AbyssMoon Опубликовано 27 марта, 2015 (изменено) · Жалоба Добрый день. Неспешно бьюсь несколько недель с этой проблемой, не могу понять, в чем причина. Прошу направить в верную сторону, уже не знаю куда капнуть... Дано: Два ISP и у обоих белые IP (у одного нормальный прямой IP, а другой выдает в сеть клиентам серый IP и делает на него dst-nat всех пакетов с белого IP) Цель: Доступность из вне микротика и прокинутых железок за ним с обоих белых IP + резервирование. Проблема: Так вот, если приходить на белый IP первого провайдера (основной), то все работает, и доступ на микротик и nat правила работают, кидая пакеты в LAN. Если же приходить на белый IP второго ISP, то доступ на микротик работает, а вот nat правила нет, причем счетчик тикает, но проброс не работает, висит в connection wait. Так же заметил, что при коннекте на IP первого ISP при доступе на микротик он откликается всегда и моментально, а при обращении по порту, который пробрасывается в LAN иногда происходит задержка коннекта, допустим коннект может повисеть секунд 20, но потом начинает работать моментально. Как настроено: eth1 = ISP1 sfp1 = ISP2 /ip route print # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 10.244.***.*** 4 mark=interset-isp-rt 1 A S 0.0.0.0/0 193.169.***.*** 3 mark=orbita-isp-rt 2 A S 0.0.0.0/0 193.169.***.*** 5 3 S 0.0.0.0/0 10.244.***.*** 6 4 A S 8.8.4.4/32 10.244.***.*** 1 5 A S 8.8.8.8/32 193.169.***.*** 1 /ip firewall mangle print chain=prerouting action=mark-connection new-connection-mark=orbita-conn passthrough=yes in-interface=ether1-gateway chain=prerouting action=mark-connection new-connection-mark=interset-conn passthrough=yes in-interface=sfp1-gateway chain=output action=mark-routing new-routing-mark=orbita-isp-rt passthrough=yes connection-mark=orbita-conn chain=output action=mark-routing new-routing-mark=interset-isp-rt passthrough=yes connection-mark=interset-conn /ip firewall nat print ;;; default configuration chain=srcnat action=masquerade out-interface=sfp1-gateway ;;; default configuration chain=srcnat action=masquerade out-interface=ether1-gateway ;;; web allow chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=193.169.***.*** dst-port=8080 ;;; web allow chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=10.244.***.*** dst-port=8080 ;;; web to server chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=80 protocol=tcp dst-address=193.169.***.*** dst-port=80 ;;; web to server chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=80 protocol=tcp dst-address=10.244.***.*** dst-port=80 Изменено 27 марта, 2015 пользователем AbyssMoon Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 марта, 2015 · Жалоба Поставьте 2 микротика для приемов канала, и еще один микротик для объединения, тогда не будет проблем с доступом по внешним адресам и резервированием. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 27 марта, 2015 · Жалоба Я думал мы стебались на счет 3 микротиков, тело отреагировало буквально. ((( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smoke Опубликовано 27 марта, 2015 · Жалоба Поставьте 2 микротика для приемов канала, и еще один микротик для объединения, тогда не будет проблем с доступом по внешним адресам и резервированием. ***ец Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 марта, 2015 · Жалоба нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smoke Опубликовано 27 марта, 2015 · Жалоба нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди ну нет - новичков вполне ловить может. интересно Sonne так же решает проблемы масштабирования. Новая фича - новый микротик Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 марта, 2015 · Жалоба нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди ну нет - новичков вполне ловить может. интересно Sonne так же решает проблемы масштабирования. Новая фича - новый микротик микротик CCR стоит что-то около 1000$, у Cisco трансиверы дороже :), так что вполне экономически обоснованно "Новая фича - новый микротик", всё равно дешевле выйдет по кап. затратам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smoke Опубликовано 27 марта, 2015 · Жалоба нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди ну нет - новичков вполне ловить может. интересно Sonne так же решает проблемы масштабирования. Новая фича - новый микротик микротик CCR стоит что-то около 1000$, у Cisco трансиверы дороже :), так что вполне экономически обоснованно "Новая фича - новый микротик", всё равно дешевле выйдет по кап. затратам трансиверы от циско это тоже самое тока на другом полюсе. имхо те кто считают что в циску нужно пихать именно их по мне одного уровня с теми кто предлагает ставить 3 роутера для двух плечей офисного включения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 марта, 2015 · Жалоба трансиверы просто для примера, суть, думаю, понятна Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AbyssMoon Опубликовано 27 марта, 2015 · Жалоба Поставьте 2 микротика для приемов канала, и еще один микротик для объединения, тогда не будет проблем с доступом по внешним адресам и резервированием. Я читал предыдущие темы и видел Ваш ответ там такой же по этой теме :) Неужели микротик в этом плане такое барахло? До этого все разруливал на сервере на Linux с iptables, ip rule и ip route, работало все без проблем, решил тут микротик поставить для более простой организации IPSEC Site-to-Site... смысл от железяки за $1000 которая не может таких простых вещей без проблем?) Думаю она все таки это умеет я просто что-то не верно делаю :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 27 марта, 2015 · Жалоба Единственные три преимущества белой коробочки по сравнению с PC это размер, энергопотребление и цена. Которые нивелируются количеством секса и танцев с бубном, если задача чуть сложнее раздачи интырнетов на пяток компов. нормальные вендоры приплачивают saab-у, чтобы заказчики думали, что продавцы микротиков альтернативно одарённые люди Хммм. Думаю она все таки это умеет я просто что-то не верно делаю :) По всему форуму саабж не рекомендует пользовать дст-нат, ибо оно глючит, пошукайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 марта, 2015 · Жалоба просто dst-nat устаревшая технология Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 27 марта, 2015 · Жалоба и про ipsec он тоже говорит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AbyssMoon Опубликовано 29 марта, 2015 · Жалоба Ребят, так куда бы капнуть? Кто-нибудь использует микротик с двумя провайдерами и доступ в сеть по белым ип с обоих? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 29 марта, 2015 · Жалоба http://forum.nag.ru/forum/index.php?showtopic=87814 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AbyssMoon Опубликовано 30 марта, 2015 · Жалоба http://forum.nag.ru/forum/index.php?showtopic=87814 Спасибо, почитал вашу тему, задача у вас практически один в один моя была, я так понял решить ее не удалось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Megas Опубликовано 30 марта, 2015 · Жалоба тогда её решил, на том и закрыл проблему. из lartc в linux соединения которые возвращаются назад надо восстанавливать connmark-restore если честно, я бы вам рекомендовал решить сперва эту задачу на Linux, а затем перейти на mikrotik, вы сможете понять что вам требуется и как дальше. на linux она решается без проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 30 марта, 2015 · Жалоба Я читал предыдущие темы и видел Ваш ответ там такой же по этой теме :) Неужели микротик в этом плане такое барахло? Представьте вам надо настроить несколько задач роутинга и фильтрации, вы можете взять микротик, нажать пару раз мышкой и готово. Так же можно взять комп, накатить на него сборку линукса, навешать сверху нужные пакеты, после настроить и т.п. Теперь представьте, что оборудование сломалось. На микротике достаточно влить конфиг в новое устройство из коробки и готово, а линукс нужно будет пересобирать по новой. До этого все разруливал на сервере на Linux с iptables, ip rule и ip route, работало все без проблем, решил тут микротик поставить для более простой организации IPSEC Site-to-Site... смысл от железяки за $1000 которая не может таких простых вещей без проблем?) Думаю она все таки это умеет я просто что-то не верно делаю :) А что такое IPSEC и зачем оно вообще нужно? Многие под этим словом понимают какую-то космическую связь между двумя сетями. Более практичные просто используют L2TP и не заморачиваются, т.к. все программы, требующие защиты данных, и так эту защиту обеспечивают, и дополнительное шифрование передаваемых данных не требуется. Ребят, так куда бы капнуть? Кто-нибудь использует микротик с двумя провайдерами и доступ в сеть по белым ип с обоих? Я уже говорил про два микротика - тогда вся настройка сводится к маркировке пакетов и не более того. просто dst-nat устаревшая технология Конечно, на микротике для этого используется netmap. Единственные три преимущества белой коробочки по сравнению с PC это размер, энергопотребление и цена. Которые нивелируются количеством секса и танцев с бубном, если задача чуть сложнее раздачи интырнетов на пяток компов. Если к этому пятку компов добавить еще столько же несколько тысяч раз, то получится размер сети, которую обслуживает микротик без проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 31 марта, 2015 · Жалоба Представьте вам надо настроить несколько задач роутинга и фильтрации, вы можете взять микротик, нажать пару раз мышкой и готово. Так же можно взять комп, накатить на него сборку линукса, навешать сверху нужные пакеты, после настроить и т.п. Теперь представьте, что оборудование сломалось. На микротике достаточно влить конфиг в новое устройство из коробки и готово, а линукс нужно будет пересобирать по новой. Всё правильно, нужно ставить фрю, там только конфиги залить обратно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 31 марта, 2015 (изменено) · Жалоба ... Изменено 31 марта, 2015 пользователем pppoetest Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
light elf Опубликовано 22 августа, 2015 (изменено) · Жалоба А Вы откуда пытаетесь подключаться к Вашим ресурсам? С локалки? Изменено 22 августа, 2015 пользователем light elf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 22 августа, 2015 · Жалоба Единственные три преимущества белой коробочки по сравнению с PC это размер, энергопотребление и цена. берем TP-LINK TL-WDR3500/TP-LINK TL-WDR3600(если нужны гигабитные порты), ставим туда openwrt и понеслось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 22 августа, 2015 · Жалоба Теперь представьте, что оборудование сломалось. На микротике достаточно влить конфиг в новое устройство из коробки и готово, а линукс нужно будет пересобирать по новой. во-первых, в случае линукса берутся соответствующие дистрибутивы(vyos, openwrt). во-вторых, берутся железки tp-link и получаются те же плюсы, что с микротиком, только с куда более гибкими возможностями. в-третьих, в случае поломки вопрос решается за 1 поход в ближайший компьютерный магазин. А что такое IPSEC и зачем оно вообще нужно? например, это часть ipv6(rfc 6434). Более практичные просто используют L2TP и не заморачиваются, т.к. все программы, требующие защиты данных, и так эту защиту обеспечивают, и дополнительное шифрование передаваемых данных не требуется. фантазёр. l2tp не обеспечивает ни целостность, ни шифрование. про application layer security можешь втирать бегающему SMB-трафику. Я уже говорил про два микротика - тогда вся настройка сводится к маркировке пакетов и не более того. а можно взять линукс, создать пару network namespaces и получить тот же самый эффект, как если бы у нас было 2 роутера. всё то же самое можно проделать на tp-link, прошитым openwrt. Конечно, на микротике для этого используется netmap. просвещайся. таргет netmap в iptables. Ведь микротик - это же линукс :) Если к этому пятку компов добавить еще столько же несколько тысяч раз, то получится размер сети, которую обслуживает микротик без проблем. штоа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 22 августа, 2015 · Жалоба Добрый день. Неспешно бьюсь несколько недель с этой проблемой, не могу понять, в чем причина. Прошу направить в верную сторону, уже не знаю куда капнуть... Дано: Два ISP и у обоих белые IP (у одного нормальный прямой IP, а другой выдает в сеть клиентам серый IP и делает на него dst-nat всех пакетов с белого IP) Цель: Доступность из вне микротика и прокинутых железок за ним с обоих белых IP + резервирование. Проблема: Так вот, если приходить на белый IP первого провайдера (основной), то все работает, и доступ на микротик и nat правила работают, кидая пакеты в LAN. Если же приходить на белый IP второго ISP, то доступ на микротик работает, а вот nat правила нет, причем счетчик тикает, но проброс не работает, висит в connection wait. Так же заметил, что при коннекте на IP первого ISP при доступе на микротик он откликается всегда и моментально, а при обращении по порту, который пробрасывается в LAN иногда происходит задержка коннекта, допустим коннект может повисеть секунд 20, но потом начинает работать моментально. Как настроено: eth1 = ISP1 sfp1 = ISP2 /ip route print# DST-ADDRESS PREF-SRC GATEWAY DISTANCE0 A S 0.0.0.0/0 10.244.***.*** 4 mark=interset-isp-rt1 A S 0.0.0.0/0 193.169.***.*** 3 mark=orbita-isp-rt2 A S 0.0.0.0/0 193.169.***.*** 53 S 0.0.0.0/0 10.244.***.*** 64 A S 8.8.4.4/32 10.244.***.*** 15 A S 8.8.8.8/32 193.169.***.*** 1/ip firewall mangle print chain=prerouting action=mark-connection new-connection-mark=orbita-conn passthrough=yes in-interface=ether1-gateway chain=prerouting action=mark-connection new-connection-mark=interset-conn passthrough=yes in-interface=sfp1-gateway chain=output action=mark-routing new-routing-mark=orbita-isp-rt passthrough=yes connection-mark=orbita-conn chain=output action=mark-routing new-routing-mark=interset-isp-rt passthrough=yes connection-mark=interset-conn/ip firewall nat print ;;; default configuration chain=srcnat action=masquerade out-interface=sfp1-gateway ;;; default configuration chain=srcnat action=masquerade out-interface=ether1-gateway ;;; web allow chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=193.169.***.*** dst-port=8080 ;;; web allow chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=10.244.***.*** dst-port=8080 ;;; web to server chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=80 protocol=tcp dst-address=193.169.***.*** dst-port=80 ;;; web to server chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=80 protocol=tcp dst-address=10.244.***.*** dst-port=80 Зачем вам мангл? А так правило трансляции извне вовнутрь сети я бы записал так: /ip firewall nat add chain=dstnat dst-port=80 action=dst-nat to-address=192.168.30.1 to-port=80 По идее любой пакет с любого ISP на заданный порт оно отловит и сфорвардит куда хотите. По крайней мере, так у нас наружу торчало немного служебного софта. Само правило могу слегка переврать, ибо написал по памяти. В мануалах к роутерос оно называлось портмаппинг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 23 августа, 2015 · Жалоба берем TP-LINK TL-WDR3500/TP-LINK TL-WDR3600(если нужны гигабитные порты), ставим туда openwrt и понеслось. Расскажите как это сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...