Перейти к содержимому
Калькуляторы

Mikrotik и два провайдера, проблема с dst-nat

Добрый день.

Неспешно бьюсь несколько недель с этой проблемой, не могу понять, в чем причина.

Прошу направить в верную сторону, уже не знаю куда капнуть...

 

Дано:

Два ISP и у обоих белые IP (у одного нормальный прямой IP, а другой выдает в сеть клиентам серый IP и делает на него dst-nat всех пакетов с белого IP)

 

Цель:

Доступность из вне микротика и прокинутых железок за ним с обоих белых IP + резервирование.

 

Проблема:

Так вот, если приходить на белый IP первого провайдера (основной), то все работает, и доступ на микротик и nat правила работают, кидая пакеты в LAN.

Если же приходить на белый IP второго ISP, то доступ на микротик работает, а вот nat правила нет, причем счетчик тикает, но проброс не работает, висит в connection wait.

Так же заметил, что при коннекте на IP первого ISP при доступе на микротик он откликается всегда и моментально, а при обращении по порту, который пробрасывается в LAN иногда происходит задержка коннекта, допустим коннект может повисеть секунд 20, но потом начинает работать моментально.

 

Как настроено:

eth1 = ISP1

sfp1 = ISP2

/ip route print

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          10.244.***.***             4   mark=interset-isp-rt
1 A S  0.0.0.0/0                          193.169.***.***            3   mark=orbita-isp-rt
2 A S  0.0.0.0/0                          193.169.***.***            5
3   S  0.0.0.0/0                          10.244.***.***             6
4 A S  8.8.4.4/32                         10.244.***.***             1
5 A S  8.8.8.8/32                         193.169.***.***            1


/ip firewall mangle print

     chain=prerouting action=mark-connection new-connection-mark=orbita-conn passthrough=yes in-interface=ether1-gateway 

     chain=prerouting action=mark-connection new-connection-mark=interset-conn passthrough=yes in-interface=sfp1-gateway 

     chain=output action=mark-routing new-routing-mark=orbita-isp-rt passthrough=yes connection-mark=orbita-conn

     chain=output action=mark-routing new-routing-mark=interset-isp-rt passthrough=yes connection-mark=interset-conn




/ip firewall nat print

     ;;; default configuration
     chain=srcnat action=masquerade out-interface=sfp1-gateway

     ;;; default configuration
     chain=srcnat action=masquerade out-interface=ether1-gateway 

     ;;; web allow
     chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=193.169.***.*** dst-port=8080

     ;;; web allow
     chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=10.244.***.*** dst-port=8080

     ;;; web to server
     chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=80 protocol=tcp dst-address=193.169.***.*** dst-port=80

     ;;; web to server
     chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=80 protocol=tcp dst-address=10.244.***.*** dst-port=80

Изменено пользователем AbyssMoon

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставьте 2 микротика для приемов канала, и еще один микротик для объединения, тогда не будет проблем с доступом по внешним адресам и резервированием.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я думал мы стебались на счет 3 микротиков, тело отреагировало буквально. (((

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставьте 2 микротика для приемов канала, и еще один микротик для объединения, тогда не будет проблем с доступом по внешним адресам и резервированием.

***ец

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди

ну нет - новичков вполне ловить может. интересно Sonne так же решает проблемы масштабирования. Новая фича - новый микротик

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди

ну нет - новичков вполне ловить может. интересно Sonne так же решает проблемы масштабирования. Новая фича - новый микротик

 

микротик CCR стоит что-то около 1000$, у Cisco трансиверы дороже :), так что вполне экономически обоснованно "Новая фича - новый микротик", всё равно дешевле выйдет по кап. затратам

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди

ну нет - новичков вполне ловить может. интересно Sonne так же решает проблемы масштабирования. Новая фича - новый микротик

 

микротик CCR стоит что-то около 1000$, у Cisco трансиверы дороже :), так что вполне экономически обоснованно "Новая фича - новый микротик", всё равно дешевле выйдет по кап. затратам

трансиверы от циско это тоже самое тока на другом полюсе. имхо те кто считают что в циску нужно пихать именно их по мне одного уровня с теми кто предлагает ставить 3 роутера для двух плечей офисного включения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

трансиверы просто для примера, суть, думаю, понятна

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставьте 2 микротика для приемов канала, и еще один микротик для объединения, тогда не будет проблем с доступом по внешним адресам и резервированием.

 

Я читал предыдущие темы и видел Ваш ответ там такой же по этой теме :)

Неужели микротик в этом плане такое барахло?

До этого все разруливал на сервере на Linux с iptables, ip rule и ip route, работало все без проблем, решил тут микротик поставить для более простой организации IPSEC Site-to-Site... смысл от железяки за $1000 которая не может таких простых вещей без проблем?)

Думаю она все таки это умеет я просто что-то не верно делаю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Единственные три преимущества белой коробочки по сравнению с PC это размер, энергопотребление и цена. Которые нивелируются количеством секса и танцев с бубном, если задача чуть сложнее раздачи интырнетов на пяток компов.

 

нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди

Хммм.

 

Думаю она все таки это умеет я просто что-то не верно делаю :)

По всему форуму саабж не рекомендует пользовать дст-нат, ибо оно глючит, пошукайте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и про ipsec он тоже говорит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ребят, так куда бы капнуть? Кто-нибудь использует микротик с двумя провайдерами и доступ в сеть по белым ип с обоих?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Спасибо, почитал вашу тему, задача у вас практически один в один моя была, я так понял решить ее не удалось?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тогда её решил, на том и закрыл проблему.

из lartc в linux соединения которые возвращаются назад надо восстанавливать connmark-restore

 

если честно, я бы вам рекомендовал решить сперва эту задачу на Linux, а затем перейти на mikrotik, вы сможете понять что вам требуется и как дальше.

на linux она решается без проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я читал предыдущие темы и видел Ваш ответ там такой же по этой теме :)

Неужели микротик в этом плане такое барахло?

 

Представьте вам надо настроить несколько задач роутинга и фильтрации, вы можете взять микротик, нажать пару раз мышкой и готово. Так же можно взять комп, накатить на него сборку линукса, навешать сверху нужные пакеты, после настроить и т.п. Теперь представьте, что оборудование сломалось. На микротике достаточно влить конфиг в новое устройство из коробки и готово, а линукс нужно будет пересобирать по новой.

 

 

До этого все разруливал на сервере на Linux с iptables, ip rule и ip route, работало все без проблем, решил тут микротик поставить для более простой организации IPSEC Site-to-Site... смысл от железяки за $1000 которая не может таких простых вещей без проблем?)

Думаю она все таки это умеет я просто что-то не верно делаю :)

 

А что такое IPSEC и зачем оно вообще нужно? Многие под этим словом понимают какую-то космическую связь между двумя сетями. Более практичные просто используют L2TP и не заморачиваются, т.к. все программы, требующие защиты данных, и так эту защиту обеспечивают, и дополнительное шифрование передаваемых данных не требуется.

 

Ребят, так куда бы капнуть? Кто-нибудь использует микротик с двумя провайдерами и доступ в сеть по белым ип с обоих?

 

Я уже говорил про два микротика - тогда вся настройка сводится к маркировке пакетов и не более того.

 

просто dst-nat устаревшая технология

 

Конечно, на микротике для этого используется netmap.

 

Единственные три преимущества белой коробочки по сравнению с PC это размер, энергопотребление и цена. Которые нивелируются количеством секса и танцев с бубном, если задача чуть сложнее раздачи интырнетов на пяток компов.

 

Если к этому пятку компов добавить еще столько же несколько тысяч раз, то получится размер сети, которую обслуживает микротик без проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Представьте вам надо настроить несколько задач роутинга и фильтрации, вы можете взять микротик, нажать пару раз мышкой и готово. Так же можно взять комп, накатить на него сборку линукса, навешать сверху нужные пакеты, после настроить и т.п. Теперь представьте, что оборудование сломалось. На микротике достаточно влить конфиг в новое устройство из коробки и готово, а линукс нужно будет пересобирать по новой.

Всё правильно, нужно ставить фрю, там только конфиги залить обратно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...

Изменено пользователем pppoetest

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А Вы откуда пытаетесь подключаться к Вашим ресурсам? С локалки?

Изменено пользователем light elf

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Единственные три преимущества белой коробочки по сравнению с PC это размер, энергопотребление и цена.

берем TP-LINK TL-WDR3500/TP-LINK TL-WDR3600(если нужны гигабитные порты), ставим туда openwrt и понеслось.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Теперь представьте, что оборудование сломалось. На микротике достаточно влить конфиг в новое устройство из коробки и готово, а линукс нужно будет пересобирать по новой.

 

во-первых, в случае линукса берутся соответствующие дистрибутивы(vyos, openwrt). во-вторых, берутся железки tp-link и получаются те же плюсы, что с микротиком, только с куда более гибкими возможностями.

в-третьих, в случае поломки вопрос решается за 1 поход в ближайший компьютерный магазин.

 

 

А что такое IPSEC и зачем оно вообще нужно?

 

например, это часть ipv6(rfc 6434).

 

Более практичные просто используют L2TP и не заморачиваются, т.к. все программы, требующие защиты данных, и так эту защиту обеспечивают, и дополнительное шифрование передаваемых данных не требуется.

 

фантазёр. l2tp не обеспечивает ни целостность, ни шифрование. про application layer security можешь втирать бегающему SMB-трафику.

 

 

 

 

Я уже говорил про два микротика - тогда вся настройка сводится к маркировке пакетов и не более того.

 

а можно взять линукс, создать пару network namespaces и получить тот же самый эффект, как если бы у нас было 2 роутера.

всё то же самое можно проделать на tp-link, прошитым openwrt.

 

 

Конечно, на микротике для этого используется netmap.

 

просвещайся. таргет netmap в iptables. Ведь микротик - это же линукс :)

 

 

Если к этому пятку компов добавить еще столько же несколько тысяч раз, то получится размер сети, которую обслуживает микротик без проблем.

 

 

штоа?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

Неспешно бьюсь несколько недель с этой проблемой, не могу понять, в чем причина.

Прошу направить в верную сторону, уже не знаю куда капнуть...

 

Дано:

Два ISP и у обоих белые IP (у одного нормальный прямой IP, а другой выдает в сеть клиентам серый IP и делает на него dst-nat всех пакетов с белого IP)

 

Цель:

Доступность из вне микротика и прокинутых железок за ним с обоих белых IP + резервирование.

 

Проблема:

Так вот, если приходить на белый IP первого провайдера (основной), то все работает, и доступ на микротик и nat правила работают, кидая пакеты в LAN.

Если же приходить на белый IP второго ISP, то доступ на микротик работает, а вот nat правила нет, причем счетчик тикает, но проброс не работает, висит в connection wait.

Так же заметил, что при коннекте на IP первого ISP при доступе на микротик он откликается всегда и моментально, а при обращении по порту, который пробрасывается в LAN иногда происходит задержка коннекта, допустим коннект может повисеть секунд 20, но потом начинает работать моментально.

 

Как настроено:

eth1 = ISP1

sfp1 = ISP2

 

/ip route print#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE0 A S  0.0.0.0/0                          10.244.***.***             4   mark=interset-isp-rt1 A S  0.0.0.0/0                          193.169.***.***            3   mark=orbita-isp-rt2 A S  0.0.0.0/0                          193.169.***.***            53   S  0.0.0.0/0                          10.244.***.***             64 A S  8.8.4.4/32                         10.244.***.***             15 A S  8.8.8.8/32                         193.169.***.***            1/ip firewall mangle print     chain=prerouting action=mark-connection new-connection-mark=orbita-conn passthrough=yes in-interface=ether1-gateway      chain=prerouting action=mark-connection new-connection-mark=interset-conn passthrough=yes in-interface=sfp1-gateway      chain=output action=mark-routing new-routing-mark=orbita-isp-rt passthrough=yes connection-mark=orbita-conn     chain=output action=mark-routing new-routing-mark=interset-isp-rt passthrough=yes connection-mark=interset-conn/ip firewall nat print     ;;; default configuration     chain=srcnat action=masquerade out-interface=sfp1-gateway     ;;; default configuration     chain=srcnat action=masquerade out-interface=ether1-gateway      ;;; web allow     chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=193.169.***.*** dst-port=8080     ;;; web allow     chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=10.244.***.*** dst-port=8080     ;;; web to server     chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=80 protocol=tcp dst-address=193.169.***.*** dst-port=80     ;;; web to server     chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=80 protocol=tcp dst-address=10.244.***.*** dst-port=80

 

 

 

Зачем вам мангл?

 

А так правило трансляции извне вовнутрь сети я бы записал так:

/ip firewall nat add chain=dstnat dst-port=80 action=dst-nat to-address=192.168.30.1 to-port=80

По идее любой пакет с любого ISP на заданный порт оно отловит и сфорвардит куда хотите. По крайней мере, так у нас наружу торчало немного служебного софта. Само правило могу слегка переврать, ибо написал по памяти. В мануалах к роутерос оно называлось портмаппинг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

берем TP-LINK TL-WDR3500/TP-LINK TL-WDR3600(если нужны гигабитные порты), ставим туда openwrt и понеслось.

 

Расскажите как это сделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.