Два провайдера. Необычный глюк. Ткните носом.

Обсуждение оборудования и его настройки
BUOMEX
Сообщения: 10
Зарегистрирован: 05 окт 2017, 06:52

KARaS'b писал(а):
BUOMEX писал(а):
Форвард - все что проходит через микротик и предназначено не ему, так же в любом направлении, даже если это внутренняя маршрутизация, например межу двумя лок. сетями. Для примера - мы ходим запретить локальным хостам обращаться к определенному адресу в интенете, в таком случае в правиле мы укажем цепочку форвард. Или же хотим изолировать две лок. сети и снова нам поможет форвард.
По умолчанию, как уже сказали, микротик не блокирует ничего, т.е. в чистом конфиге вообще без правил, разрешено все и всем, любой инпут, аутпут и форвард. Правила отрабатывают по очереди от первого к последнему, соответственно если где-то будет правило\ряд правил запрещающие все и будет необходимость сделать исключение из этого правила, то сначала должно стоять разрешающие правило, а уже после него запрещающее.


Спасибо.
А для чего требуется, если требуется создавать мангл для соединений forward, если мы отловили (prerouting и input)соединение на входе - пометили, потом маршуртизировали и снова вернули заказчику (output) по обратной цепочке? Часто вижу в примерах маркировки forward, в том числе для разделения траффика при наличии двух работающих провайдеров.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

kreiz писал(а):в чем разница между изоляции сетей при помощи фаервола и при помощи маршрутизации? Я так подозреваю, что первый способ несколько более гибкий

Правильно подозреваете.
Изоляция средствами маршрутизации практически безоговорочна. Минимум условий, запрет на создание маршрута с оговоренного направления.
Фаервол позволяет воткнуть десяток условий, оговорить исключения, описать случай, так сказать, полностью. Я маршрутизацией пользуюсь крайне редко, когда мне точно не нужно никакого общения между сегментами. И то, фаервол мне ближе. В любой момент можно что-то дописать, изменить, просто поднять выше в таблице.
BUOMEX писал(а):А для чего требуется, если требуется создавать мангл для соединений forward, если мы отловили (prerouting и input)соединение на входе - пометили, потом маршуртизировали и снова вернули заказчику (output) по обратной цепочке? Часто вижу в примерах маркировки forward, в том числе для разделения траффика при наличии двух работающих провайдеров.

Выберите уже один мануал и придерживайтесь его. Надергать из нескольких по кусочку - не лучшая идея. Лично у меня резервирование и маркировал я инпут и аутпут.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
BUOMEX
Сообщения: 10
Зарегистрирован: 05 окт 2017, 06:52

Я разобрался в чем было дело. Может это глюк, а может нет. В общем по заявленной мною в шапке проблеме. Микротик работает странно и бла бла бла.
Когда я просто активировал адреса назначенные второму провайдеру, даже не подключая в них линк, микротик самостоятельно на вкладке Quick Set заменял мне адреса локального шлюза на LAN и WAN интерфейсах на те что должны быть у пока еще не работающего провайдера. В итоге инет работал, пробросы работают, а некоторые сайты нет. Я грешил на манглы и прочее, оказалось все проще и страннее. Собственно такое поведение микротика, сильно осложняло мне понимание и вникание в материал по его изучению.
Еще раз спасибо всем.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Ну вот, рад за Вас!
И всё же Quick Set - это визард для начальной типичной(домашней) работы.
ОН (визард) не умеет и не понимает многого, тем более два канала, разные параметры/маркировки.
Вам ещё повезло, последствия могли быть ещё хуже.

На форуме (в целом) ни раз говорилось, что роутер надо обнулять, не использовать дефолт-конфигурацию,
и не использовать для настройки Quick Set - это потом боком выходит.
Да и посмотрите, никто в этой теме про Quick Set даже и буквы не написал.....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
BUOMEX
Сообщения: 10
Зарегистрирован: 05 окт 2017, 06:52

А в том и дело что я QuickSet тоже не использую и не использовал и конфиг сносил полностью при начальной настройке. Но когда отчаялся искать причину странного поведения, заглянул туда и с удивлением обнаружил такую вот беду.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Если заглянуть в Quick Set даже правильно настроенных Микротиков, мы можем с большой вероятностью обнаружить там полную ахинею. Я не знаю с чем это связано, логики понять не могу, да и не хочу голову забивать ненужным. Просто взял себе за правило настраивать железки, не обращаясть к этому злополучному разделу. И все вопросы по нему игнорирую. Ну раз у вас получилось настроить с помощью него, то флаг вам в руки. Теперь выгрузите себе конфигурацию с рабочей железки и сравните с той, которая у вас не работала. Поймете где был действительный затык. Это чтобы шаманские действия в будущем заменить на осознанные шаги.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
kreiz
Сообщения: 18
Зарегистрирован: 31 авг 2017, 05:28

А меня, знаете ли, в этом вопросе еще интересует резервирование, как бы, входящих подключений У меня к примеру завязаны тоннели на адреса и после того, как отвалится основной канал (даже при учете работы резервного) они будут биться в пустоту. Пока что ничего кроме как две А-записи в ДНС на разные адреса не придумал да и не пробовал пока реализовать. Может быть это делается более грамотно? Ну и каким образом применять правила для входящих соединений к двум интерфейсам сразу, чтобы не делать по два одинаковых на каждый?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

kreiz писал(а):А меня, знаете ли, в этом вопросе еще интересует резервирование, как бы, входящих подключений У меня к примеру завязаны тоннели на адреса и после того, как отвалится основной канал (даже при учете работы резервного) они будут биться в пустоту. Пока что ничего кроме как две А-записи в ДНС на разные адреса не придумал да и не пробовал пока реализовать. Может быть это делается более грамотно? Ну и каким образом применять правила для входящих соединений к двум интерфейсам сразу, чтобы не делать по два одинаковых на каждый?

1) Два тоннеля одновременно и два маршрута с разной дистанцией. Упал первый канал, маршрут сразу стад недоступным и заработал второй маршрут и наоборот, поднялся первый канал - маршрут заработал, все пошли по первому каналу.
2) "DDNS", так реализовано у меня, на основе noip, клиентские точки подключаются по имени и переключение пусть и не моментальное но за пару минут все кто должен был подключится подключается уже по новому адресу.


Аватара пользователя
kreiz
Сообщения: 18
Зарегистрирован: 31 авг 2017, 05:28

Два тоннеля одновременно и два маршрута с разной дистанцией

Спасибо. На счет двух тоннелей тоже думал изначально, но мне такая реализация показалась громоздкой и неэлегантной, а главное негибкой. Ну и отверг сгоряча. А что скажете насчет идеи - чтобы все подключение изначально шли на какой-нибудь ВДС, который гаранированно в онлайне 24\7? А оттуда уже два тоннеля с дистанциями и пусть разруливает..


Ответить