NAT в локальную сеть через 2 WAN

Обсуждение оборудования и его настройки
Ответить
sergey.bondarenko
Сообщения: 3
Зарегистрирован: 16 мар 2018, 15:00

Доброго времени суток, уважаемые форумчане!
Подскажите, есть RB951G микротик, в него подключено 2 WAN (IPoE) + локалка.
Доступность микротика из вне по обоим WAN достигнута путем манглов.
Теперь такая задача: сделать так чтобы проброс портов в локальную сеть работал одинакого хорошо через любой WAN, при любом дефолт роуте.
Сейчас как вы понимаете все идет только через дефолт. :-(


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Как у вас работают два WAN? В режиме: два одновременно или один в резерве???

Если у вас существует default route - это скорее всего резерв. Я правильно понимаю?

Доступ должен быть с любого WAN или только того, который активен???

Если с любого, то нужно пересматривать всю стратегию сети: не должно быть никакого Default rote. Пакет должен уходить туда, откуда он пришел, а не в Default route.

Иными словами: задача "о двух провайдерах" совсем не такая тривиальная, как может показаться на первый взгляд.


Очень рекомендуется к прочтению и осознанию viewtopic.php?f=15&t=3280


sergey.bondarenko
Сообщения: 3
Зарегистрирован: 16 мар 2018, 15:00

Жаль тут нет системы благодарностей. Ну не нашел я сам эту ссылку.

Рассказываю всем: доступ к самому микротику решается маркировкой пакетов через манглы.
Доступ же через разные WAN к ресурсам сети обеспечивается очень просто!
https://wiki.mikrotik.com/wiki/ECMP_loa ... masquerade
Изображение

Можно закрыть тему! СПАСИБО!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

sergey.bondarenko писал(а): 19 мар 2018, 15:29 Жаль тут нет системы благодарностей. Ну не нашел я сам эту ссылку.

Рассказываю всем: доступ к самому микротику решается маркировкой пакетов через манглы.
Доступ же через разные WAN к ресурсам сети обеспечивается очень просто!
https://wiki.mikrotik.com/wiki/ECMP_loa ... masquerade
Изображение

Можно закрыть тему! СПАСИБО!
Я бы слегка поспорил.

1) НАТ это НАТ и он делается после прероутинга и поэтому сначала выбирается куда пакет пойдёт,
то есть адрес назначения, потом интерфейс и уже потом, если надо, мы делаем НАТ при выходе
пакета с этого интерфейса. Так что НАТ и маршрутизация они рядом, но каждая система слегка
отдельно идёт.

2) То что Вы показали - это включение ECMP между двумя провайдерами, то есть при выходе
с роутера пакет Ваш то уйдёт на одного провайдера, новая сессия пойдёт через другого.
При закачках и торрентах это удобно, при работе с банками, с SSL сайтами, с другими
системами авторизациями -проблемы могут быть. Поэтому пунтк 3

3) можно использовать одного провайдера как основной, а второй резервный (это в глобальном масштабе),
но при этом можно явно заставить скажем локального клиента "посадить" только в этот резервный канал,
а это делается манглами, и уже на выходе будет дополнительные правило(а) которые привяжут
этого клиента к таблице маршрутизации помеченной для второго провайдера и при выходе пакета,
только в этом случаи и произойдёт НАТ (для интерфейса принадлежащего ко второму провайдеру).
Поэтому и в файрволле, в закладке НАТ - должно быть по крайне мере два правила НАТов (для провайдера1
и для провайдера2 соответственно).

P.S.
писал обобщённо, без детализации....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
sergey.bondarenko
Сообщения: 3
Зарегистрирован: 16 мар 2018, 15:00

Vlad-2 писал(а): 19 мар 2018, 15:47 Я бы слегка поспорил.

....

P.S.
писал обобщённо, без детализации....
Бесспорно! Каждой задаче свое решение, то, чему я радуюсь, другому будет портить работу, возможно.
Данный вариант подходит, если оба провайдера используются равноценно и не трубуют какого-то постоянного маршрута.
Хотя если уж на какой-то локальной машине требуется выход с конкретного вана, то что мешает добавить постоянный маршрут для конкретного узла/порта?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

sergey.bondarenko писал(а): 19 мар 2018, 16:18 Хотя если уж на какой-то локальной машине требуется выход с конкретного вана, то что мешает добавить постоянный маршрут для конкретного узла/порта?
Я бы хотел увидеть это, как Вы добавите постоянный маршрут для конкретного узла



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить