2 провайдера и настройка ТВ

Обсуждение оборудования и его настройки
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

demidov писал(а): 14 июл 2018, 18:26 Если конфиг сброшу?
Не надо!
Если Вы уже много чего сделали, Вам осталось только малость

1) сделайте так чтобы приставка получала у Вас один и тот же адрес,
это делается в DHCP, в закладке Leases сделайте текущий адрес
как "Static"
2) даю Вам свои два правила, их надо подогнать под Ваши переменные,
эти две строчки позволяют направлять те айпи адреса что прописаны в переменные
направлять либо в первый канал или во второй. Ваша задача имея постоянный
адрес приставки направлять её только во второй канал

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting comment="GO-to-ISP1 (via AddrList)" connection-mark=no-mark dst-address-list=!LocalNet new-routing-mark=ISP1_rout passthrough=no src-address-list=to_ISP1
add action=mark-routing chain=prerouting comment="GO-to-ISP2 (via AddrList)" connection-mark=no-mark dst-address-list=!LocalNet new-routing-mark=ISP2_rout passthrough=no src-address-list=to_ISP2
Переменные (адрес-листы, создаются в адрес-листах, предпоследняя вкладка Файрвола):
LocalNet - адрес лист где у меня описаны все мои локальные сети, чтобы роутер знал что для него локальная адресация
to_ISP1 - адрес лист который будет содержать айпи или сразу пару айпи которых надо жёстко направлять в канал 1-го провайдера
to_ISP2 - тоже самое, но справедливо для второго канала.

Правила добавляются в закладку MANGLE

P.S.
Была ошибка (при копировании), поправил!!!!!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
demidov
Сообщения: 9
Зарегистрирован: 14 июл 2018, 13:39

Изображение
По моему не заработало
Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) надеюсь Вы правила мои оптимизировали и подставили свои адрес-листы? Свои переменные?
2) адрес лист to_ISP2 Вы сделали? И добавили адрес приставки туда?
Счётчик пакетов у правил новых - нулевой, в них ничего не попадает....
Возможно что надо ещё эти правила поставить выше, перед правилами output



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

А где адрес-лист локалнет ???? ЧИтайте мои сообщение и каждую строчку,
зачем Вы часть сущности пропустили?
Даже на ВИКИ есть описание параметра локал



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
demidov
Сообщения: 9
Зарегистрирован: 14 июл 2018, 13:39

Спасибо огромное за терпение и помощь
add action=mark-routing chain=prerouting comment="GO-to-ISP1 (via AddrList)" connection-mark=no-mark dst-address-list=!Local new-routing-mark=ISP1_rout passthrough=no src-address-list=to_ISP1
add action=mark-routing chain=prerouting comment="GO-to-ISP2 (via AddrList)" connection-mark=no-mark dst-address-list=!Local new-routing-mark=ISP2_rout passthrough=no src-address-list=to_ISP2
Вот как выглядят мои правила
Изображение
Ставил правила выше не помогло.
Изображение


demidov
Сообщения: 9
Зарегистрирован: 14 июл 2018, 13:39

Vlad-2
Может все таки конфиг сброшу, если не трудно посмотришь? Могу удаленку дать или подобный конфиг а я сам переделать поробую


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

demidov писал(а): 15 июл 2018, 09:09 Vlad-2
Может все таки конфиг сброшу, если не трудно посмотришь? Могу удаленку дать или подобный конфиг а я сам переделать поробую
Может Ваш конфиг с моим просто не совместим. Я балансировку как Вы не использую. Я сам управляю какое(какие) сети/устройства идут туда, куда я хочу.
У меня несколько провайдеров, плюс рабочие каналы и мне так удобнее.

Вот мой сжатый пример (для двух провайдеров)
Сразу о переменных/адрес-листов которые я использую (ВАЖНО)

Адрес-листы интерфейсов!!!! (задаются во второй закладке окна Интерфейсы, сначала создаём адрес-лист и потом привязываем
какой провайдер куда у нас будет ассоциироваться, удобство в том, что при смене подключения провайдера, логики,
сама маркировка не меняется и меняется только сопоставление, то есть при смене провайдеров, типа подключения,
в MANGLE не лезем больше).
а) ls1-WAN1 - это адрес-лист интерфейса (я ls1-WAN1 сопоставил с внешним интерфейсом провайдера 1)
б) ls2-WAN2 - это адрес-лист интерфейса (я ls2-WAN2 сопоставил с внешним интерфейсом провайдера 2)

ПРИМЕР №1
Изображение


Адрес-листы в файрволе
а) LocalNet - адрес-лист в котором у меня описаны все локальные сети, роутер должен знать что у него/для него локальные адреса,
и уже от этого он будет исходить в будущем (то есть указываете Вашу локальную адресацию)
б) to_ISP1 - адрес-лист куда Вы вносите адрес того, кого Вы будете явно направлять в 1й канал
в) to_ISP2 - адрес-лист куда Вы вносите адрес того, кого Вы будете явно направлять в 2й канал

Код: Выделить всё

/ip firewall mangle
add action=mark-connection chain=input comment="Mark-conn input on ISP1_in" in-interface-list=ls1-WAN1 new-connection-mark=ISP1_in passthrough=no
add action=mark-connection chain=input comment="Mark-conn input on ISP2_in" in-interface-list=ls2-WAN2 new-connection-mark=ISP2_in passthrough=no
add action=mark-connection chain=forward comment="Mark-conn forward on ISP1_in to new-mark ISP1_for" in-interface-list=ls1-WAN1 new-connection-mark=ISP1_for passthrough=no
add action=mark-routing chain=prerouting comment="Mark-rout with mark-conn ISP1_for to route via iface of ISP1" connection-mark=ISP1_for new-routing-mark=ISP1_rout passthrough=no src-address-list=LocalNet
add action=mark-connection chain=forward comment="Mark-conn forward on ISP2_in to new-mark ISP2_for" in-interface-list=ls2-WAN2 new-connection-mark=ISP2_for passthrough=no
add action=mark-routing chain=prerouting comment="Mark-rout with mark-conn ISP2_for to route via iface of ISP2" connection-mark=ISP2_for new-routing-mark=ISP2_rout passthrough=no src-address-list=LocalNet
add action=mark-routing chain=output comment="Mark-rout with mark-conn ISP1_in to route via iface ISP1" connection-mark=ISP1_in new-routing-mark=ISP1_rout passthrough=no
add action=mark-routing chain=output comment="Mark-rout with mark-conn ISP2_in to route via iface ISP2" connection-mark=ISP2_in new-routing-mark=ISP2_rout passthrough=no
add action=mark-routing chain=prerouting comment="GO-to-ISP1 (via AddrList)" connection-mark=no-mark dst-address-list=!LocalNet new-routing-mark=ISP1_rout passthrough=no src-address-list=to_ISP1
add action=mark-routing chain=prerouting comment="GO-to-ISP2 (via AddrList)" connection-mark=no-mark dst-address-list=!LocalNet new-routing-mark=ISP2_rout passthrough=no src-address-list=to_ISP2
Также, как Вы делали и у себя, Вы должны сделать две промаркированные таблицы маршрутизации, используя названиям которые
использовали при создания маркировки. И напоминаю, у роутера по-умолчанию должен быть один маршрут по-умолчанию без
маркировки, чтобы сам роутер, как клиент мог тоже выходить/пинговать/делать ДНС-запросы.

ПРИМЕР №2
Изображение


По идеи И всё, главное сделать адрес-листы(обычные и интерфейсов), потом перенести правила, желательно так как они идут,
не меняя последовательность, сделать таблицы маршрутизации и пробовать, поставить два компа, один комп (его
адрес засунуть в to_ISP1, второй в to_ISP2) и путём трассировки смотреть туда уходят трассировку куда надо или нет.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
demidov
Сообщения: 9
Зарегистрирован: 14 июл 2018, 13:39

Vlad-2 писал(а): 15 июл 2018, 11:29
demidov писал(а): 15 июл 2018, 09:09 Vlad-2
Может все таки конфиг сброшу, если не трудно посмотришь? Могу удаленку дать или подобный конфиг а я сам переделать поробую
Может Ваш конфиг с моим просто не совместим. Я балансировку как Вы не использую. Я сам управляю какое(какие) сети/устройства идут туда, куда я хочу.
У меня несколько провайдеров, плюс рабочие каналы и мне так удобнее.

Вот мой сжатый пример (для двух провайдеров)
Сразу о переменных/адрес-листов которые я использую (ВАЖНО)

Адрес-листы интерфейсов!!!! (задаются во второй закладке окна Интерфейсы, сначала создаём адрес-лист и потом привязываем
какой провайдер куда у нас будет ассоциироваться, удобство в том, что при смене подключения провайдера, логики,
сама маркировка не меняется и меняется только сопоставление, то есть при смене провайдеров, типа подключения,
в MANGLE не лезем больше).
а) ls1-WAN1 - это адрес-лист интерфейса (я ls1-WAN1 сопоставил с внешним интерфейсом провайдера 1)
б) ls2-WAN2 - это адрес-лист интерфейса (я ls2-WAN2 сопоставил с внешним интерфейсом провайдера 2)

ПРИМЕР №1
Изображение


Адрес-листы в файрволе
а) LocalNet - адрес-лист в котором у меня описаны все локальные сети, роутер должен знать что у него/для него локальные адреса,
и уже от этого он будет исходить в будущем (то есть указываете Вашу локальную адресацию)
б) to_ISP1 - адрес-лист куда Вы вносите адрес того, кого Вы будете явно направлять в 1й канал
в) to_ISP2 - адрес-лист куда Вы вносите адрес того, кого Вы будете явно направлять в 2й канал

Код: Выделить всё

/ip firewall mangle
add action=mark-connection chain=input comment="Mark-conn input on ISP1_in" in-interface-list=ls1-WAN1 new-connection-mark=ISP1_in passthrough=no
add action=mark-connection chain=input comment="Mark-conn input on ISP2_in" in-interface-list=ls2-WAN2 new-connection-mark=ISP2_in passthrough=no
add action=mark-connection chain=forward comment="Mark-conn forward on ISP1_in to new-mark ISP1_for" in-interface-list=ls1-WAN1 new-connection-mark=ISP1_for passthrough=no
add action=mark-routing chain=prerouting comment="Mark-rout with mark-conn ISP1_for to route via iface of ISP1" connection-mark=ISP1_for new-routing-mark=ISP1_rout passthrough=no src-address-list=LocalNet
add action=mark-connection chain=forward comment="Mark-conn forward on ISP2_in to new-mark ISP2_for" in-interface-list=ls2-WAN2 new-connection-mark=ISP2_for passthrough=no
add action=mark-routing chain=prerouting comment="Mark-rout with mark-conn ISP2_for to route via iface of ISP2" connection-mark=ISP2_for new-routing-mark=ISP2_rout passthrough=no src-address-list=LocalNet
add action=mark-routing chain=output comment="Mark-rout with mark-conn ISP1_in to route via iface ISP1" connection-mark=ISP1_in new-routing-mark=ISP1_rout passthrough=no
add action=mark-routing chain=output comment="Mark-rout with mark-conn ISP2_in to route via iface ISP2" connection-mark=ISP2_in new-routing-mark=ISP2_rout passthrough=no
add action=mark-routing chain=prerouting comment="GO-to-ISP1 (via AddrList)" connection-mark=no-mark dst-address-list=!LocalNet new-routing-mark=ISP1_rout passthrough=no src-address-list=to_ISP1
add action=mark-routing chain=prerouting comment="GO-to-ISP2 (via AddrList)" connection-mark=no-mark dst-address-list=!LocalNet new-routing-mark=ISP2_rout passthrough=no src-address-list=to_ISP2
Также, как Вы делали и у себя, Вы должны сделать две промаркированные таблицы маршрутизации, используя названиям которые
использовали при создания маркировки. И напоминаю, у роутера по-умолчанию должен быть один маршрут по-умолчанию без
маркировки, чтобы сам роутер, как клиент мог тоже выходить/пинговать/делать ДНС-запросы.

ПРИМЕР №2
Изображение


По идеи И всё, главное сделать адрес-листы(обычные и интерфейсов), потом перенести правила, желательно так как они идут,
не меняя последовательность, сделать таблицы маршрутизации и пробовать, поставить два компа, один комп (его
адрес засунуть в to_ISP1, второй в to_ISP2) и путём трассировки смотреть туда уходят трассировку куда надо или нет.
Спасибо огромное все заработало по вашим настройкам!!!! И вроде более менее разобрался в них.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

demidov писал(а): 16 июл 2018, 12:32 Спасибо огромное все заработало по вашим настройкам!!!! И вроде более менее разобрался в них.
Я рад, и особенно вдвойне рад слышать - что труды не прошли зря.
Хочу напомнить, что Вам надо сделать/обеспечить защиту роутера,
поэтому прочтите пару тематик о защите роутера, его портов,
защита от флуд атак, особенно по порту 53.
Тема файрвола на микротике - это мир в мире. :-)
На форуме тут не один раз это оговаривалось...в том или ином ключе...

Ну и конечно, не забывайте документировать что Вы сделали,
и делать копию конфигурации, которую хранить надо не только
на роутере, но обязательно ещё где-то.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить