Два провайдера. Необычный глюк. Ткните носом.

[BUOMEX]

Имеется микротик RB1100AHx2 с прошивкой 6.34.3
Имеется задача подключить в него 2 провайдера. Не обязательно чтобы они работали одновременно, хотя было бы неплохо.
На данный момент внутри микротика работает один провайдер обозначенный в конфиге как ISP2

Я подготавливаю правила и настройки, чтобы в нужный момент просто воткнуть провода от перового провайдера и все бы заработало.

Проблема в том, что как только я просто включаю (делаю Enabled) в разделе ip addresses адреса первого провайдера у меня начинаются глюки в работе:
- чаще всего полностью пропадает интернет и доступ к микротику, только по MAC могу к нему подключиться.
- иногда интернет не пропадает, но при работе с конфигурацией микротика, возникают странные глюки, например выборочно работает правило доступа к RDP от каких-то провайдеров пропускает от каких-то нет. И глюк исчезает если выключить адреса первого провайдера.

Поскольку я полный чайник, я чувствую что-то как-то не так промаркировал траффик и как-то не так его разруливаю механизмом манглов.
А также возможно не уточнил правила в фильтре.
Очень буду рад, если кто-то укажет мои ошибки в конфигурации.


Конфигурацию прилагаю. В каждом правиле я пояснил, что я делаю или что я считаю, что делаю.


/interface ethernet
set [ find default-name=ether2 ] name=LAN_ether2
set [ find default-name=ether1 ] name=WAN_ether1

/ip address
add address=90.90.90.94/27 interface=WAN_ether1 network=90.90.90.94
add address=192.168.0.11/21 interface=LAN_ether2 network=192.168.0.0
add address=80.80.80.84 disabled=yes interface=3ISP1_WAN network=80.80.80.1
add address=192.168.0.1/21 disabled=yes interface=4ISP1_LAN network=192.168.0.0


/ip firewall filter

блокирую свой прокси снаружи для двух провайдеров
add action=drop chain=input comment=proxy dst-port=8080 in-interface=WAN_ether1 protocol=tcp
add action=drop chain=input comment=proxy_ISP1 dst-port=8080 in-interface=3ISP1_WAN protocol=tcp

разрешаю пинги
add chain=input comment=ping in-interface=WAN_ether1 protocol=icmp
add chain=input comment=ping in-interface=3ISP1_WAN protocol=icmp

разрешаю winbox
add chain=input comment=winbox dst-port=8291 protocol=tcp

разрешаю установленные соединения
add chain=input comment=Established_input connection-state=established

разрешаю родственные соединения
add chain=input comment=Allow_related connection-state=related

разрешаю UDP
add chain=input comment="Allow udp" protocol=udp
add chain=forward comment="Allow udp" protocol=udp

разрешаю траффик из локальной сети к микротик (наверное)
add chain=input comment=from_LAN in-interface=LAN_ether2 src-address=192.168.0.0/24
add chain=input comment=from_LAN in-interface=4ISP1_LAN src-address=192.168.0.0/24

разрешаю родственные и установленные соединения через микротик
add chain=forward comment=Allow_established_con connection-state=established
add chain=forward comment=Allow_related_con connection-state=related

запрещаю неправильные соединения на вход и через микротик
add action=drop chain=input comment=drop_invalid_con in-interface=WAN_ether1
add action=drop chain=forward comment=Drop_invalid_con connection-state=invalid



/ip firewall mangle

(создаю маркировку до таблицы маршрутизации для провайдера и помечаю ее как cin_ISP2)
add action=mark-connection chain=prerouting comment=ISP2 in-interface=WAN_ether1 new-connection-mark=cin_ISP2

(создаю маркировку для дальнейшего использование в разделе маршрутов, или я так думаю)
add action=mark-routing chain=prerouting connection-mark=cin_ISP2 in-interface=LAN_ether2 new-routing-mark=rout_ISP2 passthrough=no

(возможно не нужное правило маркировки входящих соединений с пометкой cin_ISP2)
add action=mark-connection chain=input dst-address=90.90.90.94 in-interface=WAN_ether1 new-connection-mark=cin_ISP2 passthrough=no

(маркировка траффика через микротик, или я так думаю)
add action=mark-connection chain=forward in-interface=WAN_ether1 new-connection-mark=cin_ISP2

(пометка исходящего трффика, для того чтобы отправить его туда, откуда он пришел, или я так думаю)
add action=mark-routing chain=output connection-mark=cin_ISP2 new-routing-mark=rout_ISP2 passthrough=no

---------------------
Это группа манглов для первого провайдера, который сейчас отключен физически, нет проводов в портах
и сделано по аналогии со вторым
add action=mark-connection chain=prerouting comment=ISP1 in-interface=3ISP1_WAN new-connection-mark=cin_ISP1
add action=mark-routing chain=prerouting connection-mark=cin_ISP1 in-interface=4ISP1_LAN new-routing-mark=rout_ISP1 passthrough=no
add action=mark-connection chain=input dst-address=80.80.80.84 in-interface=3ISP1_WAN new-connection-mark=cin_ISP1 passthrough=no
add action=mark-connection chain=forward in-interface=3ISP1_WAN new-connection-mark=cin_ISP1
add action=mark-routing chain=output connection-mark=cin_ISP1 new-routing-mark=rout_ISP1 passthrough=no



/ip firewall nat
делаю NAT только для избранных адресов, остальные пользуют прокси
add action=masquerade chain=srcnat comment=NAT_for_only_NAT_users out-interface=WAN_ether1 src-address=192.168.0.0/24 src-address-list=NAT
разрешаю NAT для каждой подсети
add action=masquerade chain=srcnat out-interface=WAN_ether1 src-address=192.168.1.0/24 src-address-list=NAT
add action=masquerade chain=srcnat out-interface=WAN_ether1 src-address=192.168.2.0/24 src-address-list=NAT
add action=masquerade chain=srcnat out-interface=WAN_ether1 src-address=192.168.3.0/24 src-address-list=NAT

тоже самое для первого провайдера на потом
add action=masquerade chain=srcnat comment=NAT_for_only_NAT_users_ISP1 out-interface=3ISP1_WAN src-address=192.168.0.0/24 src-address-list=NAT
add action=masquerade chain=srcnat out-interface=3ISP1_WAN src-address=192.168.1.0/24 src-address-list=NAT
add action=masquerade chain=srcnat out-interface=3ISP1_WAN src-address=192.168.2.0/24 src-address-list=NAT
add action=masquerade chain=srcnat out-interface=3ISP1_WAN src-address=192.168.4.0/24 src-address-list=NAT
add action=masquerade chain=srcnat out-interface=3ISP1_WAN src-address=192.168.3.0/24 src-address-list=NAT

разрешаю траффик между подсетями для будущих установленных тоннелей (или я так думаю)
add chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24 src-address-list=NAT
add chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.0.0/24 src-address-list=NAT
add chain=srcnat dst-address=192.168.3.0/24 src-address=192.168.0.0/24 src-address-list=NAT
add chain=srcnat dst-address=192.168.4.0/24 src-address=192.168.0.0/24 src-address-list=NAT
add chain=srcnat dst-address=192.168.33.0/24 src-address=192.168.0.0/24 src-address-list=NAT
add chain=srcnat dst-address=192.168.30.0/24 src-address=192.168.0.0/24 src-address-list=NAT
add chain=srcnat dst-address=192.168.9.0/24 src-address=192.168.0.0/24 src-address-list=NAT

это проброс RDP (я его в лог, искал проблему)
add action=netmap chain=dstnat comment=RDP_adm dst-address=90.90.90.94 dst-port=xxxx in-interface=WAN_ether1 log=yes log-prefix=6666 protocol=\
tcp to-addresses=192.168.x.xxx to-ports=3389

отправляю пользователей на прокси из каждой подсети отдельно для двух провайдеров
add action=redirect chain=dstnat comment=proxy dst-port=80 in-interface=\
LAN_ether2 protocol=tcp src-address=192.168.0.0/24 to-ports=8080
add action=redirect chain=dstnat dst-port=80 in-interface=LAN_ether2 protocol=tcp src-address=192.168.1.0/24 to-ports=8080
add action=redirect chain=dstnat dst-port=80 in-interface=LAN_ether2 protocol=tcp src-address=192.168.2.0/24 to-ports=8080
add action=redirect chain=dstnat dst-port=80 in-interface=LAN_ether2 protocol=tcp src-address=192.168.4.0/24 to-ports=8080
add action=redirect chain=dstnat comment=proxy_ISP1 dst-port=80 in-interface=4ISP1_LAN protocol=tcp src-address=192.168.0.0/24 src-address-list=!test \
to-ports=8080
add action=redirect chain=dstnat dst-port=80 in-interface=4ISP1_LAN protocol=tcp src-address=192.168.1.0/24 src-address-list=!test to-ports=8080
add action=redirect chain=dstnat dst-port=80 in-interface=4ISP1_LAN protocol=tcp src-address=192.168.4.0/24 src-address-list=!test to-ports=8080
add action=redirect chain=dstnat dst-port=80 in-interface=4ISP1_LAN protocol=tcp src-address=192.168.3.0/24 src-address-list=!test to-ports=8080
add action=redirect chain=dstnat dst-port=80 in-interface=4ISP1_LAN protocol=tcp src-address=192.168.2.0/24 src-address-list=!test to-ports=8080


/ip route
тут указаны только созданные в ручную маршруты, дефолтные тоже присутствуют вида:
0.0.0.0/0 на шлюз 90.90.90.91
add check-gateway=ping distance=1 gateway=90.90.90.91 routing-mark=rout_ISP2
add check-gateway=ping disabled=yes distance=2 gateway=80.80.80.1 routing-mark=rout_ISP1
add disabled=yes distance=1 dst-address=192.168.0.0/21 gateway=LAN_ether2 pref-src=192.168.0.11

[gmx]

Просто перетыкать кабель - этот вариант не пройдет.

Начните отсюда viewtopic.php?f=15&t=3280

[BUOMEX]

Возможно вы не стали читать мой вопрос. Статью на которую вы меня отправили я уже читал, правда не на этом ресурсе. И читал еще много чего по теме. В итоге в голове каша и думаю, что каша выразилась и в настройках. Отвечать в духе линуксоидов показывающих на спички и карту ближайшего леса, как то не красиво.

[Vlad-2]

Для начала небольшой пролог:
Зря Вы так проигнорировали совет gmx, формально Вы
сказали так, нихочу читать, вникать, помогите мне в моих набросках, а лучше
почти напишите конфиг за меня.....
В той ссылке (там тема аж на 15 листов) с 13-й страницы и мои есть описания как делал я....
И всё же советую, перечитать, с блокнотом.
Теперь во Вашему изложению:

Имеется микротик RB1100AHx2 с прошивкой 6.34.3

У Вас средне-профессиональный маршрутизатор, но такое ощущение что логику и политику микротика не знаете?
На коробках (раньше 100% это было) написано - перед первым использованием, обновите прошивку.
Сейчас прошивка 6.38.7(Bigfix) и 6.40.4 (Current). В каждом значительном обновлении исправляют по 10-30 ошибок,
в большом (кумулятотивном) до 180-250 строк изменений и фикстов. Я не буду повторяться, но для работы
профессиональной - Вам надо выбрать какую прошивку из веток Вы будете использовать, и её поставить. Дальнейшяя
работа на текуще-старой прошивке не продуктивно. И даже есть некоторые минусы.

Имеется задача подключить в него 2 провайдера. Не обязательно чтобы они работали одновременно, хотя было бы неплохо.
На данный момент внутри микротика работает один провайдер обозначенный в конфиге как ISP2
Я подготавливаю правила и настройки, чтобы в нужный момент просто воткнуть провода от перового провайдера и все бы заработало.

У меня в микротик воткнуто сразу и держат сессию 4-5 провайдеров (проще каналы, направления) и всё хорошо.
Вы должны понимать что делаете, а втыкать и надеяться не наш путь.

/ip address
add address=90.90.90.94/27 interface=WAN_ether1 network=90.90.90.94
add address=192.168.0.11/21 interface=LAN_ether2 network=192.168.0.0
add address=80.80.80.84 disabled=yes interface=3ISP1_WAN network=80.80.80.1
add address=192.168.0.1/21 disabled=yes interface=4ISP1_LAN network=192.168.0.0

Локальную сеть лучше сделать на бридже

разрешаю пинги
add chain=input comment=ping in-interface=WAN_ether1 protocol=icmp
add chain=input comment=ping in-interface=3ISP1_WAN protocol=icmp

А они что, кем-то запрещены?

разрешаю winbox
add chain=input comment=winbox dst-port=8291 protocol=tcp

То же самое

разрешаю установленные соединения
add chain=input comment=Established_input connection-state=established
разрешаю родственные соединения
add chain=input comment=Allow_related connection-state=related

Обновите прошивку, все эти правила с версии 6.38 уже внутри прошивки микротика.

разрешаю UDP
add chain=input comment="Allow udp" protocol=udp
add chain=forward comment="Allow udp" protocol=udp

ЗАЧЕМ эти правила?

разрешаю траффик из локальной сети к микротик (наверное)
add chain=input comment=from_LAN in-interface=LAN_ether2 src-address=192.168.0.0/24
add chain=input comment=from_LAN in-interface=4ISP1_LAN src-address=192.168.0.0/24
разрешаю родственные и установленные соединения через микротик
add chain=forward comment=Allow_established_con connection-state=established
add chain=forward comment=Allow_related_con connection-state=related

ОТКЛЮЧИТЬ до тех пор пока не придёт и логика и не сделаете основную задачу

запрещаю неправильные соединения на вход и через микротик
add action=drop chain=input comment=drop_invalid_con in-interface=WAN_ether1
add action=drop chain=forward comment=Drop_invalid_con connection-state=invalid

ЭТИ правила дожны быть самые первые

/ip firewall mangle
(создаю маркировку до таблицы маршрутизации для провайдера и помечаю ее как cin_ISP2)
add action=mark-connection chain=prerouting comment=ISP2 in-interface=WAN_ether1 new-connection-mark=cin_ISP2
(создаю маркировку для дальнейшего использование в разделе маршрутов, или я так думаю)
add action=mark-routing chain=prerouting connection-mark=cin_ISP2 in-interface=LAN_ether2 new-routing-mark=rout_ISP2 passthrough=no
(возможно не нужное правило маркировки входящих соединений с пометкой cin_ISP2)
add action=mark-connection chain=input dst-address=90.90.90.94 in-interface=WAN_ether1 new-connection-mark=cin_ISP2 passthrough=no
(маркировка траффика через микротик, или я так думаю)
add action=mark-connection chain=forward in-interface=WAN_ether1 new-connection-mark=cin_ISP2
(пометка исходящего трффика, для того чтобы отправить его туда, откуда он пришел, или я так думаю)
add action=mark-routing chain=output connection-mark=cin_ISP2 new-routing-mark=rout_ISP2 passthrough=no

Ужас
После обновлении прошивки, в Interface - Interface List - там создадите алиасы для интерфейсов, а уже в манглах будете использовать
псевдонимы, так проще и код чище
Вот Вам пример как у меня описаны два провайдера. Надо три, откопируете ещё строчки....
/ip firewall mangle
add action=mark-connection chain=input comment="Mark-conn input on ISP1_in" in-interface-list=ls1-WAN1 new-connection-mark=ISP1_in passthrough=no
add action=mark-connection chain=input comment="Mark-conn input on ISP2_in" in-interface-list=ls2-WAN2 new-connection-mark=ISP2_in passthrough=no
add action=mark-connection chain=forward comment="Mark-conn forward on ISP1_in to new-mark ISP1_for" in-interface-list=ls1-WAN1 new-connection-mark=ISP1_for passthrough=no
add action=mark-routing chain=prerouting comment="Mark-rout with mark-conn ISP1_for to route via iface of ISP1" connection-mark=ISP1_for new-routing-mark=ISP1_rout passthrough=no src-address-list=LocalNet
add action=mark-connection chain=forward comment="Mark-conn forward on ISP2_in to new-mark ISP2_for" in-interface-list=ls2-WAN2 new-connection-mark=ISP2_for passthrough=no
add action=mark-routing chain=prerouting comment="Mark-rout with mark-conn ISP2_for to route via iface of ISP2" connection-mark=ISP2_for new-routing-mark=ISP2_rout passthrough=no src-address-list=LocalNet
add action=mark-routing chain=output comment="Mark-rout with mark-conn ISP1_in to route via iface ISP1" connection-mark=ISP1_in new-routing-mark=ISP1_rout passthrough=no
add action=mark-routing chain=output comment="Mark-rout with mark-conn ISP2_in to route via iface ISP2" connection-mark=ISP2_in new-routing-mark=ISP2_rout passthrough=no

/ip firewall nat
делаю NAT только для избранных адресов, остальные пользуют прокси
add action=masquerade chain=srcnat comment=NAT_for_only_NAT_users out-interface=WAN_ether1 src-address=192.168.0.0/24 src-address-list=NAT
разрешаю NAT для каждой подсети
add action=masquerade chain=srcnat out-interface=WAN_ether1 src-address=192.168.1.0/24 src-address-list=NAT
add action=masquerade chain=srcnat out-interface=WAN_ether1 src-address=192.168.2.0/24 src-address-list=NAT
add action=masquerade chain=srcnat out-interface=WAN_ether1 src-address=192.168.3.0/24 src-address-list=NAT

тоже самое для первого провайдера на потом
add action=masquerade chain=srcnat comment=NAT_for_only_NAT_users_ISP1 out-interface=3ISP1_WAN src-address=192.168.0.0/24 src-address-list=NAT
add action=masquerade chain=srcnat out-interface=3ISP1_WAN src-address=192.168.1.0/24 src-address-list=NAT
add action=masquerade chain=srcnat out-interface=3ISP1_WAN src-address=192.168.2.0/24 src-address-list=NAT
add action=masquerade chain=srcnat out-interface=3ISP1_WAN src-address=192.168.4.0/24 src-address-list=NAT
add action=masquerade chain=srcnat out-interface=3ISP1_WAN src-address=192.168.3.0/24 src-address-list=NAT

Адрес-лист Вам на что, зачем сети по 3-4 раза прописывать, ??
Макскарадинг делается проще, потом уже точнее и более тонкий.

разрешаю траффик между подсетями для будущих установленных тоннелей (или я так думаю)
add chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24 src-address-list=NAT
add chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.0.0/24 src-address-list=NAT
add chain=srcnat dst-address=192.168.3.0/24 src-address=192.168.0.0/24 src-address-list=NAT
add chain=srcnat dst-address=192.168.4.0/24 src-address=192.168.0.0/24 src-address-list=NAT
add chain=srcnat dst-address=192.168.33.0/24 src-address=192.168.0.0/24 src-address-list=NAT
add chain=srcnat dst-address=192.168.30.0/24 src-address=192.168.0.0/24 src-address-list=NAT
add chain=srcnat dst-address=192.168.9.0/24 src-address=192.168.0.0/24 src-address-list=NAT

Туннели что за НАТом как-то работают/связаны?
Мало понял сие правила

/ip route
тут указаны только созданные в ручную маршруты, дефолтные тоже присутствуют вида:
0.0.0.0/0 на шлюз 90.90.90.91
add check-gateway=ping distance=1 gateway=90.90.90.91 routing-mark=rout_ISP2
add check-gateway=ping disabled=yes distance=2 gateway=80.80.80.1 routing-mark=rout_ISP1
add disabled=yes distance=1 dst-address=192.168.0.0/21 gateway=LAN_ether2 pref-src=192.168.0.11

Если Вы маркируете 3-х провайдеров, то у Вас должно быть три промакрированных маршрута + 1 маршрут дефолтный без маркировки.

[BUOMEX]

Vlad-2 спасибо за развернутый ответ.
В свое оправдание. Видимо я не на тот форум зашел. Во вторых, в нашей организации я занимаюсь слишком широким спектром задач, от эникея до поддержания внешней зоны ДНС и настройки маршрутизации. Я читаю по теме много, но у всего есть предел. В итоге знания попадают в голову вырванными из контекста, а чаще постоянно перемешиваются и накладываются друг на друга. У меня нет технического образования.
Одни говорят делай так, другие эдак. Я попросту окончательно запутался. Но я не хотел чтобы за меня все написали. Просто чтобы ткнули на чем сфокусироваться. Вы так и сделали. Спасибо еще раз.
Похоже придется начинать сначала и удалить всю конфигурацию.

[BUOMEX]

Ну а по теме, если не сложно два вопроса, ответы на которые в статье barvinok я не нашел да и нигде тоже.
Первое, зачем все объединяют порты в бридж? У себя я делаю WAN и LAN остальные в режиме disable. Говорят лучше в бридж, но почему?
Второй. Barvinok приводит пример когда в маршруте по умолчанию можно указать сразу два шлюза провайдеров
/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1,10.112.0.1 check-gateway=ping
однако в дальнейших примерах он создает по два маршрута для каждого провайдера. Зачем 2 если проще в одном два?

[KARaS'b]

Первое, зачем все объединяют порты в бридж? У себя я делаю WAN и LAN остальные в режиме disable. Говорят лучше в бридж, но почему?

Большой совет, если вы не понимаете зачем нужен бридж, то начните изучать микротик с темы "FAQ (Для начинающих)", иначе есть большая вероятность что еще много чего не поймете, а это азы и когда вы начнете задавать подобные вопросы, тема превратиться, либо в копию той ветки, либо заглохнет на примерно таком же совете, как мой.

[BUOMEX]

Да я лох, я в курсе. И читать не умею тоже в курсе. Но вот такой вот есть и за ту зп что платят в моей конторе другого не будет еще очень долго.
А моя ужасная конфигурация которая здесь приведена - работает. И правила и манглы тоже. А вот попытки следовать советам даже на этом форуме с правильными примерами манглов, отрубают мне интернет.
Я вот такой человек, мне надо увидеть что оно работает, а потом уже настраивать тонкости. Пока что в интернет нет ни единого примера работоспособной конфигурации основанной на манглах, для соединения двух провайдеров в одном устройстве. Кругом недомолвки, умолчания. Пишут одно, а в уме держат еще 10 пунктов, которые не то что не распишут, но даже не намекнут на их существование.
Приводят в пример мангл в котором используеются метки 3 метки, но в примере конфы нужны только две. Значит либо умолчание о третей и нужно создать маршрут и под нее тоже, либо она не нужна, либо это опечатка. И так во всех мануалах.

[gmx]

Даже не знаю, что сказать...

Осознание, что многие мануалы, тем более на этом ресурсе, законченные и результативные на 100% придет, очевидно, немного позже, когда разберетесь в азах.

[KARaS'b]

Да я лох, я в курсе. И читать не умею тоже в курсе. Но вот такой вот есть и за ту зп что платят в моей конторе другого не будет еще очень долго.
А моя ужасная конфигурация которая здесь приведена - работает. И правила и манглы тоже. А вот попытки следовать советам даже на этом форуме с правильными примерами манглов, отрубают мне интернет.
Я вот такой человек, мне надо увидеть что оно работает, а потом уже настраивать тонкости. Пока что в интернет нет ни единого примера работоспособной конфигурации основанной на манглах, для соединения двух провайдеров в одном устройстве. Кругом недомолвки, умолчания. Пишут одно, а в уме держат еще 10 пунктов, которые не то что не распишут, но даже не намекнут на их существование.
Приводят в пример мангл в котором используеются метки 3 метки, но в примере конфы нужны только две. Значит либо умолчание о третей и нужно создать маршрут и под нее тоже, либо она не нужна, либо это опечатка. И так во всех мануалах.

Не бывает универсальных примеров, каждый отдельно взятый мануал, зачастую, подходит конкретно для тех условий, в который его писали и это значит, что для вас нужен некий "допил", или же вам вообще не подойдет это решение. Все статьи, примеры, советы и решения, что вы находили и что можете найти, писались энтузиастами, для себя и вам просто дали на них посмотреть и немного описали что к чему, с условием что вы примерно понимаете что происходит.
Но как тут у нас часто бывает, вопрошающие не понимают, что если нужно готовое решение, ака помощь от и до и персонально "под вас", то это уже не помощь, это услуга, работа, а за работу мы все и вы в том числе, хотим денег.
Исходя из этого, вы либо начинаете учиться и читать и задаете конкретные вопросы, а не "найдите в моем конфиге что не так и поправьте, что бы у меня все заработало", либо внизу есть банер, за которым скрывается очень опытный человек, а на форуме целая ветка, где озвучивается задача и предлагается сумма, за которую эту задачу надо решить и если найдется отважный человек, то он вам обязательно поможет.