masquarade on bridge

Обсуждение оборудования и его настройки
Ответить
akior
Сообщения: 4
Зарегистрирован: 12 мар 2018, 19:27

Добрый день.
Прошу помощи.
Условия:
Есть такая сеть
ISP1(192.168.1.1)<internet>(192.168.1.2)Mikrotik(192.168.3.1)<bridge>(192.168.3.2)FILTERSERVER(192.168.2.2)<internet>(192.168.2.1)ISP2
Так же на микротике заведены клиенты с ip pool 192.168.3.3-254
Клиенты и FILTERSERVER находятся в одном bridge у Mikrotik
Задача:
В случае падения ISP1 отправить клиентов в интернет через FILTERSERVER.
Настроен masquerade на dest ip 192.168.3.2
Простое указание маршрута 0.0.0.0/0 gw 192.168.3.2 не работает, пакеты от клиентов все равно ходят к ISP1

Как можно реализовать, есть у кого-нибудь идеи ?


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Если у вас два шлюза и они корректно настроены, то что мешает использовать два шлюза с разной метрикой ?


Александр
akior
Сообщения: 4
Зарегистрирован: 12 мар 2018, 19:27

У меня указаны 2 шлюза.
set dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=10
set dst-address=0.0.0.0/0 gateway=192.168.3.2 distance=2
Вероятно проблема в том, что не работает маскарад до 192.168.3.2
В моем варианте сделано:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
Так ведь правило сработает?
algerka писал(а): 13 мар 2018, 08:16 Если у вас два шлюза и они корректно настроены, то что мешает использовать два шлюза с разной метрикой ?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

akior писал(а): 13 мар 2018, 11:33 У меня указаны 2 шлюза.
set dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=10
set dst-address=0.0.0.0/0 gateway=192.168.3.2 distance=2
Вероятно проблема в том, что не работает маскарад до 192.168.3.2
В моем варианте сделано:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
Так ведь правило сработает?
При запросе скажем сайта Яндекс, пакет идёт до яндекса, а у Вас в правиле ната(маскарадинга)
стоит такое условие: что если я иду на шлюз (3.2) то меня только тогда от-маскарадить. Остальное не маскарадиться,
Зачем такое условие?

Вам надо так: что если локальная сеть идёт в интернет, то натить её, то есть уберите в правиле не нужное доп.условие, а именно:
dst-address=192.168.3.2 и
оставьте так: ip firewall nat add chain=srcnat action=masquerade



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

akior писал(а): 13 мар 2018, 11:33 У меня указаны 2 шлюза.
set dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=10
set dst-address=0.0.0.0/0 gateway=192.168.3.2 distance=2
Вероятно проблема в том, что не работает маскарад до 192.168.3.2
В моем варианте сделано:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
Так ведь правило сработает?
algerka писал(а): 13 мар 2018, 08:16 Если у вас два шлюза и они корректно настроены, то что мешает использовать два шлюза с разной метрикой ?
Я имел в виду на компьютерах два шлюза!
А так, нарисуйте схему, может понятнее будет.


Александр
akior
Сообщения: 4
Зарегистрирован: 12 мар 2018, 19:27

Все дело в том, что второй шлюз подключен локально к микротику (порт добавлен в bridge)
Указав:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
любой пакет от ПК к шлюзу 192.168.3.2 будет натиться?
Изображение
algerka писал(а): 13 мар 2018, 12:42
akior писал(а): 13 мар 2018, 11:33 У меня указаны 2 шлюза.
set dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=10
set dst-address=0.0.0.0/0 gateway=192.168.3.2 distance=2
Вероятно проблема в том, что не работает маскарад до 192.168.3.2
В моем варианте сделано:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
Так ведь правило сработает?
algerka писал(а): 13 мар 2018, 08:16 Если у вас два шлюза и они корректно настроены, то что мешает использовать два шлюза с разной метрикой ?
Я имел в виду на компьютерах два шлюза!
А так, нарисуйте схему, может понятнее будет.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Да, то что я предлагал не годится.

В вашем варианте я бы оба канала подключил на микротик, так проще.


Александр
akior
Сообщения: 4
Зарегистрирован: 12 мар 2018, 19:27

Если бы можно было завести все на микротик, проблем конечно же было меньше :)
Я снял дамп с FILTERSERVER, пакеты на него прилетают, но не натятся.

Вопрос видимо в том, как написать правило для NAT LAN>LAN
ip firewall nat add chain=srcnat out-interface=bridge action=masquerade ?


Ответить