eugenesch

http://wiki.mikrotik.com/wiki/Ethereal/Wireshark

На всех компах в локалке 192.168.88.0/24 шлюз по умолчанию и есть локальный адрес микротика 192.168.88.1 а в другой локалке? которая 10.39.0.0/24 2 на обоих микротиках прописать маршрут в другую сеть

1 нужно чтобы микротики были для клиентов шлюзом по умолчанию, или придутся прописать на всех доп. маршруты через микротик. 2 на обоих микротиках прописать маршрут в другую сеть

эксперементировать надо примерно так /ip firewall layer7-protocol add name=srv1 regexp="(GET xxx.ru)" add name=srv2 regexp="(GET yyy.ru)" Затем /ip firewall mangle add action=mark-connection chain=forward comment=srv1 layer7-protocol=srv1 new-connection-mark=srv1 add action=mark-connection chain=forward comment=srv2 layer7-protocol=srv2 new-connection-mark=srv2 ну и натить потом по этим меткам проблемы: Https - пролетит мимо можно чтото левое зацепить ну и ресурсы роутера это будет жрать не по детски

нужно сделать отдельно 2 правила для SNAT локалки - отдельно для выхода в инет и отдельно для проброса типа так /ip firewall nat add action=src-nat chain=srcnat comment="SNAT LAN" dst-address-list=!LAN out-interface=ether10-WAN src-address=Локалка to-addresses=ВнешнийАдресШлюза add action=src-nat chain=srcnat comment="SNAT LAN2Mail" out-interface=ether1-LANr src-address=Локалка to-addresses=ВнутреннийАдресШлюза А зачем - пусть забирают по внутреннему. Или ДНС настройте чтобы внешним пользователям отдавался реальный адрес,а внутренним локальный.

А что вы думаете насчет такого устройства?

Можно попробовать в L7 ловить пакеты, затем маркировать соединение и перенаправлять куда надо. Так себе вариант. Гораздо удобнее поднять на каждом сервере ngnix, как проксик для этих доменов. конфиг примерно такой - апач перенести на порт 8080, в настройках ngnix 2 домена первый проксируется на локалхост второй на другой сервер. На втором аналогично. на микротике сделать проброс 50% на 50% . Правда тогда при падении одного сервера половина клиентов второго тоже потеряются. Можно настроить на серверах по 2 vrrp интерфейса. на первом vrp1 -master vrp2 - backup< на втором vrp2 - master vrp1 - backup. и трафик на микротике заворачивать уже не на реальные адреса а на адреса vrrp. Тогда при падении сервера, второй подхватит его адрес и 100% трафика будет приходит на него. Живой домен будет работать как обычно, а для другого будет выдаваться нормальное сообщение о профилактических работах.

Вот если прям на ваш вопрос, то даже мануал есть http://wiki.mikrotik.com/wiki/Manual:PPP_AAA remote-address (IP; Default: ) Tunnel address or name of the pool from which address is assigned to remote ppp interface. Но если чутка разориться на микротик в каждом филиале, то можно спокойно создать свою внутреннюю сетку. Тем более есть 2 канала. т.е. в центре rb2011 в него оба канала - в филиалы для rdp и rb750 пойдет, на них по 2 l2tp туннеля для балансировки. Как нибудь разруливаете маршрутизацию. И все - можете хоть принтер из одного филиала в другой расшаривать.

На микротике отключить запрещающие правила - проверить как подключается ВПН без них. Если подключается - смотреть что у куда от клиента идет. Посмотреть можно например в IP-Firewall-Connections Соответственно и настроить. Если нет - значит что то не так с NAT

нужна L2 или L3 связность? если L3 то: Адреса в лвс должны быть разные. На интерфейсах которые соединяют микротики вешаете адреса из еще одной сети. Настраиваете маршрутизацию. Маршруту через вайфай делаете больший distance. Если L2: Проводной интерфейс в бридж с локалкой с каждой стороны, приоритет 100. В этот же бридж wifi. У wifi приоритет 200. ------------- это по миниму

Можно же наоборот сделать- все что известно(http,dns..... ) через 2 порт все остальное, через первый. На первое время поставить какой нибудь flow анализер, собрать статистику, допилить правила - появятся там игры всякие и т.д.

на 172.16.100.2 прописать маршруты в нужные сети

мысли... 1. Чегото сомнения что этот 951 потянет столько туннелей. Хотяяяя если только попинговать и не нагружать его при этом НАТом локалки(т.е. один для локалки один в качестве ВПН сервера). 2. Тока для проверки есть ли в филиале инет- поднять вебсервер на нем 2 скрипта к первому обращаются филиалы по крону раз там в минуту-две, заносят код филиала и время. Второй скрипт собственно мониторит и показывает когда ктобыл отвалиля и т.д. 3. С ВПНми собственно ничего сложного: на микротике включить любой тип сервера по вкусу. l2tp даст меньшую нагрузку. ovpn - пролезет через через пару натов или по произвольному порту. 4. Не будет если хватать производительности - поднять тоже самое на виртуалке или физическом компе.

Не указал что правило должно работать только для трафика приходящего извне. in-interface= или dst-addr=

Отрубить для начала шифрование. Собственно вот Вкл сервер /interface l2tp-server server set default-profile=default enabled=yes Добавили учетку /ppp secret add name=ppp1 password=qqqqqqqq profile=default remote-address=10.1.2.2 local-address=10.1.2.1 service=l2tp Все проверять можно. А вот потом уже наворачивать(если нужно). а, ну да. файрвол. /ip firewall filter add place-before=0 chain=input comment="Allow to local L2TP server" dst-port=1701 protocol=udp

/ip firewall export

На вкладке ррр включаете нужный протокол для удаленного доступа. Например l2tp server. ppp secrets добавляете логин пасс. В файрволе разрешате подключение на порт 1701. На клиенте создаете новое подключение на внешний адрес микротика. Разруливаете както маршрутизацию.

А как абоненты подключены? 1 порт-1 юзер? ------- файрволом можно типа так /ip firewall address-list add address=xxxx list=lan_abonents /ip firewall filter add action=drop address-list=lan_abonents dst-address-list=lan_abonents

Проще. Надежнее. Скрость будет выше, особенно если шифрование отрубить. Вот и спрашиваю у ТС зачем там вообще 567.

Тогда обязательно все служебные подсети исключить из ната. А абоненты за 1234? или 567 тоже? просто не понятно вообще зачем они нужны. если все роутеры в интернете чего им сразу на 8 не стучаться?

С бубном, костылями и через жопу можно.(нужно ли другой вопрос) Ровно по схеме. На тазике поднять BIND с динамической зоной типа dyn.lalallala.bybyby. Роутеры 1234 и 567 скриптом обновляют свои записи там либо напрямую через tool dns-update , либо делают tool fetch [s]super[/s]secretdnsupdate.php?gw=1234&secret=qqq123www (там чето делает и пишет в BIND А записи, этакий аналог dyndns ). т.е. теперь все IP более-менее актуальные есть в одном месте, m1.dyn.lalallala.bybyby. и т.д. Далее пилим. на каждом микротике делаем бридж, ничего в него не включаем, называем loopback вешаем адрес 10.1.2.Х/32. вкл OSPF /routing ospf instance set [ find default=yes ] redistribute-other-ospf=as-type-1 router-id=10.1.2.Х /routing ospf network add area=backbone comment=Loopback network=10.1.2.Х/32 на 5678 поднять эээмммээм OOOO openvpn-server. Адреса клиентов жестко зафиксировать. на 1234 openvpn туннели к 567. На 567 соответственно к 8. Конечные адреса туннелей обновлять скриптом, адрес брать put [:resolve server=IP.T.А.За m1.dyn.lalallala.bybyby] Всё, теперь кругом адреса статичные. Теперь поверх openvpn туннелей поднять EoIP. На 1234 к 567, на 567 к 8. На EoIP интерфейсы навешать IP 10.5.6.Х/30 Допилить OSPF /routing ospf network add area=backbone network=10.5.6.0/24 Добавить статик маршрут в null, чтоб при переключениях всяких трафик не шлялся куда не попадя. /ip route add distance=254 dst-address=10.1.2.0/24 type=blackhole add distance=254 dst-address=10.5.6.0/24 type=blackhole ну и openvpn сеть сюда-же. add distance=254 dst-address=o.v.p.n/24 type=blackhole Както так. Покритикуйте если что. Итого все роутеры доступны по адресу mХ.dyn.lalallala.bybyby,(Х-номер роутера) это по внешнему адресу, если все сломалось. Также они доступны по внутренним адресам 10.1.2.Х. MTU кругом 1500.(что оно внутри vpn сфрагментируется никому не скажем). OpenVpn заодно еще и трафик шифровать будет.... (на самом деле просто его можно на любой порт повесить, а про производительность ничего не было сказано) Ну а OSPF худо-бедно сбалансирует трафик.

На микротике маршрут кешируется в conntrack. Поэтому и не идут пинги. можно после переключения чистить эту таблицу ip- firewall - connection - удалить все...

А микротик то тут при чем? если пинги не пропадают, а в сетевом окружении их нет, то проблема в компах. домен лучше развернуть в виртуалке какой нибудь. Так бекапить, резервировать проще.

если микротик в офисе получит шлюз по умолчанию 10.11.12.1, то он НЕ сможет выйти в инет и достучаться до дома всего 3 маршрута 1 до l2tp сервера 2 0.0.0.0/0 через 10.11.12.1 с приорететом 1 3 0.0.0.0/0 получит по dhcp с приорететом 100

в общем смотри надо разделить на 2 части задачу. 1. связать сети 2. выход в инет по определенным правилам. ............... первая часть VPN просто частный случай, если сети 2 то нет разницы где клиент где сервер. (можно их связать каким нибудь GRE или IPIP туннелем, если они друг друга видят). Сервер в офисе расположил по причине, что скорей всего в офисе адрес статический, а дома динамика может быть. Далее - маршрутизация. мммм, а в чем проблема то? На первом роутере прописываем ходить в сеть офиса через туннель, на втором что ходить в домашнюю сеть через туннель. ну т.е. |ДОМ(телик например) |r2|туннель через провайдера|r1|ОФИС(тут диск с фильмами)| часть 2 - NAT. my_net это список наших сетей. Надо на обоих роутерах разрешить выход в инет из my_net, и при этом не натить трафик между сетями. /ip firewall nat add action=masquerade out-interface=ether1-wan src-address-list=my_net dst-address-list=!my_net вот както так теперь надо сказать роутеру в офисе что, шлюз у него не пров, а домаший роутер. /ip route add dst-address=0.0.0.0/0 gateway=10.11.12.2 distance=1 на случай если связь с домом пропала оставим выход как обычно /ip route add dst-address=0.0.0.0/0 gateway=шлюз из договора distance=10 все. теперь офисная сеть и домашняя сеть видят друг друга, из офиса в инет ходят через дом, а текущий канал в резерве.