута с DST-ADDRESS 0.0.0.0/0
Что имеем:
ip address print
ADDRESS NETWORK INTERFACE
10.7.2.1/24 10.7.2.0 vlan_702 - интерфейс для hotspot
10.135.180.254/24 10.135.180.0 vlan180 - интерфейс для lan, которую нужно отправлять на другой дефолтный шлюз
10.135.181.254/24 10.135.181.0 vlan181 - интерфейс для lan, которую нужно отправлять на другой дефолтный шлюз
ADC 89.255.95.0/24 89.255.95.240 ether2
ip routes print
DST-ADDRESS PREF-SRC GATEWAY
A S 0.0.0.0/0 89.255.95.1 - дефотный шлюз для сети hotspot
ADC 10.7.2.0/24 10.7.2.1 vlan_702
ADC 172.16.180.0/24 172.16.180.1 vlan180
ADC 172.16.181.0/24 172.16.181.1 vlan181
ip firewall nat print
chain=srcnat action=src-nat to-addresses=89.255.95.240
src-address=10.7.2.0/24 log=no
Что нужно:
DST-ADDRESS PREF-SRC GATEWAY
0.0.0.0/0 89.255.93.89
для сетей
ADDRESS NETWORK INTERFACE
ADC 172.16.180.0/24 172.16.180.1 vlan180
ADC 172.16.181.0/24 172.16.181.1 vlan181
Что я делал:
Создал влан vlan99_ptp_serv, в котором будет соединение с нужным устройством, подразумевается p-t-p и нужно нетегированное соединение, но во влане. Далее этот влан я повесил на бридж интерфейс - bridge_vlan99_ptp_serv, далее уже бридж повесил на нужный порт sfp-sfpplus1 и в заключении задал ip адрес в этом бридже 89.255.93.90/29
Опыта работы с микротиком не так много, только настройка несложных конфигов и так далее. Нашел множество мануалов и нашел наиболее подходящий к моей задаче:
я создал списки адресов
/ip firewall address-list> print
0 X list_10.135.180 10.135.180.0/24
1 X list_10.135.181 10.135.181.0/24
5 X hot_spot_list 10.7.2.0/24
Создал правила Используя цепочку prerouting и таблицу mangle
ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=prerouting action=mark-routing new-routing-mark=SERV
passthrough=yes connection-state=new dst-address-list=list_10.135.180
log=no log-prefix=""
1 X chain=prerouting action=mark-routing new-routing-mark=SERV
passthrough=yes connection-state=new dst-address-list=list_10.135.181
log=no log-prefix=""
3 X chain=prerouting action=mark-routing new-routing-mark=hotspot
passthrough=yes connection-state=new dst-address-list=hot_spot_list
log=no log-prefix=""
Ну и в настройках на каждом шлюзе я добавил соответствующий Routing Mark.
Для
0.0.0.0/0 89.255.95.1 Routing Mark SERV
0.0.0.0/0 89.255.93.8 Routing Mark hotspot
Итог работы - ничего не работает, когда делаю роутинг марк. Если сможете помочь буду очень благодарен
-
WhiteWolf
- Сообщения: 55
- Зарегистрирован: 15 сен 2015, 09:10
- Откуда: НСК
А почему у Вас в правилах dst-address-list?
-
vnikolaev
- Сообщения: 100
- Зарегистрирован: 14 окт 2015, 17:30
это да, непонятно почему я засунул в dst, поменял на src и все-равно инет сразу отваливается
-
vnikolaev
- Сообщения: 100
- Зарегистрирован: 14 окт 2015, 17:30
В общем я удалил все address-list и изменил правило в цепочке Prerouting:
chain=prerouting action=mark-routing new-routing-mark=HotSpot
passthrough=yes src-address=10.7.2.0/24
и теперь у меня все пингуется только по ip адресу, а вот по имени нет, то есть трабла c днс получается. Вот тут опять затык. Может нужно было разрешить в цепочке FORWARD адреска моих dns, в итоге оказалось что после добавления разрешений для dns также ниче не работает. Хелп
chain=prerouting action=mark-routing new-routing-mark=HotSpot
passthrough=yes src-address=10.7.2.0/24
и теперь у меня все пингуется только по ip адресу, а вот по имени нет, то есть трабла c днс получается. Вот тут опять затык. Может нужно было разрешить в цепочке FORWARD адреска моих dns, в итоге оказалось что после добавления разрешений для dns также ниче не работает. Хелп
-
vnikolaev
- Сообщения: 100
- Зарегистрирован: 14 окт 2015, 17:30
зачем нужен routes rules?
-
Kostetyo
- Сообщения: 205
- Зарегистрирован: 21 окт 2013, 21:52
vnikolaev писал(а):зачем нужен routes rules?
Для добавления правил маршрутизации. Допустим, для любой подсети вы можете создать свою таблицу маршрутизации.
Или же,хороший пример, у podarok66 - "Изоляция сетей средствами маршрутизации" , когда добавляем подсети и указываем что для подсети1 не доступна(unreachable) подсеть2.