Два провайдера. Необычный глюк. Ткните носом.

Обсуждение оборудования и его настройки
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Так, прекращаем общие фразы, господа. Конкретизируемся.
ТС, давайте-ка сначала. Для начала определимся, два прова одновременно - это балансировка, один пров основной, второй запасной - резервирование. Балансировка менее популярна, так как имеет несколько подводных камней, которые не так легко обходятся. Резервирование более простой вариант. Предлагаю вам пока остановится на нем.
Наиболее прост в реализации вот такой случай:

Код: Выделить всё

/ip route 
add dst-address=0.0.0.0/0 gateway=10.201.10.254 distance=1 check-gateway=ping
/ip route
add dst-address=0.0.0.0/0 gateway=172.27.31.1 distance=2 check-gateway=ping

Где гетвэи вы подставите свои.
Вы должны понимать, что это лишь маршрутизация, без остального конфига. Пробуйте этот вариант, на время проб отключите все правила в Firewall-Filter Rules.
И пожалуйста, разберитесь с адресацией, я не очень понимаю ваши строки:

Код: Выделить всё

/ip address
add address=90.90.90.94/27 interface=WAN_ether1 network=90.90.90.94
add address=192.168.0.11/21 interface=LAN_ether2 network=192.168.0.0
add address=80.80.80.84 disabled=yes interface=3ISP1_WAN network=80.80.80.1
add address=192.168.0.1/21 disabled=yes interface=4ISP1_LAN network=192.168.0.0

Сети (вторая и четвертая) описаны не так, как обычно. Вы уверены в этих строках?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
BUOMEX
Сообщения: 10
Зарегистрирован: 05 окт 2017, 06:52

KARaS'b я вас понял, просто мне форум показался профессиональным. Но вывески - оказываем платные услуги я не разглядел. Писать для меня конфигу я не просил. Просил глянуть и указать в какое место особенно пристально посмотреть. Пользователь vlad проделал однако такую работу и привел пример. Ради смеха, я его использовал. По итогу - моя конфа работает, а его пример вообще нет. Вопрос, если тут все хотят денег, то зачем было мне что-то отвечать вообще?

Ну а по вашим словам. Вот конкретный вопрос. Меня упрекнули про бридж. Я нашел по теме вот такое вот:
http://arxont.blogspot.ru/2013/03/mikro ... slave.html
и вот такое
https://wiki.mikrotik.com/wiki/Руководс ... коммутации
но у меня нет клиентов подключенных к другим портам. У меня их два. И мне не нужны другие. Только два. Из текста статей приведенных ссылок я не понимаю, зачем и сколько в этом случае портов мне объединять в бридж, если у меня только два провода.

П.С. Можно и не отвечать. Я понял, за все надо платить. Просто не хотелось оставлять о себе впечатление, как об ленивом идиоте. Просто не все люди узкие специалисты.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Очередной возмущенный проситель, не понимающий, что какой вопрос, такой и ответ.

На форуме никто ни с кого не берет денег. Много раз помогал людям удаленно и абсолютно бескорыстно.
Но задача "о двух провайдерах" не такая уж и простая, здесь наскоком не сделаешь.

1. Нужна схема вашей сети. Подробная, со всеми IP адресами, шлюзами и так далее.
2. Вы описываете по шагам свои хотелки.
3. Удаляете ВСЕ правила фаерволла!!!! и все ограничения скорости, PCQ И только так!!!
4. Пытаетесь настроить самым простым способом, который вам выше предложил podarok66. То есть все идут либо в одного провайдера, либо в другого. Переключение в случае явного падения провайдерского шлюза.

А вот дальше, начинаете спрашивать, только конкретно.

PS. Оставьте в покое бриджи. Проблема не бриджах, а в отсутствии фундаментальных знаний.

Совет: поставьте маленький микротик (типа haP Lite) себе домой. И ковыряйте его по вечерам. Через полгода, задача "о двух провайдерах" уже не покажется такой сложной. Даже если совместными усилиями мы решим ваши хотелки, то малейшее изменение в структуре сети приведет к краху, вы должны знать каждую строчку в конфиге и понимать для чего она, иначе она для вас просто не существует, и вы понятия не имеете как это все работает. Наскоком у вас ничего не получится, увы, с микротиком так не проходит.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

BUOMEX писал(а):Пользователь vlad проделал однако такую работу и привел пример. Ради смеха, я его использовал. По итогу - моя конфа работает, а его пример вообще нет. Вопрос, если тут все хотят денег, то зачем было мне что-то отвечать вообще?

И вроде как бы сказали спасибо, и сразу обвинили в том, чего не было.
Мало того, что Я Ваш конфиг в цвете и оформленный не совсем по правилам постарался
про-парсить, указал не только не излишние и бессмысленные правила, которые съедают
производительность, не только показал что обновление прошивки Вам даст новые возможности
и благодаря этому можно ещё часть правил сократить, я Вам дал "ядро" настроек манглов.
Поверьте, то что я Вам скопировал, кажется просто и не рабочим, я это по крупицам собирал.
Я был в Вашем положении, я знаю что такое находить 5-7 примеров и кричать что они не рабочие,
но уже год я тут на форуме и могу сказать стандартную практику - повыдёргивать с каждого
примера и потом говорить - "не работает".
Жалко что я после ответа ушёл по-делам (и живу я на 9 часов вперёд Вас) и у меня был вечер.
Я всё же надеюсь что Вы прочитаете спокойно, возьмёте себя в руки и попытаетесь сделать выводы и анализ
из тех данных что я предоставил. Я предоставил данные в рамках логики маркировки. Если я Вам дам свой
конфиг - он будет бесполезен, поверьте. И Вы не первый кто меня обвиняет,мол ничего не работает,
а когда показываешь человеку ошибки, недочёты, пустые поля в правилах, маски не правильные,
да ещё это надо доказать,донести что это именно так должно быть - поневоле устаёшь.
В качестве доказательства что правила работают, могу на 5-7 минут дать доступ к моему домашнему роутеру.
И ещё: маркировка трафика, управлением маршрутизацией на основе меток, и всё в таком роде
изучается на втором инженерном курсе или на третьем (если считать от начального).
Вы понимаете что это не просто!! И я сам про себя могу сказать, что я не готов ещё в этому курсу...
Поэтому включаем инженерное мышление, пытаемся учиться, не делать стандартных частых ошибок,
и за счёт коммунити развиваться дальше и сообща.

BUOMEX писал(а):Ну а по вашим словам. Вот конкретный вопрос. Меня упрекнули про бридж. Я нашел по теме вот такое вот:
но у меня нет клиентов подключенных к другим портам. У меня их два. И мне не нужны другие. Только два. Из текста статей приведенных ссылок я не понимаю, зачем и сколько в этом случае портов мне объединять в бридж, если у меня только два провода.

Я уже писал, но Вы вряд ли читали. Опять же, делюсь как бы кажется мелочью, но которую мне дали на курсах.
Да, у Вас там один порт, локальный, бридж не нужен. Всё вроде логично, с виду, но надо шире мыслить.
Бридж нужен для удобства, для правильности логики, и даже в качестве универсального LoopBack интерфейса.
А если ещё кратко: у Вас на порту сидит DHCP,прокся, вернее так напишу: службы привязаны на адрес,
адрес стоит на порту, порт скажем отключился(на время), что будет со службами если нет у них за-бинденного адреса?
(а если в этот момент сессии, пакеты....)
Поэтому,как начинающему пользователю, я рекомендую, создать бридж, поместить туда лан-порт и адресацию
перенести с лан-порта на бридж. Вы ничего не потеряете, но логический интерфейс (аля бридж) будет всегда
доступен роутеру(и внутри роутера) и логические связи нарушаться не будут.

BUOMEX писал(а):П.С. Можно и не отвечать. Я понял, за все надо платить. Просто не хотелось оставлять о себе впечатление, как об ленивом идиоте. Просто не все люди узкие специалисты.

Никто Вас не обзывал, я, уже будучи сетевым и линукс администратором с опытом, тоже пытался понимать логику работы двух провайдеров в рамках микротика, да
и вообще логику микротика - было не просто, пришёл опыт, осознание лишь спустя 2-3 месяца.
Понимаете, в микротике - всё иначе, некоторые вещи делаются поперёк, не так как принято, местами это дико удобно, красиво и просто магически,
а что-то сделано да, извращённо.

P.S.
Сделайте экспорт конфигурации, удалите пароли, и покажите.
Но мои советы, хотя бы по части удаление лишних правил, и обновления прошивки - это лучше сделать сразу...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ух, как народ распалился!!!
Для ТС: Спокойнее, пожалуйста, спокойнее. Никто вас не гнобит и не отправляет куда-то за что-то платить. Вся соль в идее, которую я (согласен, я не всегда мыслю общечеловеческими ценностями) прямо-таки насаждаю среди обитателей форума уже не первый год. Тезисно мысль такая: "Учиться не поздно никогда и полезно всем. Кто не учится, тот покупает готовое". Надеюсь вы из тех, кто учится. Любой из нас поделится источниками знаний, но решать вашу задачу мы будем только с вами вместе. И так, вы попробовали то, что я вам посоветовал?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
kreiz
Сообщения: 18
Зарегистрирован: 31 авг 2017, 05:28

Так-так. Здравствуйте. Я с завтрашнего дня тоже планирую вникать в тему двух провайдеров. Но я вот никак не могу уловить разницу между балансировкой и резервированием. Точнее я понимаю, в общих чертах, для каких целей эти процессы и как они работают. Я не могу понять - почему их подчеркнуто разграничивают? С резервированием, как-бы понятно - отвалился один канал - идем в другой. Но с балансировкой у меня в голове возникает путаница - если, к примеру, при балансировке отвалится один канал не пойдет ли весь трафик в оставшийся? Или же он не пойдет потому, что при балансировке каждый N-запрос уходит в определенный интерфейс (нагуглил такое решение)? или как?


BUOMEX
Сообщения: 10
Зарегистрирован: 05 окт 2017, 06:52

Мой друг просмотрел форум и мой пост. Сказал что я не прав. Подумав, согласился. Приношу извинения за свой тон и некоторую неадекватность. Бомбануло. Ибо я пришел с кривым, но рабочим конфигом, я сижу на этом форуме, хожу через РДП, проксирую трафик и все это с включенным маркированием и маршрутами на моем конфиге. Я не приходил и не пытался на все готовое прийти. Тем не менее бомбить права не имел. Извините еще раз.
По теме: Все прочел, что написали gmx, podarov66 и конечно Vlad-2 огромное спасибо за советы.
Я обновил прошивку, убрал лишний локальный интерфейс, продолжу читать и понимать. Мне стало ясно, что мне рано в тему двух провайдеров и я не смогу сформулировать вопросы как нужно ибо правильный вопрос - подразумевает знание половины ответа.

Если возможно, поясните хотя бы часть про форвардинг. Мне понятно образное представление NAT из WAN в LAN и обратно, понятно input и output dst и src. Но вот как обозначить движение forward? Куда и в какую сторону? Или просто разрешить любой forward во все стороны? Собственно пока, что это для меня самая непонятная часть и гугление по теме ничего не дает. На эту картинку медитировал весь вечер https://forum.mikrotik.com/download/file.php?id=27228 нужно более просто объяснение, можно без примеров. Только про forward. Не надо мне конфиг писать.


Аватара пользователя
kreiz
Сообщения: 18
Зарегистрирован: 31 авг 2017, 05:28

разрешить любой forward во все стороны

Код: Выделить всё

 ip firewall filter add chain=forward action=accept

Только не совсем понимаю - зачем вам это? Если у вас нет правила, запрещающего форвард во все стороны -он у вас и так разрешен.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

BUOMEX писал(а):Если возможно, поясните хотя бы часть про форвардинг. Мне понятно образное представление NAT из WAN в LAN и обратно, понятно input и output dst и src. Но вот как обозначить движение forward? Куда и в какую сторону? Или просто разрешить любой forward во все стороны? Собственно пока, что это для меня самая непонятная часть и гугление по теме ничего не дает. На эту картинку медитировал весь вечер https://forum.mikrotik.com/download/file.php?id=27228 нужно более просто объяснение, можно без примеров. Только про forward. Не надо мне конфиг писать.

Инпут и аутпут - все что приходит непосредственно на микротик и исходит от него, т.е. все обращения именно к нему и от него, независимо от интерфейса и адреса, как "снаружи" так и "изнутри". Для примера - поднятый на микротике VPN сервер, если есть желание заблокировать подключения определенного хоста, то блокировать мы будет цепочку инпут. Или например в каком то хитром скрипте нужно запретить миркотику пинговать с определенного ареса\интерфеса, в таком случае будем блокировать цепочка аутпут. Примеры "сферические", без конкретики.
Форвард - все что проходит через микротик и предназначено не ему, так же в любом направлении, даже если это внутренняя маршрутизация, например межу двумя лок. сетями. Для примера - мы ходим запретить локальным хостам обращаться к определенному адресу в интенете, в таком случае в правиле мы укажем цепочку форвард. Или же хотим изолировать две лок. сети и снова нам поможет форвард.
По умолчанию, как уже сказали, микротик не блокирует ничего, т.е. в чистом конфиге вообще без правил, разрешено все и всем, любой инпут, аутпут и форвард. Правила отрабатывают по очереди от первого к последнему, соответственно если где-то будет правило\ряд правил запрещающие все и будет необходимость сделать исключение из этого правила, то сначала должно стоять разрешающие правило, а уже после него запрещающее.


Аватара пользователя
kreiz
Сообщения: 18
Зарегистрирован: 31 авг 2017, 05:28

хотим изолировать две лок. сети

Будьте добры, для общего развития - в чем разница между изоляции сетей при помощи фаервола и при помощи маршрутизации? Я так подозреваю, что первый способ несколько более гибкий, а какие еще возможны нюансы?


Ответить