Jump to content
Калькуляторы

Mikrotik и два провайдера, проблема с dst-nat

Добрый день.

Неспешно бьюсь несколько недель с этой проблемой, не могу понять, в чем причина.

Прошу направить в верную сторону, уже не знаю куда капнуть...

 

Дано:

Два ISP и у обоих белые IP (у одного нормальный прямой IP, а другой выдает в сеть клиентам серый IP и делает на него dst-nat всех пакетов с белого IP)

 

Цель:

Доступность из вне микротика и прокинутых железок за ним с обоих белых IP + резервирование.

 

Проблема:

Так вот, если приходить на белый IP первого провайдера (основной), то все работает, и доступ на микротик и nat правила работают, кидая пакеты в LAN.

Если же приходить на белый IP второго ISP, то доступ на микротик работает, а вот nat правила нет, причем счетчик тикает, но проброс не работает, висит в connection wait.

Так же заметил, что при коннекте на IP первого ISP при доступе на микротик он откликается всегда и моментально, а при обращении по порту, который пробрасывается в LAN иногда происходит задержка коннекта, допустим коннект может повисеть секунд 20, но потом начинает работать моментально.

 

Как настроено:

eth1 = ISP1

sfp1 = ISP2

/ip route print

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          10.244.***.***             4   mark=interset-isp-rt
1 A S  0.0.0.0/0                          193.169.***.***            3   mark=orbita-isp-rt
2 A S  0.0.0.0/0                          193.169.***.***            5
3   S  0.0.0.0/0                          10.244.***.***             6
4 A S  8.8.4.4/32                         10.244.***.***             1
5 A S  8.8.8.8/32                         193.169.***.***            1


/ip firewall mangle print

     chain=prerouting action=mark-connection new-connection-mark=orbita-conn passthrough=yes in-interface=ether1-gateway 

     chain=prerouting action=mark-connection new-connection-mark=interset-conn passthrough=yes in-interface=sfp1-gateway 

     chain=output action=mark-routing new-routing-mark=orbita-isp-rt passthrough=yes connection-mark=orbita-conn

     chain=output action=mark-routing new-routing-mark=interset-isp-rt passthrough=yes connection-mark=interset-conn




/ip firewall nat print

     ;;; default configuration
     chain=srcnat action=masquerade out-interface=sfp1-gateway

     ;;; default configuration
     chain=srcnat action=masquerade out-interface=ether1-gateway 

     ;;; web allow
     chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=193.169.***.*** dst-port=8080

     ;;; web allow
     chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=10.244.***.*** dst-port=8080

     ;;; web to server
     chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=80 protocol=tcp dst-address=193.169.***.*** dst-port=80

     ;;; web to server
     chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=80 protocol=tcp dst-address=10.244.***.*** dst-port=80

Edited by AbyssMoon

Share this post


Link to post
Share on other sites

Поставьте 2 микротика для приемов канала, и еще один микротик для объединения, тогда не будет проблем с доступом по внешним адресам и резервированием.

Share this post


Link to post
Share on other sites

Я думал мы стебались на счет 3 микротиков, тело отреагировало буквально. (((

Share this post


Link to post
Share on other sites

Поставьте 2 микротика для приемов канала, и еще один микротик для объединения, тогда не будет проблем с доступом по внешним адресам и резервированием.

***ец

Share this post


Link to post
Share on other sites

нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди

Share this post


Link to post
Share on other sites

нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди

ну нет - новичков вполне ловить может. интересно Sonne так же решает проблемы масштабирования. Новая фича - новый микротик

Share this post


Link to post
Share on other sites

нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди

ну нет - новичков вполне ловить может. интересно Sonne так же решает проблемы масштабирования. Новая фича - новый микротик

 

микротик CCR стоит что-то около 1000$, у Cisco трансиверы дороже :), так что вполне экономически обоснованно "Новая фича - новый микротик", всё равно дешевле выйдет по кап. затратам

Share this post


Link to post
Share on other sites

нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди

ну нет - новичков вполне ловить может. интересно Sonne так же решает проблемы масштабирования. Новая фича - новый микротик

 

микротик CCR стоит что-то около 1000$, у Cisco трансиверы дороже :), так что вполне экономически обоснованно "Новая фича - новый микротик", всё равно дешевле выйдет по кап. затратам

трансиверы от циско это тоже самое тока на другом полюсе. имхо те кто считают что в циску нужно пихать именно их по мне одного уровня с теми кто предлагает ставить 3 роутера для двух плечей офисного включения.

Share this post


Link to post
Share on other sites

Поставьте 2 микротика для приемов канала, и еще один микротик для объединения, тогда не будет проблем с доступом по внешним адресам и резервированием.

 

Я читал предыдущие темы и видел Ваш ответ там такой же по этой теме :)

Неужели микротик в этом плане такое барахло?

До этого все разруливал на сервере на Linux с iptables, ip rule и ip route, работало все без проблем, решил тут микротик поставить для более простой организации IPSEC Site-to-Site... смысл от железяки за $1000 которая не может таких простых вещей без проблем?)

Думаю она все таки это умеет я просто что-то не верно делаю :)

Share this post


Link to post
Share on other sites

Единственные три преимущества белой коробочки по сравнению с PC это размер, энергопотребление и цена. Которые нивелируются количеством секса и танцев с бубном, если задача чуть сложнее раздачи интырнетов на пяток компов.

 

нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди

Хммм.

 

Думаю она все таки это умеет я просто что-то не верно делаю :)

По всему форуму саабж не рекомендует пользовать дст-нат, ибо оно глючит, пошукайте.

Share this post


Link to post
Share on other sites

и про ipsec он тоже говорит

Share this post


Link to post
Share on other sites

Ребят, так куда бы капнуть? Кто-нибудь использует микротик с двумя провайдерами и доступ в сеть по белым ип с обоих?

Share this post


Link to post
Share on other sites

тогда её решил, на том и закрыл проблему.

из lartc в linux соединения которые возвращаются назад надо восстанавливать connmark-restore

 

если честно, я бы вам рекомендовал решить сперва эту задачу на Linux, а затем перейти на mikrotik, вы сможете понять что вам требуется и как дальше.

на linux она решается без проблем.

Share this post


Link to post
Share on other sites

Я читал предыдущие темы и видел Ваш ответ там такой же по этой теме :)

Неужели микротик в этом плане такое барахло?

 

Представьте вам надо настроить несколько задач роутинга и фильтрации, вы можете взять микротик, нажать пару раз мышкой и готово. Так же можно взять комп, накатить на него сборку линукса, навешать сверху нужные пакеты, после настроить и т.п. Теперь представьте, что оборудование сломалось. На микротике достаточно влить конфиг в новое устройство из коробки и готово, а линукс нужно будет пересобирать по новой.

 

 

До этого все разруливал на сервере на Linux с iptables, ip rule и ip route, работало все без проблем, решил тут микротик поставить для более простой организации IPSEC Site-to-Site... смысл от железяки за $1000 которая не может таких простых вещей без проблем?)

Думаю она все таки это умеет я просто что-то не верно делаю :)

 

А что такое IPSEC и зачем оно вообще нужно? Многие под этим словом понимают какую-то космическую связь между двумя сетями. Более практичные просто используют L2TP и не заморачиваются, т.к. все программы, требующие защиты данных, и так эту защиту обеспечивают, и дополнительное шифрование передаваемых данных не требуется.

 

Ребят, так куда бы капнуть? Кто-нибудь использует микротик с двумя провайдерами и доступ в сеть по белым ип с обоих?

 

Я уже говорил про два микротика - тогда вся настройка сводится к маркировке пакетов и не более того.

 

просто dst-nat устаревшая технология

 

Конечно, на микротике для этого используется netmap.

 

Единственные три преимущества белой коробочки по сравнению с PC это размер, энергопотребление и цена. Которые нивелируются количеством секса и танцев с бубном, если задача чуть сложнее раздачи интырнетов на пяток компов.

 

Если к этому пятку компов добавить еще столько же несколько тысяч раз, то получится размер сети, которую обслуживает микротик без проблем.

Share this post


Link to post
Share on other sites
Представьте вам надо настроить несколько задач роутинга и фильтрации, вы можете взять микротик, нажать пару раз мышкой и готово. Так же можно взять комп, накатить на него сборку линукса, навешать сверху нужные пакеты, после настроить и т.п. Теперь представьте, что оборудование сломалось. На микротике достаточно влить конфиг в новое устройство из коробки и готово, а линукс нужно будет пересобирать по новой.

Всё правильно, нужно ставить фрю, там только конфиги залить обратно.

Share this post


Link to post
Share on other sites

А Вы откуда пытаетесь подключаться к Вашим ресурсам? С локалки?

Edited by light elf

Share this post


Link to post
Share on other sites

Единственные три преимущества белой коробочки по сравнению с PC это размер, энергопотребление и цена.

берем TP-LINK TL-WDR3500/TP-LINK TL-WDR3600(если нужны гигабитные порты), ставим туда openwrt и понеслось.

Share this post


Link to post
Share on other sites

Теперь представьте, что оборудование сломалось. На микротике достаточно влить конфиг в новое устройство из коробки и готово, а линукс нужно будет пересобирать по новой.

 

во-первых, в случае линукса берутся соответствующие дистрибутивы(vyos, openwrt). во-вторых, берутся железки tp-link и получаются те же плюсы, что с микротиком, только с куда более гибкими возможностями.

в-третьих, в случае поломки вопрос решается за 1 поход в ближайший компьютерный магазин.

 

 

А что такое IPSEC и зачем оно вообще нужно?

 

например, это часть ipv6(rfc 6434).

 

Более практичные просто используют L2TP и не заморачиваются, т.к. все программы, требующие защиты данных, и так эту защиту обеспечивают, и дополнительное шифрование передаваемых данных не требуется.

 

фантазёр. l2tp не обеспечивает ни целостность, ни шифрование. про application layer security можешь втирать бегающему SMB-трафику.

 

 

 

 

Я уже говорил про два микротика - тогда вся настройка сводится к маркировке пакетов и не более того.

 

а можно взять линукс, создать пару network namespaces и получить тот же самый эффект, как если бы у нас было 2 роутера.

всё то же самое можно проделать на tp-link, прошитым openwrt.

 

 

Конечно, на микротике для этого используется netmap.

 

просвещайся. таргет netmap в iptables. Ведь микротик - это же линукс :)

 

 

Если к этому пятку компов добавить еще столько же несколько тысяч раз, то получится размер сети, которую обслуживает микротик без проблем.

 

 

штоа?

Share this post


Link to post
Share on other sites

Добрый день.

Неспешно бьюсь несколько недель с этой проблемой, не могу понять, в чем причина.

Прошу направить в верную сторону, уже не знаю куда капнуть...

 

Дано:

Два ISP и у обоих белые IP (у одного нормальный прямой IP, а другой выдает в сеть клиентам серый IP и делает на него dst-nat всех пакетов с белого IP)

 

Цель:

Доступность из вне микротика и прокинутых железок за ним с обоих белых IP + резервирование.

 

Проблема:

Так вот, если приходить на белый IP первого провайдера (основной), то все работает, и доступ на микротик и nat правила работают, кидая пакеты в LAN.

Если же приходить на белый IP второго ISP, то доступ на микротик работает, а вот nat правила нет, причем счетчик тикает, но проброс не работает, висит в connection wait.

Так же заметил, что при коннекте на IP первого ISP при доступе на микротик он откликается всегда и моментально, а при обращении по порту, который пробрасывается в LAN иногда происходит задержка коннекта, допустим коннект может повисеть секунд 20, но потом начинает работать моментально.

 

Как настроено:

eth1 = ISP1

sfp1 = ISP2

 

/ip route print#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE0 A S  0.0.0.0/0                          10.244.***.***             4   mark=interset-isp-rt1 A S  0.0.0.0/0                          193.169.***.***            3   mark=orbita-isp-rt2 A S  0.0.0.0/0                          193.169.***.***            53   S  0.0.0.0/0                          10.244.***.***             64 A S  8.8.4.4/32                         10.244.***.***             15 A S  8.8.8.8/32                         193.169.***.***            1/ip firewall mangle print     chain=prerouting action=mark-connection new-connection-mark=orbita-conn passthrough=yes in-interface=ether1-gateway      chain=prerouting action=mark-connection new-connection-mark=interset-conn passthrough=yes in-interface=sfp1-gateway      chain=output action=mark-routing new-routing-mark=orbita-isp-rt passthrough=yes connection-mark=orbita-conn     chain=output action=mark-routing new-routing-mark=interset-isp-rt passthrough=yes connection-mark=interset-conn/ip firewall nat print     ;;; default configuration     chain=srcnat action=masquerade out-interface=sfp1-gateway     ;;; default configuration     chain=srcnat action=masquerade out-interface=ether1-gateway      ;;; web allow     chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=193.169.***.*** dst-port=8080     ;;; web allow     chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=10.244.***.*** dst-port=8080     ;;; web to server     chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=80 protocol=tcp dst-address=193.169.***.*** dst-port=80     ;;; web to server     chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=80 protocol=tcp dst-address=10.244.***.*** dst-port=80

 

 

 

Зачем вам мангл?

 

А так правило трансляции извне вовнутрь сети я бы записал так:

/ip firewall nat add chain=dstnat dst-port=80 action=dst-nat to-address=192.168.30.1 to-port=80

По идее любой пакет с любого ISP на заданный порт оно отловит и сфорвардит куда хотите. По крайней мере, так у нас наружу торчало немного служебного софта. Само правило могу слегка переврать, ибо написал по памяти. В мануалах к роутерос оно называлось портмаппинг.

Share this post


Link to post
Share on other sites

берем TP-LINK TL-WDR3500/TP-LINK TL-WDR3600(если нужны гигабитные порты), ставим туда openwrt и понеслось.

 

Расскажите как это сделать.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this