объединение 2х сетей + PPP

[DekaR]

Здравствуйте!
Ситуация такая: есть RB751U-2Hnd c адресом 192.168.88.1. У него интернет чере ppp.
По локальной сети и wifi Необходимо раздать интернет, с другой стороны к eth1 подключена втоаря сеть
10.1.60.0. Необходимо , чтобы у коспьютеров в моей сети были доступны сервера, расположенные во второй сети, сетевые принтеры и файл-сервер 10.1.60.3. Погуглив по дукументации сделал следующее:
1) Создал мост, в который добавил LAN 2-5 и wifi.
2) в Ip - Adresses добавил адреса 10.1.60.1 - 10.1.60.3 на eth1.
3) Добавил srcnat на eth1 и на ppp1-out.
4) В Firewall добавил адресс лист isp1 с адресами второй подсети.
5) Firewall Manage добавил : chain = forward dst.adress list = isp1 action = mark-route new-routing-mark=isp1_r
chain = forward !dst.adress list = isp1 action = mark-route new-routing-mark=isp2_r
6)Добавил роуты: 1) dst.adres= 0.0.0.0 Routing-mark= isp1_r gateway=eth1
2)dst.adres= 0.0.0.0 Routing-mark= isp2_r gateway=ppp-out


Забыл, поднят DHCP сервер, ip-адреса в локальную сеть раздает он.
Результат : интернет через Ppp работает, а зштп 10.1.60.3 - "Превышен интервал ожидания запроса"

Заранее спасибо.

Последние экперименты показали :
Работает локальная сеть пока не вставишь модем. Вставляешь модем - пропадает и сеть и нет интернета

[iSupport]

а зачет вам 3 ip адреса на eth1?

схему нарисуйте и подробнее распишите что и где у вас не работает

[DekaR]

Кофиг после последних эксспериментов

Код: Выделить всё

ip address print  
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                              
 0   ;;; default configuration
     192.168.88.1/24    192.168.88.0    wlan1                                  
 1 D 192.168.1.115/24   192.168.1.0     ether1-gateway

Для упрощения задачи ( временно) решил получить доступ к 10.1.60.3. ПОтом просто адрес заменить на dst.adres list. Более того, предположил, чтобы только http порты маршрутизировась на Ppp
isp1= eth1
isp2= ppp0-out

Код: Выделить всё

 ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=prerouting action=mark-routing new-routing-mark=isp1_r 
     passthrough=yes dst-address=10.1.60.3 

 1   chain=prerouting action=mark-routing new-routing-mark=isp2_r 
     passthrough=yes dst-address=!10.1.60.3 

 2   chain=prerouting action=mark-routing new-routing-mark=isp2_r 
     passthrough=yes protocol=tcp port=8080 

Код: Выделить всё

 ip firewall nat print   
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; default configuration
     chain=srcnat action=masquerade out-interface=ether1-gateway 

 1   chain=srcnat action=masquerade src-address=10.1.60.3 

 2 I chain=srcnat action=masquerade out-interface=ppp-out1 


 ip route print detail 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 A S  dst-address=0.0.0.0/0 gateway=ether1-gateway gateway-status=ether1-gateway reachable distance=1 scope=30 
        target-scope=10 routing-mark=isp1_r 

 1   S  dst-address=0.0.0.0/0 gateway=ppp-out1 gateway-status=ppp-out1 unreachable distance=1 scope=30 
        target-scope=10 routing-mark=isp2_r 

 2 ADS  dst-address=0.0.0.0/0 gateway=192.168.1.1 gateway-status=192.168.1.1 reachable via  ether1-gateway 
        distance=1 scope=30 target-scope=10 vrf-interface=ether1-gateway 

 3 ADC  dst-address=192.168.1.0/24 pref-src=192.168.1.115 gateway=ether1-gateway 
        gateway-status=ether1-gateway reachable distance=0 scope=10 

 4 ADC  dst-address=192.168.88.0/24 pref-src=192.168.88.1 gateway=bridge-local gateway-status=bridge-local reachable 
        distance=0 scope=10 

Маршрут 10.112.122.173 добавляется при подключении 3g Модема.

Итог: пока модем не вставлен - я вижу все все компьюеты из LAN2. Подключаем модем- нет ни интернета, ни локальной сети.

[iSupport]

галочку add default route в ppp0 убирали?

выложите ip routes при отключенном и включенном модеме

ip 192.168.88.1 должен быть на brige1 а не на wlan1, если поднят бридж

[DekaR]

Галочку убрал. Адрес на bridge1 поменял. Без модема - видит локалку, подключаешь модем и пробуешь пинговать - LAN2 не пингуется "Превышен интервал ожидания запроса".

[DekaR]

А вот роуты:
Без модема:

Код: Выделить всё

 0 A S  dst-address=0.0.0.0/0 gateway=ether1-gateway 
        gateway-status=ether1-gateway reachable distance=1 scope=30 
        target-scope=10 routing-mark=isp1_r 

 1 A S  dst-address=0.0.0.0/0 gateway=ppp-out1 gateway-status=ppp-out1 reachable 
        distance=1 scope=30 target-scope=10 routing-mark=isp2_r 

 2 ADC  dst-address=10.1.60.0/24 pref-src=10.1.60.202 gateway=ether1-gateway 
        gateway-status=ether1-gateway reachable distance=0 scope=10 

 3 ADC  dst-address=10.112.112.133/32 pref-src=10.64.64.85 gateway=ppp-out1 
        gateway-status=ppp-out1 reachable distance=0 scope=10 

 4 ADC  dst-address=192.168.88.0/24 pref-src=192.168.88.1 gateway=bridge-local 
        gateway-status=bridge-local reachable distance=0 scope=10 
 

С модемом:

Код: Выделить всё

 1 A S  dst-address=0.0.0.0/0 gateway=ppp-out1 gateway-status=ppp-out1 reachable 
        distance=1 scope=30 target-scope=10 routing-mark=isp2_r 

 2 ADC  dst-address=10.1.60.0/24 pref-src=10.1.60.202 gateway=ether1-gateway 
        gateway-status=ether1-gateway reachable distance=0 scope=10 

 3 ADC  dst-address=10.112.112.140/32 pref-src=10.7.1.77 gateway=ppp-out1 
        gateway-status=ppp-out1 reachable distance=0 scope=10 

 4 ADC  dst-address=192.168.88.0/24 pref-src=192.168.88.1 gateway=bridge-local 
        gateway-status=bridge-local reachable distance=0 scope=10

Интересно, что роут №3 Появляется при включении ppp0-out и пропадает при отключении, при этом не важно подключен модем или нет.
При пинге ping 10.1.60.3 -t 5 пингов нормально проходят, 5-й "Превышен интервал ожидания запроса"

Нашел что-то похожее здесь: http://aboutmikrotik.info/publ/avtorskie_stati/mikrotik_dva_provajdera_raspredelenie_po_kanalam/7-1-0-8. Честно говоря, не очень понял зачем здесь dst.nat. У меня его нет.88

[iSupport]

во втором случае у вас попал роут

ADC dst-address=10.1.60.0/24 pref-src=10.1.60.202 gateway=ether1-gateway
gateway-status=ether1-gateway reachable distance=0 scope=10


он как раз отвечает за подсеть 10.1.60.0/24

[DekaR]

во втором случае у вас попал роут

ADC dst-address=10.1.60.0/24 pref-src=10.1.60.202 gateway=ether1-gateway
gateway-status=ether1-gateway reachable distance=0 scope=10


он как раз отвечает за подсеть 10.1.60.0/24

Эм.. и что мне с ним делать ? Он же динамический кака я понимаю. Ни удалить, ни отключить.

[iSupport]

кликните в него и выбирете кнопку COPY

создайте такой статический, чтобы не попадал

[DekaR]

кликните в него и выбирете кнопку COPY

создайте такой статический, чтобы не попадал

Что-то торможу.. вот скопировал, а что теперь ? Назначить ему шлюзом ppp ?

Итак, методом прочесывания гугла выяснилось, что маркировка пакетов работает не вполне адекватно. всвязи с этим задачу решил проще с помощью масткардинга и роутов:

Код: Выделить всё

0 A S  dst-address=0.0.0.0/0 gateway=ether1-gateway 
        gateway-status=ether1-gateway reachable distance=1 scope=30 
        target-scope=10 routing-mark=isp1 

...

 1 A S  dst-address=0.0.0.0/0 gateway=ppp-out1 gateway-status=ppp-out1 reachabl
        distance=1 scope=30 target-scope=10 

 4 ADC  dst-address=10.1.60.0/24 pref-src=10.1.60.113 gateway=ether1-gateway 
        gateway-status=ether1-gateway reachable distance=0 scope=10 

 5 A S  dst-address=10.1.60.0/32 gateway=ether1-gateway 
        gateway-status=ether1-gateway reachable distance=2 scope=30 

Теперь возникла одна проблема.. 10.1.60.3 - контроллер домена и файлопомойка. Запускаем винду, все нормально авторизуется в домене. пытаемся получить доступ к файлам на сервере ( пишем в проводнике \\10.1.60.3\ ) - спрашивает авторизацию. Если ввести свои учетные данные - "Введенное имяпользователя совпадает с именем, с которым был произведен вход в систему". Говоря проще, контроллер домена не авторизовывает. Хотя без микротика все нормально. Принтеры в сети 10.1.60.0 тоже пингуются но не добавляются. В какую сторону копать?