Страница 1 из 1
Доступ был и пропал
Добавлено: 27 янв 2019, 20:54
Skylear
Всем привет. Ситуация странная, есть микротик, много чем рулит. Нет ничего необычного.
перед ним стоит ADSL-модем в режиме бриджа с адресом 192.168.0.88.1, dhcp отключено, отключено почти все.
модем соединяется с микротиком тремя патчкордами.
1) pppoe1
2) pppoe2
3) порт микротика выведен из общего бриджа, и прописана статика 192.168.88.11 - которая создает дефолтный динамический маршрут в подсетку ...88.0/24.
Собственно иначе невозможно поднять два разных pppoe и иметь доступ к самому модему.
И ребята все работало до недавнего времени, с любого компа нулевой сети заходишь в браузере на 88.1 и все норм.
И что-то пошло не так и доступ пропал (и пинги тоже). Теперь чтобы зайти в модем приходится этот порт добавлять в общий бридж микротика (сеть 192.168.0.0/24) и прописывать на компе адресацию модема, например 192.168.88.89 и тогда можно зайти.
Отключение всех правил фаервола - не помогло, по прежнему нет доступа.
Подскажите что могло произойти и как исправить
Re: Доступ был и пропал
Добавлено: 28 янв 2019, 02:56
Vlad-2
1) вообще не понял схему
2) Вы написали, что тремя патчкордами подключен микротик, ладно, у микротика
обычно 4-5 портов, а что у ADSL роутера тоже 3 (минимум) порта?
Нарисуйте схему, или хотя бы нормально составьте описание.
Про два рррое - к одному провайдеру ? И зачем два их ?
У компов шлюз какой? (IP-шлюз какой прописан ??)
Провайдер не поменял логику подключения?
Re: Доступ был и пропал
Добавлено: 28 янв 2019, 08:48
Skylear
1) микротик Cloud Switch 24 порта
2) модем с 4 LAN портами
модем в бридже, т.е. любой из 4 портов работает как мост, и можно поднять 4 pppoe. у меня два, третий порт просто связывает микротик и модем в одну подсеть.
сетка модема 192.168.88.0/24. сетка основная микротика (компов и т.д) 192.168.0.0/24. Микротик одним портом, выделенным из бриджа соединен с модемом, для управления. вопрос в том как с компа основной локальной сети 192.168.0.0/24 зайти на адрес модема 192.168.88.1. зачем два pppoe одного провайдера - вопрос неуместный, потому что так сделано и так работает.
Re: Доступ был и пропал
Добавлено: 28 янв 2019, 10:29
Vlad-2
Skylear писал(а): ↑28 янв 2019, 08:48
1) микротик Cloud Switch 24 порта
2) модем с 4 LAN портами
модем в бридже, т.е. любой из 4 портов работает как мост, и можно поднять 4 pppoe.
Обычно рррое можно и 3 и 4 штуки поднять на одном интерфейсе и втыкать 2-3 провода для
каждого рррое - как-то уж совсем по-бытовому. И тем более занимать столько портов и в модеме,
и тем более в роутере.
Skylear писал(а): ↑28 янв 2019, 08:48
сетка модема 192.168.88.0/24. сетка основная микротика (компов и т.д) 192.168.0.0/24. Микротик одним портом, выделенным из бриджа соединен с модемом, для управления. вопрос в том как с компа основной локальной сети 192.168.0.0/24 зайти на адрес модема 192.168.88.1.
Такое решение давалось тут и не раз. Тем более особенно в Вашем варианте, когда нет возможности
настроек в модеме, оно идеально вписывается. Объясню своими словами и по-русски.
Чтобы зайти на модем, надо сделать так, чтобы он думал, что это микротик лезет со своего адреса,
у модема 88.1, у микротика пусть будет 88.2, значит чтобы попасть в веб-админку модема с компов,
надо создать правило НАТ (оно будет узко-направленное), а значит оно (правило) должно быть выше
(первее) чем другие правила НАТ (если такие есть). А звучит правило НАТ так:
если пришёл запрос с сети 192.168.0.0/24 и в адресе назначения есть 192.168.88.1/32, то
сделать SRC-NAT от адреса 192.168.88.2.
Вот и всё. (Скрины для примера)
Skylear писал(а): ↑28 янв 2019, 08:48
зачем два pppoe одного провайдера - вопрос неуместный, потому что так сделано и так работает.
Вопрос уместный, потому что была одна тема, и когда человек начал рассказывать,
что РРРоЕ-сервер провайдера он видит у себя в локальной сети (на что я сказал так не должно быть)
и после 2х страниц общения поняли что конфигурация у него неправильная, порты WAN и LAN
были объединены и всё в таком роде. Поэтому конфигурация и логика подключения всегда нужна.
И даже если у Вас два рррое = могу погадать, но скорее всего они работают по-очередно, или ещё
как-то, ибо чтобы запустить одновременную работы два рррое - это уже не начальная практика.
Re: Доступ был и пропал
Добавлено: 28 янв 2019, 18:29
Skylear
два pppoe работают в балансе одновременно. один - это 2 мбит и реалайпи, второй 10 мбит и серый айпи. канал линии 10 мбит. необходим был баланс двух WAN. пробросы, видео, астериск и т.д. но нужен еще и ютуб и все такое.
короче правило проброса NAT не сработало. решил проблему так. сделал маскарадинг на интерфейсе LAN23-BRIDGEADSL (это тот самый порт 192.168.88.11, который присоединен к модему), а также было создано правило в мангле, маркирующий роутинг идущий на сетку 88.0/24, и опущено ниже правил, которые маркируют роутинг основной сети 0.0/24 (для баланса, отправки пакетов туда откуда пришли).
выявил, просто - создал правило маскарадинга без интерфейсов и адресов выше всех - все заработало... вот потом начал искать. причем правило в мангле, маркирующее роутинг на сетку модема в самих МАРШРУТАХ не фигурирует, но если его выключить - коннекта нет. п.с. правила мангл, балансирующие LAN, прописаны в маршрутах... в общем микротик со сложной конфой, но проблему решил
ну и еще прописаны в мангле маркировки для отдельных хостов (сервер, астр) и для них также прописаны маршруты, чтобы они ходили через конкретный WAN, а не случайный
Re: Доступ был и пропал
Добавлено: 28 янв 2019, 18:37
Skylear
в общем проверил ваше правило, работает только в том случае, если включено правило маркировки роутинга, как писал выше. т.е. маскарадинг можно отключить и работает с этим правилом. спасибо. подскажите как оставить будет более правильно
1) НАТ проброс
2) маскарадинг
Re: Доступ был и пропал
Добавлено: 29 янв 2019, 06:56
Vlad-2
Ну вот, как и оказалось и как я предполагал, если есть 2 рррое, или всё очень просто или всё сложно.
Не совсем понял зачем некоторые манипуляции и так далее...но в любом случаи, если Вы работаете
уже с манглами, то такую задачу должны были решить сами, это основа сетей.
Skylear писал(а): ↑28 янв 2019, 18:37
в общем проверил ваше правило, работает только в том случае, если включено правило маркировки роутинга, как писал выше. т.е. маскарадинг можно отключить и работает с этим правилом. спасибо. подскажите как оставить будет более правильно
1) НАТ проброс
2) маскарадинг
Сложно посоветовать, для меня это разные вещи, НАТ-проброс это DST, а Маскарайдинг - тот же SRC, поэтому
советовать сложно с учётом Ваших там настроек и маркировок, в любом случаи это работает, и
в моём первом сообщении и в практики (я много раз использовал подмену исходящего адреса)
и это работает хорошо с подменой, значит всё же ближе тут SRC-NAT (не маскарайдинг, и не проброс уж точно).