Маршрутизация 2х провайдеров

Обсуждение оборудования и его настройки
l0calh0st
Сообщения: 9
Зарегистрирован: 10 мар 2018, 15:00

Здравствуйте форумчане. Нужна ваша помощь. Обращения в яндекс, гугл и другие поисковые системы не дали мне результата.
Куда копать уже не знаю. Надеюсь найдётся благородный человек, который подопнёт меня на путь истинный. Ибо сил бороться уже нет.

Коротко о главном. Роутер - Mikrotik CRS125-24G-1S.

Есть 2 линии от одного провайдера. Обе линии 100\100 Мб\с, обе подключаются через PPPoE соединение.
На одном из линков уже имеется белейший, статический IP адрес. На втором (пока) динамика от провайдера.
В максимально ближайшее время на втором линке тоже будет статика. Пока так.

Собственно задача которую пытаюсь решить. Мне нужно на одном роутере, настроить независимую маршрутизацию обеих линий. По поводу независимой маршрутизации, имею ввиду что нужно одним железом маршрутизировать две линии. Соответственно хочется получить: ISP 1 ===> Lan 1, ISP 2 ===> Lan 2. Без резервирования каналов, без балансировки и всего прочего. Нужно чтобы открытый NAT`ом сервис во внутренней сети линии 1, был доступен через линию 2, как будто каждая линия подключена к отдельному физическому маршрутизатору.

Пока искал решение, сделал всё выше перечисленное. Что только уже не получалось. И балансировка, резервирование, одновременная работа обеих линий, но это всё не то. Граждане, помогите кто чем может. Возможно для кого-то из вас это минутная задача, возможно кто-то уже делал подобное в целях обучения или просто поиграться. Я буду очень признателен вам за помощь в решении моей проблемы.

PS. Пожалуйста, сильно не пинайте за мои хотелки. Ибо если бы были деньги, я уже давно бы заказал второй роутер и не мучался, но денег нет. А линии нужны уже сейчас...

Спасибо.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

А в чем проблема-то, раз уже все настройки перепробывали?

Чтобы использовать чип коммутации поднимаете две vlan, на каждой vlan свой dhcp сервер, делаете два подключения к провайдеру и правилами разрешаете одной vlan идти через одного провайдера, в второй через второго.

ЗЫ: два канала по 100Мбит каждый, на CRS 125, сомневаюсь что будет работать.


Александр
l0calh0st
Сообщения: 9
Зарегистрирован: 10 мар 2018, 15:00

algerka писал(а): 13 мар 2018, 13:06 А в чем проблема-то, раз уже все настройки перепробывали?

Чтобы использовать чип коммутации поднимаете две vlan, на каждой vlan свой dhcp сервер, делаете два подключения к провайдеру и правилами разрешаете одной vlan идти через одного провайдера, в второй через второго.

ЗЫ: два канала по 100Мбит каждый, на CRS 125, сомневаюсь что будет работать.
Списав на моё слабоумие, можете расписать мне более подробно, как говорится step by step ?


l0calh0st
Сообщения: 9
Зарегистрирован: 10 мар 2018, 15:00

Так-же не совсем понял какими правилами разрешать, firewall, route, mangle ?


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

l0calh0st писал(а): 13 мар 2018, 18:35 Списав на моё слабоумие, можете расписать мне более подробно, как говорится step by step ?
Порядок действий я описал.
Если уж тебе самому лень разбираться, и хочешь чтобы за тебя сделали работу за которую ты получаешь деньги, то обратись в платные услуги.


Александр
l0calh0st
Сообщения: 9
Зарегистрирован: 10 мар 2018, 15:00

Спасибо за пинок. Я вам очень благодарен. Буду пробовать описанным вами способом.

ЗЫ. Извиняюсь за офф. топ. algerka, обращение на форум было для меня самым крайним вариантом. Ибо знаю как в нашей стране помогают на этих ваших форумах. А вам на будущее, не стоит делать поспешных выводов. Профессия у меня совершенно другая, а за данную работу деньги я не получаю, делается всё дома и для себя. Но в любом случае, спасибо вам за помощь. От все души. Низкий вам поклон.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да вы не обижайтесь, это я тут такие порядки поддерживаю, а старожилы привыкли и тоже эту же линию гнут. Смысл в том, что копипаст не приводит осмыслению и лишь множит вопросы. Вдумчивое изучение дольше, но на порядки продуктивнее. Никто здесь не станет расписывать по шагам (как вам хотелось бы) , могут лишь обозначить важнейшие пункты. Могут подсказать какой-то особо заковыристый и неочевидный шаг. Пояснить непонятное. Но не станут создавать мануал ради вас. Мануал - это уж вы сами. У каждого он свой.Потому как и настроек у Микротика достаточно для личного творчества.
Итак, два входящих канала, каждый настраивается в соответствии со способом подключения (туннель там какой-то или просто адрес получаем через dhcp-клиент или еще как-то). Локальные сети - я бы разделил по портам. Уж не помню, как там чипы коммутации их объединяют, сами посмотрите в сети, ну например 9-16 порты собрал бы в bridge9-16, а 17-24 порты в bridge17-24. На каждый из бриджей повесить dhcp-server со своим пулом. Тут главное правильно прописать маршруты для каждой подсети , потому как дефолтные роуты вам не нужны никак. Но там всё достаточно просто, если будете путаться, просто включите на одном из входящих интерфейсов сначала дефолтный, разберитесь, что и как он описывает, потом уже отключите его и пропишите свои для обоих интерфейсов. Ну и маскарадить не забываем сети. Изоляцию в таких случаях провести тоже не сложно, вот тут я сохранил пост нашего vqd, где он про все основные приёмы изоляции очень подробно и доходчиво пишет. Там же есть и ссылка на всю ветку, можно почитать для общего развития.
Дерзайте, у всех получается, вам тоже всё прояснится очень быстро.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
l0calh0st
Сообщения: 9
Зарегистрирован: 10 мар 2018, 15:00

podarok66, спасибо за ссылку на статью, за разъяснение и ни на что я не обижаюсь). Дело в том, что перед тем как писать сюда, на форум, я подумал о возможности что люди вместо ругани, всё таки подкинут какие ни какие варианты. В общем забыли...

По поводу моего вопроса. Небольшое предисловие. После того как я поднял все возможные описанные в инете способы, у меня получилось то, о чём я уже успел упомянуть, это резерв, работа обеих линий одновременно, балансировка. В общем после балансировки, я принял решение попробовать один вариант. И в целом при помощи подглядывания в статьях из интернета (меня интересовали правила mangle и masquerade`a ) у меня получилось, да ещё и с первого раза поднять маршрутизацию обеих линий, в общем получилось сделать то что я и хотел. Понимаю что смысл рассказывать о своём достижении сейчас, в это мало кто поверит. Скажут БАНИМ ТРОЛЯ. Не бомбите пожалуйста. Я не троль ! Просто посчитал что на форуме подскажут ещё какие либо варианты. Маршрутизацию линий, я сделал ещё до обращения на форум. Позже возникла проблема. Непосредственно проблему, я опишу ниже.

Для полноты картины, проделал следующее:
1. Сбросил конфигурацию маршрутизатора без применения дефолтной после сброса.
2. После сброса, поднял 2 bridge интерфейса в которые объеденил нужные порты, 2 dhcp сервера, 2 клиента PPPoE, прописал логины и пароли в PPPoE.
3. Настроил микротовский DNS сервер на использование google.dns, в настройках клиента PPPoE убрал галочки на использование провайдеровских DNS серверов.
4. Добавил правила route, NAT, mangle. В итоге получилось - 2 правила NAT masquerade, 2 правила mangle с использованием address list, 2 статичных routes.
5. Подключил кабеля нета, включил интерфейсы и вышел в инет. Всё заработало.

То что я хотел работает корректно. Работает 1 линия, работает инет на десктопе. Не работает первая линия, не работает инет на десктопе.
Для ноутбука всё тоже самое. Работает 2 линия, работает инет на ноуте, не работает линия, не работает инет. Был доволен как удав.

Как оказалось позже, корректно работал даже проброс портов из локальной сети в инет. HairpinNAT работает тоже корректно. Для создания ситуации что я не дома, открытые порты проверял через броузер TOR на разных копах чтобы не создавать лишний трафик. Результат следующий. Открываю порт в линии 1, трафик (Судя по статистике порта в winbox) идёт через линию 1. Открываю порт в линии 2, трафик идёт в линию 2. Всё как положено, ведь подключаюсь к порту по IP нужной линии.

Но тут и появилась проблема. После того, как я открыл порт 80 web сервера стоящего в линии 1, я попытался зайти на сайт через линию 2. Без броузера тор, а напрямую через линк. И в итоге получил сообщение что Попытка соединения не удалась... Я уже что только и не пробовал, как только не пыхтел, не работает открытый NAT`ом сервис в линии 1, через линию 2. Попытка соединения не удалась и хоть ты тресни.

Т.е если я имитирую совсем удалённого клиента (подключение через TOR) то всё работает нормально. Нужный порт, отдаёт нужный трафик через нужную линию. Но если я пытаюсь зайти просто через вторую линию на первую, где собственно и стоит например веб сервер, я получаю сообщение об ошибке, шо мол нет такого :sh_ok:

Товарищи, подскажите, что нужно проделать чтобы можно было подключится из линии 2 в линию 1 без использования TOR`a ?
PS. Правила NAT, Mangle, Routes выложу постом ниже. Чтобы было хоть немного читабельно.


l0calh0st
Сообщения: 9
Зарегистрирован: 10 мар 2018, 15:00

Код: Выделить всё

NAT

chain=srcnat action=masquerade to-addresses=ВнешнийИП routing-mark=MarkISP1 routing-table=MarkISP1 src-address=10.10.10.0/24 out-interface=pppoe-isp1 log=no log-prefix=""
chain=srcnat action=masquerade routing-mark=MarkISP2 routing-table=MarkISP2 src-address=192.168.0.0/24 out-interface=pppoe-isp2 log=no log-prefix=""

Код: Выделить всё

Mangle

#1 chain=prerouting action=mark-routing new-routing-mark=MarkISP1 passthrough=yes src-address-list=LocalNetwork-ISP1 log=no log-prefix="" 
#2 chain=prerouting action=mark-routing new-routing-mark=MarkISP1 passthrough=yes src-address-list=LocalNetwork-ISP1 log=no log-prefix=""

Изображение

Изображение


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

podarok66 писал(а): 13 мар 2018, 21:36 Локальные сети - я бы разделил по портам. Уж не помню, как там чипы коммутации их объединяют, сами посмотрите в сети, ну например 9-16 порты собрал бы в bridge9-16, а 17-24 порты в bridge17-24. На каждый из бриджей повесить dhcp-server со своим пулом.
У топикстартера CRS125. Вы уверены что чип коммутации и аппаратная разгрузка будут работать при двух бриджах?


Александр
Закрыто