Russian Users MikroTik | Форум пользователей MikroTik

Приветствую!

Настраиваю довольно необычную конфигурацию сети на RB951Ui-2HnD (5 портов).

1 порт - провайдер №1, PPPoE, 1 IP
2 порт - провайдер №2, статика, пул из 9 адресов, общий шлюз
3 порт - провайдер №3, статика, пул из 5 адресов, общий шлюз
4-5 порт - локальная сеть, порты должны быть изолированы друг от друга

Часть адресов необходимо задать роутеру и выходить в инет через NAT, а часть пробросить в локальную сеть, чтобы прямо на устройствах прописывать белый IP - реализовал, объединив 2 3 4 5 порты в бридж.
4-5 и 2-3 порты изолировал друг от друга при помощи bridge filter.
Устройства в локальной сети, на которых не прописана статика провайдера должны получать адреса по DHCP от роутера и находиться за NAT. На бридже создан DHCP сервер.
(Изначально хотел поделить локалку на подсети на 4 и 5 порту, создать 2 DHCP сервера на каждом из портов, изолированы же, но роутер ругнулся, ибо порты в slave режиме - висят на бридже. Если кто знает способ реализовать - поделитесь, пожалуйста.)

Интернет в локалку за NAT сейчас тоже поступает, пока маршруты простые - через distance, позднее буду направлять локальные устройства на разные адреса/провайдеров через mangle.


Сейчас я остановился на том, как создать маршруты, чтобы выход в интернет был с разных адресов одного пула?
Т.е. чтобы 192.168.10.10-20 выходили в инет с адреса 109.ххх.ххх.171, а 192.168.10.100-200 - с адреса 109.ххх.ххх.172. Что и где прописать?

Первый и Главный вопрос:

Вы хотите одновременно работать сразу с тремя провайдерами?

P.S.
Роутер слегка не той модели выбрали.
Три провайдера, две сети, хитрая конфигурация....
роутер должен быть подороже...и по мощнее и моделью посвежее.

В любом случаи: "...стрижка только началась"....

Понимаю, что роутер слабоват, но всё хотят без вложений и на коленке

Да, сразу с тремя провайдерами, при этом использовать еще и разные IP внутри одного провайдера.
Т.е. имя 3 интернет канала, выходить в инет, например, с 5 разных адресов.

Ранее роутер уже был настроен на 3 провайдеров - все WAN имели по одному IP и маршруты были настроены через маркировку пакетов по mangle.
Как поделить клиентов на 3 провайдеров я знаю, а как поделить по IP внутри одного провайдера не пойму.

(если мои ответы будут отдавать лёгким цинизмом - прошу прощение)

tegr писал(а): ↑10 апр 2019, 09:24 Понимаю, что роутер слабоват, но всё хотят без вложений и на коленке

Ну тут я выскажусь так: иметь 3х провайдеров, два ещё с сетями, это даже для материка,
с доступными разными провайдерами = в любом случаи будет солидная сумма.
Поэтому странно, что такой роутер и в такие задачи.
(как говорят, Джип купил, а на колёса не хватило)

tegr писал(а): ↑10 апр 2019, 09:24 Да, сразу с тремя провайдерами, при этом использовать еще и разные IP внутри одного провайдера.
Т.е. имя 3 интернет канала, выходить в инет, например, с 5 разных адресов.

плюс Вы там говорили ещё о том, чтобы внешние (белые) адреса внутри себя раздавать
другим устройствам, и так далее, и прочее.
Ну про раздачу другим устройствам = тут либо по вилану только. Это самое простое.
Опять же, столько каналов, запросов, желаний = не спамеры ли Вы (шучу).

tegr писал(а): ↑10 апр 2019, 09:24 Ранее роутер уже был настроен на 3 провайдеров - все WAN имели по одному IP и маршруты были настроены через маркировку пакетов по mangle.
Как поделить клиентов на 3 провайдеров я знаю, а как поделить по IP внутри одного провайдера не пойму.

Вот наконец-то я увидел правильное слово, это "маркировки". Потому что по Вашему первому сообщению
я даже испугался, потому что сделать 3х провайдеров, одновременную работу, разрулить сети внешние,
потом ещё и локальные, да ещё и при этом иметь всего 5 портов на роутере, это не просто,
не сложно, но не в миг, тут подход нужен.

Кроме вышеописанных нюансов (и надеюсь на них будут и ответы), ещё я явно хочу спросить вот что:
1) А у Вас кроме роутера свитчи есть, желательно управляемые?
1.1) сеть большая, управляемая, сколько сетевого оборудования, какие скорости внутри локалки?
2) зачем Вы порты 2 и 3 между собой как-то зафильтровали? Они если не являются участниками
какова-то бриджа, то такой порт независим и фильтровать его не надо.
Тем более каждый провайдер = отдельный порт. И в бридж их объединять = нельзя вообще.
3) 4-5 порты = тут проще каждый порт сделать в виде отдельной сети, правда и подключать надо их
по отдельности (то есть не допустить физического их слияния).
4) ну и по Вашему вопросу: как пускать одних через один внешний, а других через другой,
странно, что зная о маркировке, Вы не знаете как это делать.
Вам надо создавать два правила НАТ (SRC-NAT) (не маскарайдинг).
В этих правилах Вы должны явно указать какая локальная сеть, через какой
внешний интерфейс и от какова адреса(этот параметр важен) будет выходить.
В правиле SRC-NAT можно и нужно явно задать тот адрес, который нужен.
И чем больше условий в правиле, тем явно и более чётко оно будет срабатывать.
Темы тут такие были.
Вот похоже: viewtopic.php?f=1&t=10212&p=61592#p61592

В сети два офиса, которым нужно выходить в инет с разных адресов, несколько серверов, на которых требуется назначение белых IP, поэтому и необходимо такое количество адресов.

1. Свитчи есть, неуправляемые
1.1 Сеть маленькая, по 15 ПК на каждом порту + несколько сетевых принтеров и камер, которые не ходят в инет. Скорости внутри сети небольшие - до 30мбит в пике.

2. Порты провайдера и локалки в бридже, поскольку для назначения белых IP в локалке руководствовался этой статьей (способ 2).
Изолированы, чтобы не видели друг друга и не было паразитного трафика.

3. Изначально я так и планировал, но по описанной в статье конфигурации необходимо объединение всех портов, чтобы назначать белые адреса внутри локалки.
Готов выслушать более правильный вариант конфигурации.

4. SRC NAT настроил, спасибо. Правда, много времени убил - не хотела работать конфигурация - но заработала просто после перезагрузки роутера.

tegr писал(а): ↑11 апр 2019, 12:59 В сети два офиса, которым нужно выходить в инет с разных адресов, несколько серверов, на которых требуется назначение белых IP, поэтому и необходимо такое количество адресов.

Ясно, но странно, если честно.

tegr писал(а): ↑11 апр 2019, 12:59 1. Свитчи есть, неуправляемые
1.1 Сеть маленькая, по 15 ПК на каждом порту + несколько сетевых принтеров и камер, которые не ходят в инет. Скорости внутри сети небольшие - до 30мбит в пике.

А роутер может быть напрямую подключён к нужным серверам(ну или скажем так, сервер(ы) могут прямо в порт микротика быть подключены?)
Вам надо хотя бы один управляемый свитч, портов мало на роутере, разруливать как трафик?

tegr писал(а): ↑11 апр 2019, 12:59 2. Порты провайдера и локалки в бридже, поскольку для назначения белых IP в локалке руководствовался этой статьей (способ 2).
Изолированы, чтобы не видели друг друга и не было паразитного трафика.
3. Изначально я так и планировал, но по описанной в статье конфигурации необходимо объединение всех портов, чтобы назначать белые адреса внутри локалки.
Готов выслушать более правильный вариант конфигурации.

Статья правильная, но Вы её как-то разбавили, если у нас порт1 это вход провайдера (кабель), а порт2 - это выход для подключения
внешних серверов с белой адресацией, то эти два порта уже никак не должны быть в локальной сети, или иначе скажу,
порты связанные с локальной сетью, не должны фигурировать там, где проходит реальный внешний трафик.
Опять же, сэкономив на роутере, из-за отсутствия свитчей = реально надо городить огород.
Пока вижу решение как и писал, создаёте бридж=WAN (опять же, их будет два, так как у Вас два провайдера которые дают
внешние адреса), соответственно создаёте:
а) bridge0-ISP2-WAN (второй провайдер, туда добавляете порт2, и задаёте адрес бриджу (из того пула что дал этот провайдер)
б) bridge0-ISP3-WAN (третий провайдер, туда добавляете порт3, и задаёте адрес бриджу (из того пула что дал этот провайдер)
в) создаёте вилан-312 на локальном бридже и добавляете в bridge0-ISP2-WAN
г) создаёте вилан-313 на локальном бридже и добавляете в bridge0-ISP3-WAN
У Вас в локальной сети будет бегать два вилана, 312 и 313, соответственно, если Вы их примите прямо на сервере(ах),
то сразу вставь сервером в вилан нужный = можете серверу сразу ставить реальную адресацию.
Как-то так...написал по памяти и уже поздним вечером, мог и ошибиться где-то в логике или последовательности.
Но решение вот такое. Внешний трафик должен быть изолирован от локального, и провайдер не должен видеть локальный
трафик и МАКов.

tegr писал(а): ↑11 апр 2019, 12:59 4. SRC NAT настроил, спасибо. Правда, много времени убил - не хотела работать конфигурация - но заработала просто после перезагрузки роутера.

Странно, хотя возможно.
Настройте таймауты (в сторону уменьшения) в Коннекшинах, чтобы сберечь память роутеру.

На харбе статья https://habr.com/ru/post/338538/

vkrum писал(а): ↑14 апр 2019, 12:32 На харбе статья https://habr.com/ru/post/338538/

Я Ваше сообщение удалять не буду, может другой модератор посчитает
иначе, но оно не соответствует теме.

У нас тут тема = несколько провайдеров, сложная маршрутизация.
Прочтите всю тему, всё таки поднять 2-3 адреса на разных МАКах = это одно,
а принять 2-3 провайдеров = это другое.

1. Ничего нет, поэтому делаю так, как делаю

2. Сервера - громко сказано, большинство из них базируется на обычном офисном железе с сетевками типа realtek, которые не примут вланы (либо может какими то костылями)
2.1 Оставлю конфигурацию пока в том виде, что у меня есть. Оно работает, но имеет надостатки. Я понимаю, что локалка открыта провайдеру - тем не менее, я не думаю что провайдер будет проводить атаку на нас а за пределы его коммутатора наш трафик выходить не должен. Другая сторона вопроса - наоборот, мы можем мешать работе провайдера каким нибудь броадкастом/мультикастом, и оборудование провайдера может заблокировать порт.
Исходя из этого, я пытался ограничить трафик из локальной сети (описано в этой статье, в конце раздела bridge), проходящий через бридж таким правилом:

chain=forward action=drop out-interface=WAN2 mac-protocol=ip src-address=192.168.10.0/24 - но ни одного заблокированного пакета - подумал, может, трафика и нет - и прописал белый IP, назначенный одному из устройств внутри сети

chain=forward action=drop out-interface=WAN2 mac-protocol=ip src-address=109.ххх.ххх.173 - устройство как ходило в инет, так и ходит - а ведь должно блокировать весь исходящий трафик в WAN2 с указанного ip, верно?
Что я делаю не так? Следует использовать ip bridge firewall?

3. А еще не осилил hairpin nat

0 chain=dstnat action=dst-nat to-addresses=192.168.10.2 to-ports=8080 protocol=tcp src-address=192.168.10.0/24 dst-address=109.xxx.xxx.172 dst-port=39152 (перенаправление для локальных адресов)

1 chain=srcnat action=src-nat to-addresses=109.xxx.xxx.172 protocol=tcp src-address=192.168.10.0/24 dst-address=192.168.10.2 dst-port=8080 (в мануалах пишут маскарад, но из-за трех wan интерфейсов я прописал src nat)

2 chain=dstnat action=dst-nat to-addresses=192.168.10.2 to-ports=8080 protocol=tcp dst-address=109.xxx.xxx.172 in-interface=bridge dst-port=39152 (само правило проброса, работает извне корректно)

Так же во всех мануалах рассматривается случай прямого проброса порта, у меня же порт меняется - возможно, что то неправильно понял и допустил ошибку.