eugenesch

http://wiki.mikrotik.com/wiki/Ethereal/Wireshark

На всех компах в локалке 192.168.88.0/24 шлюз по умолчанию и есть локальный адрес микротика 192.168.88.1 а в другой локалке? которая 10.39.0.0/24 2 на обоих микротиках прописать маршрут в другую сеть

1 нужно чтобы микротики были для клиентов шлюзом по умолчанию, или придутся прописать на всех доп. маршруты через микротик. 2 на обоих микротиках прописать маршрут в другую сеть

эксперементировать надо примерно так /ip firewall layer7-protocol add name=srv1 regexp="(GET xxx.ru)" add name=srv2 regexp="(GET yyy.ru)" Затем /ip firewall mangle add action=mark-connection chain=forward comment=srv1 layer7-protocol=srv1 new-connection-mark=srv1 add action=mark-connection chain=forward comment=srv2 layer7-protocol=srv2 new-connection-mark=srv2 ну и натить потом по этим меткам проблемы: Https - пролетит мимо можно чтото левое зацепить ну и ресурсы роутера это будет жрать не по детски

нужно сделать отдельно 2 правила для SNAT локалки - отдельно для выхода в инет и отдельно для проброса типа так /ip firewall nat add action=src-nat chain=srcnat comment="SNAT LAN" dst-address-list=!LAN out-interface=ether10-WAN src-address=Локалка to-addresses=ВнешнийАдресШлюза add action=src-nat chain=srcnat comment="SNAT LAN2Mail" out-interface=ether1-LANr src-address=Локалка to-addresses=ВнутреннийАдресШлюза А зачем - пусть забирают по внутреннему. Или ДНС настройте чтобы внешним пользователям отдавался реальный адрес,а внутренним локальный.

А что вы думаете насчет такого устройства?

Можно попробовать в L7 ловить пакеты, затем маркировать соединение и перенаправлять куда надо. Так себе вариант. Гораздо удобнее поднять на каждом сервере ngnix, как проксик для этих доменов. конфиг примерно такой - апач перенести на порт 8080, в настройках ngnix 2 домена первый проксируется на локалхост второй на другой сервер. На втором аналогично. на микротике сделать проброс 50% на 50% . Правда тогда при падении одного сервера половина клиентов второго тоже потеряются. Можно настроить на серверах по 2 vrrp интерфейса. на первом vrp1 -master vrp2 - backup< на втором vrp2 - master vrp1 - backup. и трафик на микротике заворачивать уже не на реальные адреса а на адреса vrrp. Тогда при падении сервера, второй подхватит его адрес и 100% трафика будет приходит на него. Живой домен будет работать как обычно, а для другого будет выдаваться нормальное сообщение о профилактических работах.

Вот если прям на ваш вопрос, то даже мануал есть http://wiki.mikrotik.com/wiki/Manual:PPP_AAA remote-address (IP; Default: ) Tunnel address or name of the pool from which address is assigned to remote ppp interface. Но если чутка разориться на микротик в каждом филиале, то можно спокойно создать свою внутреннюю сетку. Тем более есть 2 канала. т.е. в центре rb2011 в него оба канала - в филиалы для rdp и rb750 пойдет, на них по 2 l2tp туннеля для балансировки. Как нибудь разруливаете маршрутизацию. И все - можете хоть принтер из одного филиала в другой расшаривать.

На микротике отключить запрещающие правила - проверить как подключается ВПН без них. Если подключается - смотреть что у куда от клиента идет. Посмотреть можно например в IP-Firewall-Connections Соответственно и настроить. Если нет - значит что то не так с NAT

нужна L2 или L3 связность? если L3 то: Адреса в лвс должны быть разные. На интерфейсах которые соединяют микротики вешаете адреса из еще одной сети. Настраиваете маршрутизацию. Маршруту через вайфай делаете больший distance. Если L2: Проводной интерфейс в бридж с локалкой с каждой стороны, приоритет 100. В этот же бридж wifi. У wifi приоритет 200. ------------- это по миниму

Можно же наоборот сделать- все что известно(http,dns..... ) через 2 порт все остальное, через первый. На первое время поставить какой нибудь flow анализер, собрать статистику, допилить правила - появятся там игры всякие и т.д.

на 172.16.100.2 прописать маршруты в нужные сети

мысли... 1. Чегото сомнения что этот 951 потянет столько туннелей. Хотяяяя если только попинговать и не нагружать его при этом НАТом локалки(т.е. один для локалки один в качестве ВПН сервера). 2. Тока для проверки есть ли в филиале инет- поднять вебсервер на нем 2 скрипта к первому обращаются филиалы по крону раз там в минуту-две, заносят код филиала и время. Второй скрипт собственно мониторит и показывает когда ктобыл отвалиля и т.д. 3. С ВПНми собственно ничего сложного: на микротике включить любой тип сервера по вкусу. l2tp даст меньшую нагрузку. ovpn - пролезет через через пару натов или по произвольному порту. 4. Не будет если хватать производительности - поднять тоже самое на виртуалке или физическом компе.

Не указал что правило должно работать только для трафика приходящего извне. in-interface= или dst-addr=

Отрубить для начала шифрование. Собственно вот Вкл сервер /interface l2tp-server server set default-profile=default enabled=yes Добавили учетку /ppp secret add name=ppp1 password=qqqqqqqq profile=default remote-address=10.1.2.2 local-address=10.1.2.1 service=l2tp Все проверять можно. А вот потом уже наворачивать(если нужно). а, ну да. файрвол. /ip firewall filter add place-before=0 chain=input comment="Allow to local L2TP server" dst-port=1701 protocol=udp