Страница 4 из 4
Re: Несколько PPPoE на одном микротик
Добавлено: 30 май 2017, 00:18
andreyko
KARaS'b писал(а):1)Допустим у вас есть подсеть 192.168.10.0/24, тогда в мангле создаем правило
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=10net passthrough=no src-address=192.168.10.0/24
2) И у вас есть пппое с именем pppoe1 через которое вы эту подсеть хотите выпустить, тогда идем в маршруты и создаем маршрут
Код: Выделить всё
/ip route
add distance=1 gateway=pppoe1 routing-mark=10net
Все, вся подсеть 10.0/24 будет выходить только через это пппое. Сразу стоит отметить, указывать непосредственно интерфейс как "точку выхода" можно только если это туннель, ели у вас "статика" или dhcp такой номер не пройдет и нужно указывать непосредственно шлюз выданный провайдером.
Останется только написать правило маскарада, что бы не городить забор из 8 правил, идете в интерфейслист и создаете там лист с именем например wan, собираете свои пппое в этот лист и создаете правило
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=wan
Все, ваша подсеть полностью обинтернечена, для остальных повторяете пункты 1 и 2 с изменением меток и созданием маршрута под эту метку с указанием нужного гетвея.
а что это немного не понимаю?
Сразу стоит отметить, указывать непосредственно интерфейс как "точку выхода" можно только если это туннель
Re: Несколько PPPoE на одном микротик
Добавлено: 30 май 2017, 00:25
KARaS'b
gateway=pppoe1 Такое возможно только если у вас, например, pppoe от провайдера, как в вашем случае, была бы статика, нельзя было бы указать интерфейс, нужно бы было указывать адрес шлюза
Re: Несколько PPPoE на одном микротик
Добавлено: 30 май 2017, 22:44
andreyko
А подскажите пожалуйста как применить определенные правила в fireval к определенным pppoe если их 8 ?
Может как можно листы правил создавать?
Re: Несколько PPPoE на одном микротик
Добавлено: 29 ноя 2017, 11:18
kriostar
А может быть проще сделать разделение посредством VRF?
Re: Несколько PPPoE на одном микротик
Добавлено: 29 ноя 2017, 11:44
kriostar
Оживлю тему.
Самому требуется сделать по такой схеме включение двух разных PPPoE от одного провайдера (Ростелеком). У прова установлен управляемый коммутатор со 100 мб портами. У меня микротик rb850. ETH1 будет PPPoE1, ETH2-PPPoE2, ETH3-172.16.10.0/30(локалка), ETH4-172.16.11.0/30(локалка).
Вопрос: Можно сделать разделение посредством NAT не залазя в маркировку?
Re: Несколько PPPoE на одном микротик
Добавлено: 29 ноя 2017, 12:33
Vlad-2
kriostar писал(а):Вопрос: Можно сделать разделение посредством NAT не залазя в маркировку?
Ну а если подумать? Как работает сеть, передача пакеты и его приём?1) у Вас два канала;
2) Хотите их оба использовать для глобала;
3) Шлюз по-умолчанию (обычный) может быть один ==> что ответы будут приходить
только на тот/в тот канал, для которого шлюз прописан. Второй канал (рррое) будет сидеть/висеть, но толку мало.
Маркировка для чего сделана!? Чтобы можно было создать альтернативные/дополнительные
таблица маршрутизации, в каждой которой уже можно также делать шлюз по-умолчанию.
Поэтому НАТом тут не обойтись, это обычное межсетевое взаимодействие. НАТ это уже чуть другое.
Максимум что можно сделать без маркировки, один канал в глобал, второй для местных запросов
в Ростелекоме (сети, качалка и так далее), явно описав сети Ростелекома в таблице маршрутизации
через тот канал, который будет не для глобала.
(для начинающих/ленивых админов примерно такая задача обычно им нравиться и устраивает).
Re: Несколько PPPoE на одном микротик
Добавлено: 29 ноя 2017, 14:15
kriostar
Попробовал сделать данный фокус через нат, работает только одна из сетей. В общем маркировка необходима.
Re: Несколько PPPoE на одном микротик
Добавлено: 29 ноя 2017, 20:08
kriostar
Настроил экспериментально, работает. Но не пойму почему микротик не является DNS-ом? Приходится сватать DNS-сервера на компы.
Вот конфиг:
Код: Выделить всё
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether3 ] arp=reply-only
set [ find default-name=ether5 ] arp=reply-only
/interface pppoe-client
add disabled=no interface=ether1 name=pppoe-out1 password=xxxxx user=xxxxx
add disabled=no interface=ether1 name=pppoe-out2 password=xxxxx user=xxxxx
/interface list
add name=WAN
/ip pool
add name=dhcp_pool1 ranges=172.16.11.2-172.16.11.6
add name=dhcp_pool2 ranges=172.16.12.3-172.16.12.14
add name=dhcp_pool3 ranges=172.16.17.2-172.16.17.14
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
add add-arp=yes address-pool=dhcp_pool2 disabled=no interface=ether3 name=dhcp2
add add-arp=yes address-pool=dhcp_pool3 disabled=no interface=ether4 name=dhcp3
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether5
/interface list member
add interface=pppoe-out1 list=WAN
add interface=pppoe-out2 list=WAN
/ip address
add address=172.16.11.1/29 interface=bridge1 network=172.16.11.0
add address=172.16.17.1/28 disabled=yes interface=ether4 network=172.16.17.0
add address=172.16.12.1/28 interface=ether3 network=172.16.12.0
/ip arp
add address=172.16.12.2 interface=ether3 mac-address=4C:17:EB:07:66:B9
/ip dhcp-server lease
add address=172.16.12.14 always-broadcast=yes mac-address=88:70:8C:E1:B7:E9 server=dhcp2
/ip dhcp-server network
add address=172.16.11.0/28 dns-server=77.88.8.8,77.88.8.1 gateway=172.16.11.1
add address=172.16.12.0/28 dns-server=77.88.8.8,77.88.8.1 gateway=172.16.12.1
add address=172.16.17.0/28 dns-server=172.16.17.1 gateway=172.16.17.1
/ip firewall address-list
add address=5.61.23.11 comment=ok.ru list=drop@ok.ru
add address=217.20.155.13 comment=ok.ru list=drop@ok.ru
add address=217.20.156.167 comment=ok.ru list=drop@ok.ru
add address=217.20.147.1 comment=ok.ru list=drop@ok.ru
add address=217.20.156.131 comment=ok.ru list=drop@ok.ru
add address=217.20.155.16 comment=ok.ru list=drop@ok.ru
add address=217.20.152.234 comment=ok.ru list=drop@ok.ru
add address=193.0.170.24 comment=mamba.ru list=drop@mamba.ru
add address=193.0.170.23 comment=mamba.ru list=drop@mamba.ru
add address=193.0.170.25 comment=mamba.ru list=drop@mamba.ru
add address=193.0.170.26 comment=mamba.ru list=drop@mamba.ru
/ip firewall filter
add action=drop chain=forward comment=drop@mamba.ru dst-address-list=drop@mamba.ru src-address=172.16.11.0/29
add action=drop chain=forward comment=drop@ok.ru disabled=yes dst-address-list=drop@ok.ru src-address=172.16.12.0/28
add action=drop chain=forward comment=drop@mamba.ru dst-address-list=drop@mamba.ru src-address=172.16.12.14
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=1611 passthrough=no src-address=172.16.11.0/29
add action=mark-routing chain=prerouting new-routing-mark=1612 passthrough=no src-address=172.16.12.0/28
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes src-address=172.16.11.0/29
add action=masquerade chain=srcnat disabled=yes src-address=172.16.12.0/28
add action=masquerade chain=srcnat disabled=yes src-address=172.16.17.0/28
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route
add distance=1 gateway=pppoe-out1 routing-mark=1611
add distance=1 gateway=pppoe-out2 routing-mark=1612
Может кто поможет?
Re: Несколько PPPoE на одном микротик
Добавлено: 30 ноя 2017, 00:51
Vlad-2
kriostar писал(а):Настроил экспериментально, работает. Но не пойму почему микротик не является DNS-ом? Приходится сватать DNS-сервера на компы.
Вот конфиг:
Код: Выделить всё
/ip route
add distance=1 gateway=pppoe-out1 routing-mark=1611
add distance=1 gateway=pppoe-out2 routing-mark=1612
Может кто поможет?
Такое ощущение что моё предыдущее сообщение вообще не читали.
Я специально оставил только ту часть кода, в которой Вы кое что пропустили.
Не догадались?
Микротику Вы не задали шлюз по-умолчанию без маркировки, то есть банально
микротик как сетевое устройство не знает куда от себя лично посылать запросы,
поэтому и пинг обычный (без указания таблицы иной) и ДНСы - с самого микротика
работать не будут, шлюз укажите, то есть какой то провайдер у Вас для микротика
будет дефолтным.
Re: Несколько PPPoE на одном микротик
Добавлено: 30 ноя 2017, 10:39
kriostar
Да действительно прохлопал ушами:
Код: Выделить всё
/ip route
add distance=1 gateway=pppoe-out1 routing-mark=1611
add distance=1 gateway=pppoe-out2 routing-mark=1612
add distance=1 gateway=pppoe-out1,pppoe-out2
Добавил и все работает как часы.
Спасибо!