Всем добрый день!
Я не гуру, ну и не особо начинающий...
Прежде чем обратиться долго ломал голову, но ничего не вышло.
Описываю ситуацию.
Имеется RB2011 с подключением 3-х провайдеров (будем условно называть на порты WAN)
Провайдеры:
1. 10.10.10.10 (серый IP с доступом в инет)
2. 20.20.20.20 (серый IP без доступа в инет)
3. 30.30.30.30 (серый IP без доступа в инет)
Имеется подключение к интернету через провайдера №2 с и использованием подключения по PPTP, на нем у меня от провайдера белый IP.
На заметку у меня куча других туннелей.
Есть маркировка пакетов по подключением, чтобы клиентов "сажать" в определенные каналы интернета.
В чем заключается проблема:
Физические подключения (которые мы назвали в начале WAN), всегда к ним можно подключиться из вне, будь у них публичный IP, проверено. ВНЕ зависимости какой дефолтный маршрут через какого оператора идет.
По логике вещей, подключение к интернету через провайдера № 2 с публичным IP который, через PPTP в случае если он не является дефолтным маршрутом для роутера, тоже должен быть доступ из вне, но НЕТ.
В чем причина пока не понимаю, возможно в особенности того что это подключение PPTP.
Если коротко и условно говоря:
Имея 4 подключения
1. интернет публичный IP через физический порт "WAN"
2. интернет публичный IP через физический порт "WAN"
3. интернет публичный IP через физический порт "WAN"
4. интернет публичный IP через PPTP
Допустим дефолтный маршрут один из 1,2,3 не важно, к примеру 1 стоит, то мы можем зайти на роутер через 1,2,3, оператора, но через 4 не можем. Если дефолтный стоит 4 оператор то можем зайти на все 4. (но мне не удобно применять дефолтный 4 оператора для всего роутера)..
Вот такая история, может кто имел дело и решение.. или тупо забить и смирится с маркировкой пакетов по маске подсети на того оператора кого надо, а для роутера оставить дефолтным PPTP, как вариант.
За название WAN не пинайте, подумал в сути темы будет понятней.
Доступ к Mikrotik с публичным IP
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Не понял, а как вы подключаетесь извне по серым адресам?!
Очевидно, что если у вас идет подключение снаружи на единственный белый адрес (который у вас через PPTP), то для того, чтобы ответные пакеты улетали тоже через него, надо, чтобы либо маршрут через PPTP был дефолтным, либо помечать входящие через pptp соединения, и отправлять их обратно в ручном режиме.
Очевидно, что если у вас идет подключение снаружи на единственный белый адрес (который у вас через PPTP), то для того, чтобы ответные пакеты улетали тоже через него, надо, чтобы либо маршрут через PPTP был дефолтным, либо помечать входящие через pptp соединения, и отправлять их обратно в ручном режиме.
Telegram: @thexvo
-
evgeniy.babushkin
- Сообщения: 15
- Зарегистрирован: 05 янв 2019, 00:38
Это я описал конфигурацию своей железки. У меня куча микротиков везде стоит, и там где конфигурация 2-3 физических подключения с публичным IP, подключается с любого вне зависимости от установки default route.xvo писал(а): ↑09 ноя 2019, 12:16 Не понял, а как вы подключаетесь извне по серым адресам?!
Очевидно, что если у вас идет подключение снаружи на единственный белый адрес (который у вас через PPTP), то для того, чтобы ответные пакеты улетали тоже через него, надо, чтобы либо маршрут через PPTP был дефолтным, либо помечать входящие через pptp соединения, и отправлять их обратно в ручном режиме.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну видимо, там где все работает, все маркируется как положено: через какой WAN пакет пришел, через тот WAN и отправлять ответный.evgeniy.babushkin писал(а): ↑09 ноя 2019, 12:28 Это я описал конфигурацию своей железки. У меня куча микротиков везде стоит, и там где конфигурация 2-3 физических подключения с публичным IP, подключается с любого вне зависимости от установки default route.
А у вас не настроено, вот и работает только тогда, когда дефолтный маршрут "случайно" оказывается тем единственно нужным.
Telegram: @thexvo
-
evgeniy.babushkin
- Сообщения: 15
- Зарегистрирован: 05 янв 2019, 00:38
Там аналогичная конфигурация... в том то и дело. Что выглядит это так, что роутер просто дружит только с физическими соединениями, а по туннелю нет.xvo писал(а): ↑09 ноя 2019, 12:33Ну видимо, там где все работает, все маркируется как положено: через какой WAN пакет пришел, через тот WAN и отправлять ответный.evgeniy.babushkin писал(а): ↑09 ноя 2019, 12:28 Это я описал конфигурацию своей железки. У меня куча микротиков везде стоит, и там где конфигурация 2-3 физических подключения с публичным IP, подключается с любого вне зависимости от установки default route.
А у вас не настроено, вот и работает только тогда, когда дефолтный маршрут "случайно" оказывается тем единственно нужным.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Приложите конфигурацию, чтобы разговор стал более предметным :)
Telegram: @thexvo
-
evgeniy.babushkin
- Сообщения: 15
- Зарегистрирован: 05 янв 2019, 00:38
Код: Выделить всё
/interface bridge
add arp=reply-only comment=BRIDGE-GUEST name=br-guest
add comment=BRIDGE-LAN fast-forward=no name=br-lan
/interface ethernet
set [ find default-name=ether1 ] comment="ISP1 NORCOM" mac-address=name=ether1-isp1-norcom
set [ find default-name=ether2 ] comment="ISP2 SELENA" mac-address=name=ether2-isp2-selena
set [ find default-name=ether3 ] comment="ISP3 MTS" mac-address=name=ether3-isp3-mts
/interface pptp-client
add allow=mschap2 comment="VPN PPTP SELENA INET" connect-to=250.250.250.250 disabled=no name="PPTP SELENA INET" password=**** user=***
/ip address
add address=10.100.209.239/19 comment=ISP1 interface=ether1-isp1-norcom network=10.100.192.0
add address=10.1.80.133/26 comment=ISP2 interface=ether2-isp2-selena network=10.1.80.128
add address=192.168.10.1/24 comment=LAN interface=br-lan network=192.168.10.0
add address=192.168.110.1/24 comment=GUEST interface=br-guest network=192.168.110.0
add address=10.204.5.158/24 comment=ISP3 interface=ether3-isp3-mts network=10.204.5.0
/ip firewall mangle
add action=mark-routing chain=prerouting comment="ADDRESS LIST ROUTE-ISP1" \
new-routing-mark=output-isp1-marker passthrough=yes src-address=\
192.168.10.0/24 src-address-list=route-isp1
add action=mark-routing chain=prerouting comment="ADDRESS LIST ROUTE-ISP2" \
new-routing-mark=output-isp2-marker passthrough=yes src-address=\
192.168.10.0/24 src-address-list=route-isp2
add action=mark-routing chain=prerouting comment="ADDRESS LIST ROUTE-ISP3" \
new-routing-mark=output-isp3-marker passthrough=yes src-address=\
192.168.10.0/24 src-address-list=route-isp3
add action=mark-routing chain=prerouting comment=\
"ADDRESS LIST ROUTE-PPTP-SELENA-INET" new-routing-mark=\
output-pptp-selena-inet-marker passthrough=yes src-address=\
192.168.10.0/24 src-address-list=route-pptp-selena-inet
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT ISP1" out-interface=\
ether1-isp1-norcom
add action=masquerade chain=srcnat comment="NAT ISP2" out-interface=\
ether2-isp2-selena
add action=masquerade chain=srcnat comment="NAT ISP3" out-interface=\
ether3-isp3-mts
add action=masquerade chain=srcnat comment="NAT PPTP SELENA INET" \
out-interface="PPTP SELENA INET"
/ip route
add comment="DEFAULT GATEWAY VIA ISP1 MARKER" distance=10 gateway=\
10.100.192.1 routing-mark=output-isp1-marker
add comment="DEFAULT GATEWAY VIA ISP2 MARKER" distance=10 gateway=10.1.80.190 \
routing-mark=output-isp2-marker
add comment="DEFAULT GATEWAY VIA ISP3 MARKER" distance=10 gateway=\
10.204.5.254 routing-mark=output-isp3-marker
add comment="DEFAULT GATEWAY VIA PPTP SELENA INET MARKER" distance=10 \
gateway="PPTP SELENA INET" routing-mark=output-pptp-selena-inet-marker
add comment="DEFAULT GATEWAY VIA PPTP SELENA INET" distance=2 gateway=\
"PPTP SELENA INET"
add comment="DEFAULT GATEWAY VIA ISP1" disabled=yes distance=1 gateway=\
10.100.192.1
add comment="DEFAULT GATEWAY VIA ISP2" disabled=yes distance=1 gateway=\
10.1.80.190
add comment="DEFAULT GATEWAY VIA ISP3" disabled=yes distance=1 gateway=\
10.204.5.254
Не совсем понимаю чем поможет конфиг ))
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну например тем, что в конфиге, как я изначально и предполагал, нет ничего про входящие соединения.
Нужно еще два правила mangle:
1) одно mark-connection для новых пакетов, которые прилетают к вам чере pptp.
2) второе mark-routing для всех пакетов из вашей внутренней подсети у которых есть connection-mark проставленная первым правилом.
Нужно еще два правила mangle:
1) одно mark-connection для новых пакетов, которые прилетают к вам чере pptp.
2) второе mark-routing для всех пакетов из вашей внутренней подсети у которых есть connection-mark проставленная первым правилом.
Telegram: @thexvo
-
evgeniy.babushkin
- Сообщения: 15
- Зарегистрирован: 05 янв 2019, 00:38
Да, проблему одновременного существования и доступа это решило. Но создало другую проблему, как теперь определенный IP маршрутить в нужного мне провайдера?, ранее реализовано было через address list и маркировкой пакетов, после маркировки пакетов вх/исх, не работает схема..
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
По тому же принципу переделать: не маркировать сразу все пакеты маршрутами на основании списков, а сначала маркировать новые соединения на основе списков, а роутинг уже на основе проставленной метки соединения.
Telegram: @thexvo