Добрый день.
Прошу помощи.
Условия:
Есть такая сеть
ISP1(192.168.1.1)<internet>(192.168.1.2)Mikrotik(192.168.3.1)<bridge>(192.168.3.2)FILTERSERVER(192.168.2.2)<internet>(192.168.2.1)ISP2
Так же на микротике заведены клиенты с ip pool 192.168.3.3-254
Клиенты и FILTERSERVER находятся в одном bridge у Mikrotik
Задача:
В случае падения ISP1 отправить клиентов в интернет через FILTERSERVER.
Настроен masquerade на dest ip 192.168.3.2
Простое указание маршрута 0.0.0.0/0 gw 192.168.3.2 не работает, пакеты от клиентов все равно ходят к ISP1
Как можно реализовать, есть у кого-нибудь идеи ?
masquarade on bridge
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Если у вас два шлюза и они корректно настроены, то что мешает использовать два шлюза с разной метрикой ?
Александр
-
- Сообщения: 4
- Зарегистрирован: 12 мар 2018, 19:27
У меня указаны 2 шлюза.
set dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=10
set dst-address=0.0.0.0/0 gateway=192.168.3.2 distance=2
Вероятно проблема в том, что не работает маскарад до 192.168.3.2
В моем варианте сделано:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
Так ведь правило сработает?
set dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=10
set dst-address=0.0.0.0/0 gateway=192.168.3.2 distance=2
Вероятно проблема в том, что не работает маскарад до 192.168.3.2
В моем варианте сделано:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
Так ведь правило сработает?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
При запросе скажем сайта Яндекс, пакет идёт до яндекса, а у Вас в правиле ната(маскарадинга)akior писал(а): ↑13 мар 2018, 11:33 У меня указаны 2 шлюза.
set dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=10
set dst-address=0.0.0.0/0 gateway=192.168.3.2 distance=2
Вероятно проблема в том, что не работает маскарад до 192.168.3.2
В моем варианте сделано:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
Так ведь правило сработает?
стоит такое условие: что если я иду на шлюз (3.2) то меня только тогда от-маскарадить. Остальное не маскарадиться,
Зачем такое условие?
Вам надо так: что если локальная сеть идёт в интернет, то натить её, то есть уберите в правиле не нужное доп.условие, а именно:
dst-address=192.168.3.2 и
оставьте так: ip firewall nat add chain=srcnat action=masquerade
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Я имел в виду на компьютерах два шлюза!akior писал(а): ↑13 мар 2018, 11:33 У меня указаны 2 шлюза.
set dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=10
set dst-address=0.0.0.0/0 gateway=192.168.3.2 distance=2
Вероятно проблема в том, что не работает маскарад до 192.168.3.2
В моем варианте сделано:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
Так ведь правило сработает?
А так, нарисуйте схему, может понятнее будет.
Александр
-
- Сообщения: 4
- Зарегистрирован: 12 мар 2018, 19:27
Все дело в том, что второй шлюз подключен локально к микротику (порт добавлен в bridge)
Указав:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
любой пакет от ПК к шлюзу 192.168.3.2 будет натиться?
Указав:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
любой пакет от ПК к шлюзу 192.168.3.2 будет натиться?
algerka писал(а): ↑13 мар 2018, 12:42Я имел в виду на компьютерах два шлюза!akior писал(а): ↑13 мар 2018, 11:33 У меня указаны 2 шлюза.
set dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=10
set dst-address=0.0.0.0/0 gateway=192.168.3.2 distance=2
Вероятно проблема в том, что не работает маскарад до 192.168.3.2
В моем варианте сделано:
ip firewall nat add chain=srcnat dst-address=192.168.3.2 action=masquerade
Так ведь правило сработает?
А так, нарисуйте схему, может понятнее будет.
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Да, то что я предлагал не годится.
В вашем варианте я бы оба канала подключил на микротик, так проще.
В вашем варианте я бы оба канала подключил на микротик, так проще.
Александр
-
- Сообщения: 4
- Зарегистрирован: 12 мар 2018, 19:27
Если бы можно было завести все на микротик, проблем конечно же было меньше :)
Я снял дамп с FILTERSERVER, пакеты на него прилетают, но не натятся.
Вопрос видимо в том, как написать правило для NAT LAN>LAN
ip firewall nat add chain=srcnat out-interface=bridge action=masquerade ?
Я снял дамп с FILTERSERVER, пакеты на него прилетают, но не натятся.
Вопрос видимо в том, как написать правило для NAT LAN>LAN
ip firewall nat add chain=srcnat out-interface=bridge action=masquerade ?