Russian Users MikroTik | Форум пользователей MikroTik

На мой взгляд не сильно удачная идея. Это нужно для каждого пакета подменять адрес источника. Ведь удалённый хост всегда отвечает на тот IP адрес, с которого пришёл запрос.
Будут проблемы со скайпом, банковскими клиентами, бухгалтерскими прогами, сип и так далее. Проблемы эти решить можно, но нужно подменять адреса, а это дополнительная нагрузка на оборудование.

Не проще ли сервера в одну дырку, все стальной в другую, но весь трафик и входящий и исходящий?

Николай, соглашусь с gmx - задача (именно описанная в последнем Вашем посте) слегка не простая,
тем более, что тема поста идёт как - "1 комп через другой WAN", а значит надо оперировать WAN подключениями,
и используя разные подключения формировать группы клиентов которых мы направим в один канал,
а других(остальных) в другой. Я в рамках этой сущности и отвечал, и делился как это у меня сделано.
И я используя это и в жизни, на быстрый канал подключены у меня сервера и директора (они типа платят за это),
на медленный канал подключены не требовательные подключения - (ВиФи сегмент, качальщики и всякое разное).

Ну и на счёт того, чтобы входящий брать с одного подключения,а исходящий со второго подключение = это также сложно,
как если брать "фазу" с одного источника питания и "минус" с другого источника питания и эти источники никак не соединены - и пытаться чтобы нагрузка заработала.

Поэтому уточните, как всё же надо, и будем идти к цели.
Со своей стороны и помогу чем смогу, и могу дать доступы на роутер(ы) для понимания сущности работы двух(и более каналов) в рамках статичного распределения клиентов локальных между WAN'ами.

Я походу не совсем так выразился.

Есть два вышеописанных провайдера.
Задача чтобы все пользователи сети ( вообще все, кроме ... тут будет некий список исключения, но это не сейчас ... ) ходили в инет через первый провайдер. Ходили, седели, качали и загружали. Полноценная работа с одним провайдером.
Но есть несколько серверов в локальной сети + vpn сервер в самом микротике, которые должны ходить только через второй провайдер.

Для понимания процесса говорю ( хотя это не так и оба провайдера выдают белый IP), что первый провайдер НЕ имеет внешнего ip, второй имеет.

Dragon_Knight писал(а):Я походу не совсем так выразился.
Есть два вышеописанных провайдера.
Задача чтобы все пользователи сети ( вообще все, кроме ... тут будет некий список исключения, но это не сейчас ... ) ходили в инет через первый провайдер. Ходили, седели, качали и загружали. Полноценная работа с одним провайдером.
Но есть несколько серверов в локальной сети + vpn сервер в самом микротике, которые должны ходить только через второй провайдер.
Для понимания процесса говорю ( хотя это не так и оба провайдера выдают белый IP), что первый провайдер НЕ имеет внешнего ip, второй имеет.

Задача обычная, как раз без всяких замудрств и сложностей, есть дефолтный канал и второй.
Насчёт айпи белых, тут не важно, главное натить от адреса данного провайдером, а дальше уже задача провайдера
выпускать трафик в глобал.

Часть конфигов я выше приводил, в любом случаи - стучитесь в личку, будем решать задачу на практике.

https://wiki.mikrotik.com/wiki/Manual:I ... ault_route
{quote]pref-src of connected route is equal to address part of address of ip address item.[/quote]

Если я правильно понимаю этот параметр, то когда он не заполнен, маршрут будет работать с любого IP адреса роутера (клиент может обращаться на любой IP, который есть у роутера, и этот маршрут будет использоваться).
А если в это поле вписать конкретный IP (из тех, что присвоены роутеру), то маршрут будет использоваться только для клиентов, обратившихся в этот конкретный адрес.

Если вики меня не обмануло, тогда так:

Повесить на бридж второй IP.
В IP / Route добавить еще один дефолт (0.0.0.0), выбрав в gateway нужного оператора (IP. или интерфейс).
А в Pref. Source поставить этот второй IP, присвоенный бриджу.
Все.

На компьютерах, которым нужно ходить в интернет через этого оператора вручную ставить дефолтный маршрут на этот второй IP бриджа.

Erik_U писал(а):https://wiki.mikrotik.com/wiki/Manual:IP/Route#Default_route
pref-src of connected route is equal to address part of address of ip address item.
Если я правильно понимаю этот параметр, то когда он не заполнен, маршрут будет работать с любого IP адреса роутера (клиент может обращаться на любой IP, который есть у роутера, и этот маршрут будет использоваться).
А если в это поле вписать конкретный IP (из тех, что присвоены роутеру), то маршрут будет использоваться только для клиентов, обратившихся в этот конкретный адрес.

Я его истолковываю чуть чуть иначе, pref-source - предпочитаемый адрес роутера при взаимодействии с другим роутером при маршрутизации(ях).

Erik_U писал(а):Повесить на бридж второй IP.
В IP / Route добавить еще один дефолт (0.0.0.0), выбрав в gateway нужного оператора (IP. или интерфейс).
А в Pref. Source поставить этот второй IP, присвоенный бриджу.
Все.
На компьютерах, которым нужно ходить в интернет через этого оператора вручную ставить дефолтный маршрут на этот второй IP бриджа.

Увы, дефолтный маршрут с одинаковой метрикой и без альтернативной(ых) таблиц маршрутизации - может быть один.
Вы попробуйте так сделать, у Вас второй маршрут будет "синий" и соответственно не работать.

Не надо тут придумывать, задача простая в целом (для средне-начинающих микротиковцев).
1) настраиваем роутер на работу с одним каналом и естественно он у нас как дефолтный
2) (грубо и обобщённо скажу) делаем адрес-лист нужных нам условий (айпи адреса, ещё по каким то критерием), эти
критерии заносим в адрес-лист, этот адрес лист "метим", то бишь маркируем(через мангл-правила), и уже в таблице маршрутизации
описываем куда помеченные пакеты слать (в данном случаи на шлюз второго канала).

Ну да, согласен.

Тогда, как вариант, можно поднять метароутер, у которого в локальную сеть будет другой IP, а дефолтный маршрут прописан в сторону второго оператора.
И если IP метароутера указывать на ПК как шлюз по умолчанию, в сторону второго оператора пакеты и полетят.

Решил поднять старую тему, может кому пригодится...

Вообще причиной тому, что у меня поголовно не один роутер не работал с двумя провайдерами заключается в опции "ip settings rp-filter: strict". После установки опции "loose" всё заработало как нужно.
Спасибо vqd за поиск этой проблемы.

Во как! А за что, собственно, данная опция отвечает? У меня "no" по-умолчанию всегда...

podarok66, проверка адреса источника.
Для предотвращения DDoS атак это опция - спасение, но из-за неё нельзя сделать два WAN...
Вот выдержка из wiki, я как-то последнюю строчку и упустил из виду :(

Disables enables source validation.

no - No source validation.
strict - Strict mode as defined in RFC3704 Strict Reverse Path. Each incoming packet is tested against the FIB and if the interface is not the best reverse path the packet check will fail. By default failed packets are discarded.
loose - Loose mode as defined in RFC3704 Loose Reverse Path. Each incoming packet's source address is also tested against the FIB and if the source address is not reachable via any interface the packet check will fail.

Current recommended practice in RFC3704 is to enable strict mode to prevent IP spoofing from DDos attacks. If using asymmetric routing or other complicated routing or VRRP, then loose mode is recommended.