Два провайдера - две сети непересекающихся

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

4fatal писал(а): 22 май 2020, 23:42 Вот это я и не понимаю, каким механизмом заставить микротик работать с локального адреса(
НУ также, маркировками.
Возьмите сервер Ваш почтовый (куда Вы хотите отправлять), его адрес промаркируйте чтобы
он выходил с нужного канала, и/или с нужного адреса.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
4fatal
Сообщения: 4
Зарегистрирован: 21 май 2020, 02:17

Vlad-2 писал(а): 23 май 2020, 01:14
4fatal писал(а): 22 май 2020, 23:42 Вот это я и не понимаю, каким механизмом заставить микротик работать с локального адреса(
НУ также, маркировками.
Возьмите сервер Ваш почтовый (куда Вы хотите отправлять), его адрес промаркируйте чтобы
он выходил с нужного канала, и/или с нужного адреса.
Нашел в чем была причина, микротик не виноват)
Отправлял почту через smtp яндекса по порту 465. Этот порт предназначен для отправки через SSL. Микрот же шлет через stat-tls, видимо яндексу это не нравится. Поменял порт на 587 - и все побежало.


nikolay.hmarin
Сообщения: 15
Зарегистрирован: 18 мар 2019, 23:43

Тема хорошая, смотрю тут многие загонялись и прям не по-детски, но честно признаться все эти конфиги в основном избыточны. Вот вам реально рабочий вариант.
Первый провайдер - мы настраиваем классически как буд-то у нас на роутере всего 1 провайдер, допустим это l2tp, соответственно как подцепить L2tp я думаю если вы интересуетесь этой темой, то основы вы знаете (настройка оборудования микротик с 0). Вы уже наторили наш микрот и через первый канал наши юзвери радуются бескрайними просторами интернета. Второй провайдер например PPPoE. Приступаем "к сложной" теме, вот что нужно сделать:

PPPoE - имя интерфейса провайдера 2
всё это допустим хочу засунуть в интерфейс bridge во Vlan 2 (br_vl2 - имея интерфейса)

/ip firewall mangle
add chain=input in-interface=br_vl2 action=mark-connection new-connection-mark=in-pppoe
add chain=output connection-mark=in-pppoe action=mark-routing new-routing-mark=out-pppoe passthrough=no
/ip firewall nat add chain=srcnat out-interface=PPPoE action=masquerade
/ip route add distance=10 gateway=PPPoE routing-mark=out-pppoe
/ip route rule
add action=lookup-only-in-table routing-mark=out-pppoe table=out-pppoe
add action=lookup-only-in-table interface=br_vl2 table=out-pppoe

что мы сделали: создали второе подключение, промаркировали весь входящий из вне, исходящий трафик от клиентов второго провайдера, указали куда и как должен ходить это трафик.интерфейсы, маркировки и т.п. специально написаны по разному чтоб было понятно что с чем связано
Должны ли быть одинаковыми table=out-pppoe и routing-mark=out-pppoe не проверял (но самому стало интересно, завтра проверю), связаны они между собой или нет, работает всё как нужно. Данная конфига сделана по принципу наимексимальнейшей гиброксти системы, пробовал несколько разнообразных вариантов в, т.ч. и что тут на форуме на самой первой странице, но только на русскоговорящих форумах конфиги сделаются максимально криворуко чтоб копипастили не понимая что это, зачем и с чем едят (моя конфига это конфига предложенная kt72ru на первой странице, слегка доведена до ума + убрал из неё всё лишнее).

соответственно если хотим добавить 3,4,5... провайдера переименовываем все что нужно заменой повторяющегося текста и вуаля, пару кликов мыши и конфига поправлена для 3,4,5... провайдера

Если первый провайдер NAT вы указали через интерфейс лист лучше поправьте на
/ip firewall nat add chain=srcnat out-interface=L2TP action=masquerade

DHCP локалку для юзверей второго провайдера настраиваете по аналогии с 1 провайдером, не стоит внимания, настройке Vlan так же внимание уделять не стал, там все проще не куда (через Vlan Filtring), не каждому нужно да и к теме не имеет никакого отношения. Тема разделение DNS да в принципе тоже проще некуда, на уровне DHCР ну может ремап принудительно сделаете...
Последний раз редактировалось nikolay.hmarin 01 апр 2021, 21:41, всего редактировалось 2 раза.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

nikolay.hmarin писал(а): 01 апр 2021, 21:05 /ip firewall mangle
add chain=input in-interface=br_vl2 action=mark-connection new-connection-mark=in-pppoe
add chain=output connection-mark=in-pppoe action=mark-routing new-routing-mark=out-pppoe passthrough=no
/ip firewall nat add chain=srcnat out-interface=PPPoE action=masquerade
/ip route add distance=10 gateway=PPPoE routing-mark=pppoe coment="в данном случае distance не играет никакой роли"
/ip route rule
add action=lookup-only-in-table routing-mark=out-pppoe table=out-pppoe
add action=lookup-only-in-table interface=br_vl2 table=out-pppoe
Учитывая, что цепочки input и output - это то, что идет на сам роутер/уходит с него, в комбинации со строчкой /ip route rule add action=lookup-only-in-table routing-mark=out-pppoe table=out-pppoe получается, что вы отправляете весь ответный трафик роутера в сторону провайдера, вместо того, чтобы отправлять его в br_vl2.
То есть эти три строчки просто ломают связь клиентов с самим роутером и более ничего.
И все бы ничего, но строчка /ip route rule add action=lookup-only-in-table interface=br_vl2 table=out-pppoe имеет в числе прочего такое же свойство: не даёт клиентам из br_vl2 общаться с роутером.

Итого, вы с таким же успехом можете оставить всего две строчки, работать оно будет точно так же:

Код: Выделить всё

/ip route add distance=10 gateway=PPPoE routing-mark=out-pppoe
/ip route rule add action=lookup-only-in-table interface=br_vl2 table=out-pppoe


Telegram: @thexvo
nikolay.hmarin
Сообщения: 15
Зарегистрирован: 18 мар 2019, 23:43

xvo писал(а): 01 апр 2021, 21:30
nikolay.hmarin писал(а): 01 апр 2021, 21:05 /ip firewall mangle
add chain=input in-interface=br_vl2 action=mark-connection new-connection-mark=in-pppoe
add chain=output connection-mark=in-pppoe action=mark-routing new-routing-mark=out-pppoe passthrough=no
/ip firewall nat add chain=srcnat out-interface=PPPoE action=masquerade
/ip route add distance=10 gateway=PPPoE routing-mark=pppoe coment="в данном случае distance не играет никакой роли"
/ip route rule
add action=lookup-only-in-table routing-mark=out-pppoe table=out-pppoe
add action=lookup-only-in-table interface=br_vl2 table=out-pppoe
Учитывая, что цепочки input и output - это то, что идет на сам роутер/уходит с него, в комбинации со строчкой /ip route rule add action=lookup-only-in-table routing-mark=out-pppoe table=out-pppoe получается, что вы отправляете весь ответный трафик роутера в сторону провайдера, вместо того, чтобы отправлять его в br_vl2.
То есть эти три строчки просто ломают связь клиентов с самим роутером и более ничего.
И все бы ничего, но строчка /ip route rule add action=lookup-only-in-table interface=br_vl2 table=out-pppoe имеет в числе прочего такое же свойство: не даёт клиентам из br_vl2 общаться с роутером.

Итого, вы с таким же успехом можете оставить всего две строчки, работать оно будет точно так же:

Код: Выделить всё

/ip route add distance=10 gateway=PPPoE routing-mark=out-pppoe
/ip route rule add action=lookup-only-in-table interface=br_vl2 table=out-pppoe
Пробовал, без mangle input mark-connection и mark-routing работать не будет т.к. RoS не понимает что делать с трафиком 2 провайдера без маркировки и создания отдельной второй адресной таблицы. Можете пробовать и даже логи посмотреть(принудительно создать логирование) что будет происходить в данном случае, если конечно что-то вообще будет происходить :-) внимательней читайте конфиг там четко написано смотреть только в адресную таблицу out-pppoe, добавка машрута доступа к роутеру произойдет на этапе конфига DHCP и DNS, по внимательнее плз конфиг смотрите... "читаю книгу, а там :ps_ih: :)-(: "
Последний раз редактировалось nikolay.hmarin 01 апр 2021, 22:36, всего редактировалось 2 раза.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

nikolay.hmarin писал(а): 01 апр 2021, 21:52 Пробовал, без mangle input mark-connection и mark-routing работать не будет т.к. RoS не понимает что делать с трафиком 2 провайдера без маркировки и создания отдельной второй адресной таблицы.
Вторая таблица создаётся строчкой:
/ip route add distance=10 gateway=PPPoE routing-mark=out-pppoe
Её я убирать вам не предлагал.
А строчкой
i]/ip route rule add action=lookup-only-in-table interface=br_vl2 table=out-pppoe[/i]
эта таблица применяется к трафику исходящему из сети br_vl2.
Обратный трафик у вас в любом случае (что с вашими правилами mangle, что без) ходит по основной таблице.

Так что проверяйте лучше.


И да, пожалуй я погорячился - в моём варианте с доступом на роутер все в порядке скорее всего будет.


Telegram: @thexvo
nikolay.hmarin
Сообщения: 15
Зарегистрирован: 18 мар 2019, 23:43

xvo писал(а): 01 апр 2021, 22:00
nikolay.hmarin писал(а): 01 апр 2021, 21:52 Пробовал, без mangle input mark-connection и mark-routing работать не будет т.к. RoS не понимает что делать с трафиком 2 провайдера без маркировки и создания отдельной второй адресной таблицы.
Вторая таблица создаётся строчкой:
/ip route add distance=10 gateway=PPPoE routing-mark=out-pppoe
Её я убирать вам не предлагал.
А строчкой
i]/ip route rule add action=lookup-only-in-table interface=br_vl2 table=out-pppoe[/i]
эта таблица применяется к трафику исходящему из сети br_vl2.
Обратный трафик у вас в любом случае (что с вашими правилами mangle, что без) ходит по основной таблице.

Так что проверяйте лучше.


И да, пожалуй я погорячился - в моём варианте с доступом на роутер все в порядке скорее всего будет.
так поэтапно разжую конфиг для непонятливых, любую из трок убираете и нифига не работает... проверено.

/ip firewall mangle - маркируем входящее соединение и всё что выплёвывает из себя микрот - на этом этапе никаких таблиц не создается это просто идентификатор для пакета или соединеия
add chain=input in-interface=br_vl2 action=mark-connection new-connection-mark=in-pppoe
add chain=output connection-mark=in-pppoe action=mark-routing new-routing-mark=out-pppoe passthrough=no
/ip firewall nat add chain=srcnat out-interface=PPPoE action=masquerade - натим трафик для второго провайдера, особо отчаянные могут дописать адрес лист назначения, но и без него работать будет.
/ip route add distance=10 gateway=PPPoE routing-mark=out-pppoe - всё что имеет routing-mark=out-pppoe присвоить как основной шлюз PPPoE для всего что с пометкой routing-mark=out-pppoe
/ip route rule
add action=lookup-only-in-table routing-mark=out-pppoe table=out-pppoe - принудительное создание таблица марштуров если они не поднялось или не обновились при новой сессиий, это кстати исправлят 1 из неприятнейших багов с firewall connection list - залипание старых маршрутов
add action=lookup-only-in-table interface=br_vl2 table=out-pppoe - применять маршрутизацию table=out-pppoe по новой таблице только для br_vl2

Смотрю на конфиг, он и правда не вяжется логически(дыры есть), но это просто потому что нет конфига br_vl2, DHCP и обработку DNS с ними вся цепочка становится очевида и видна.
Последний раз редактировалось nikolay.hmarin 01 апр 2021, 22:43, всего редактировалось 1 раз.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну то есть вас не смущает что ваш мангл помечает только соединения от клиентов самому роутеру, а от клиентов наружу в интернет - нет?

Больше вопросов не имею.
Вы бы хотя бы документацию почитали, прежде чем свои опусы на суд общественности выставлять...

Охохо, и я ещё вот это пропустил:
nikolay.hmarin писал(а): 01 апр 2021, 21:52 добавка машрута доступа к роутеру произойдет на этапе конфига DHCP и DNS


Telegram: @thexvo
nikolay.hmarin
Сообщения: 15
Зарегистрирован: 18 мар 2019, 23:43

xvo писал(а): 01 апр 2021, 22:42 Ну то есть вас не смущает что ваш мангл помечает только соединения от клиентов самому роутеру, а от клиентов наружу в интернет - нет?

Больше вопросов не имею.
Вы бы хотя бы документацию почитали, прежде чем свои опусы на суд общественности выставлять...
1. /ip firewall mangle
2. add chain=input in-interface=br_vl2 action=mark-connection new-connection-mark=in-pppoe
3. add chain=output connection-mark=in-pppoe action=mark-routing new-routing-mark=out-pppoe passthrough=no
4. /ip firewall nat add chain=srcnat out-interface=PPPoE action=masquerade
6. /ip route add distance=10 gateway=PPPoE routing-mark=pppoe
7. /ip route rule
8. add action=lookup-only-in-table routing-mark=out-pppoe table=out-pppoe
9. add action=lookup-only-in-table interface=br_vl2 table=out-pppoe

пожалуй да, нужно будет потеснить пару моментов, спасибо за инфу, нет предела совершенству :co_ol:
Последний раз редактировалось nikolay.hmarin 01 апр 2021, 23:46, всего редактировалось 2 раза.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Вообще, если серьезно, то вся задача в том виде, в котором вы пытаетесь её решить (добавить на уже работающий роутер второго провайдера, чтобы пустить через него клиентов сидящих на определенном интерфейсе, без балансировки, без failover - тупо PBR), решается одной строчкой:

Код: Выделить всё

/ip route vrf add routing-mark=pppoe interfaces=br_vl2,PPPoE
И да, без лишней нагрузки на роутер вызванной необходимостью отключать fasttrack при использовании mangle.


Telegram: @thexvo
Ответить