Страница 3 из 3
Re: Два провайдера. Необычный глюк. Ткните носом.
Добавлено: 06 окт 2017, 09:17
BUOMEX
KARaS'b писал(а):BUOMEX писал(а):
Форвард - все что проходит через микротик и предназначено не ему, так же в любом направлении, даже если это внутренняя маршрутизация, например межу двумя лок. сетями. Для примера - мы ходим запретить локальным хостам обращаться к определенному адресу в интенете, в таком случае в правиле мы укажем цепочку форвард. Или же хотим изолировать две лок. сети и снова нам поможет форвард.
По умолчанию, как уже сказали, микротик не блокирует ничего, т.е. в чистом конфиге вообще без правил, разрешено все и всем, любой инпут, аутпут и форвард. Правила отрабатывают по очереди от первого к последнему, соответственно если где-то будет правило\ряд правил запрещающие все и будет необходимость сделать исключение из этого правила, то сначала должно стоять разрешающие правило, а уже после него запрещающее.
Спасибо.
А для чего требуется, если требуется создавать мангл для соединений forward, если мы отловили (prerouting и input)соединение на входе - пометили, потом маршуртизировали и снова вернули заказчику (output) по обратной цепочке? Часто вижу в примерах маркировки forward, в том числе для разделения траффика при наличии двух работающих провайдеров.
Re: Два провайдера. Необычный глюк. Ткните носом.
Добавлено: 06 окт 2017, 13:56
podarok66
kreiz писал(а):в чем разница между изоляции сетей при помощи фаервола и при помощи маршрутизации? Я так подозреваю, что первый способ несколько более гибкий
Правильно подозреваете.
Изоляция средствами маршрутизации практически безоговорочна. Минимум условий, запрет на создание маршрута с оговоренного направления.
Фаервол позволяет воткнуть десяток условий, оговорить исключения, описать случай, так сказать, полностью. Я маршрутизацией пользуюсь крайне редко, когда мне точно не нужно никакого общения между сегментами. И то, фаервол мне ближе. В любой момент можно что-то дописать, изменить, просто поднять выше в таблице.
BUOMEX писал(а):А для чего требуется, если требуется создавать мангл для соединений forward, если мы отловили (prerouting и input)соединение на входе - пометили, потом маршуртизировали и снова вернули заказчику (output) по обратной цепочке? Часто вижу в примерах маркировки forward, в том числе для разделения траффика при наличии двух работающих провайдеров.
Выберите уже один мануал и придерживайтесь его. Надергать из нескольких по кусочку - не лучшая идея. Лично у меня резервирование и маркировал я инпут и аутпут.
Re: Два провайдера. Необычный глюк. Ткните носом.
Добавлено: 09 окт 2017, 05:09
BUOMEX
Я разобрался в чем было дело. Может это глюк, а может нет. В общем по заявленной мною в шапке проблеме. Микротик работает странно и бла бла бла.
Когда я просто активировал адреса назначенные второму провайдеру, даже не подключая в них линк, микротик самостоятельно на вкладке Quick Set заменял мне адреса локального шлюза на LAN и WAN интерфейсах на те что должны быть у пока еще не работающего провайдера. В итоге инет работал, пробросы работают, а некоторые сайты нет. Я грешил на манглы и прочее, оказалось все проще и страннее. Собственно такое поведение микротика, сильно осложняло мне понимание и вникание в материал по его изучению.
Еще раз спасибо всем.
Re: Два провайдера. Необычный глюк. Ткните носом.
Добавлено: 09 окт 2017, 06:27
Vlad-2
Ну вот, рад за Вас!
И всё же Quick Set - это визард для начальной типичной(домашней) работы.
ОН (визард) не умеет и не понимает многого, тем более два канала, разные параметры/маркировки.
Вам ещё повезло, последствия могли быть ещё хуже.
На форуме (в целом) ни раз говорилось, что роутер надо обнулять, не использовать дефолт-конфигурацию,
и не использовать для настройки Quick Set - это потом боком выходит.
Да и посмотрите, никто в этой теме про Quick Set даже и буквы не написал.....
Re: Два провайдера. Необычный глюк. Ткните носом.
Добавлено: 09 окт 2017, 07:29
BUOMEX
А в том и дело что я QuickSet тоже не использую и не использовал и конфиг сносил полностью при начальной настройке. Но когда отчаялся искать причину странного поведения, заглянул туда и с удивлением обнаружил такую вот беду.
Re: Два провайдера. Необычный глюк. Ткните носом.
Добавлено: 09 окт 2017, 09:33
podarok66
Если заглянуть в Quick Set даже правильно настроенных Микротиков, мы можем с большой вероятностью обнаружить там полную ахинею. Я не знаю с чем это связано, логики понять не могу, да и не хочу голову забивать ненужным. Просто взял себе за правило настраивать железки, не обращаясть к этому злополучному разделу. И все вопросы по нему игнорирую. Ну раз у вас получилось настроить с помощью него, то флаг вам в руки. Теперь выгрузите себе конфигурацию с рабочей железки и сравните с той, которая у вас не работала. Поймете где был действительный затык. Это чтобы шаманские действия в будущем заменить на осознанные шаги.
Re: Два провайдера. Необычный глюк. Ткните носом.
Добавлено: 10 окт 2017, 12:38
kreiz
А меня, знаете ли, в этом вопросе еще интересует резервирование, как бы, входящих подключений У меня к примеру завязаны тоннели на адреса и после того, как отвалится основной канал (даже при учете работы резервного) они будут биться в пустоту. Пока что ничего кроме как две А-записи в ДНС на разные адреса не придумал да и не пробовал пока реализовать. Может быть это делается более грамотно? Ну и каким образом применять правила для входящих соединений к двум интерфейсам сразу, чтобы не делать по два одинаковых на каждый?
Re: Два провайдера. Необычный глюк. Ткните носом.
Добавлено: 10 окт 2017, 13:47
KARaS'b
kreiz писал(а):А меня, знаете ли, в этом вопросе еще интересует резервирование, как бы, входящих подключений У меня к примеру завязаны тоннели на адреса и после того, как отвалится основной канал (даже при учете работы резервного) они будут биться в пустоту. Пока что ничего кроме как две А-записи в ДНС на разные адреса не придумал да и не пробовал пока реализовать. Может быть это делается более грамотно? Ну и каким образом применять правила для входящих соединений к двум интерфейсам сразу, чтобы не делать по два одинаковых на каждый?
1) Два тоннеля одновременно и два маршрута с разной дистанцией. Упал первый канал, маршрут сразу стад недоступным и заработал второй маршрут и наоборот, поднялся первый канал - маршрут заработал, все пошли по первому каналу.
2) "DDNS", так реализовано у меня, на основе noip, клиентские точки подключаются по имени и переключение пусть и не моментальное но за пару минут все кто должен был подключится подключается уже по новому адресу.
Re: Два провайдера. Необычный глюк. Ткните носом.
Добавлено: 10 окт 2017, 15:10
kreiz
Два тоннеля одновременно и два маршрута с разной дистанцией
Спасибо. На счет двух тоннелей тоже думал изначально, но мне такая реализация показалась громоздкой и неэлегантной, а главное негибкой. Ну и отверг сгоряча. А что скажете насчет идеи - чтобы все подключение изначально шли на какой-нибудь ВДС, который гаранированно в онлайне 24\7? А оттуда уже два тоннеля с дистанциями и пусть разруливает..