microtik 951g 2hnd usb модем + кабельный интернет

[Marik777]

Доброго времени суток, требуется помощь с маркировкой трафика интернет. Перекапал кучу статей, нечего не помогло.

Подключен Usb модем от мтс и 3 локальных провайдера. 1 из провайдеров имеет доступ с интернета. т.к у нас в городе ситуация с интернетом тяжелая требуется организовать доступ к веб серверу.

Веб сервер защещен от внешнего доступа с помощью http пароля.

Что нужно:

Все компьютеры что находятся за микротикром организовать доступ в интернет с помощью usb модема.

Организовать внешний доступ с 1 провайдера на веб сервер. При этом не использовать его интернет , использовать только внешний (входящий) доступ по этому каналу....

При этом имеется 2 "нулевых" маршрута. 1 Для УСБ модема , другой для интернет провайдера.

Если отключается 1 маршрут УСБ модема, то доступ есть, если он включен то доступ прекращается.

[Marik777]

не кто не подскажет?

[Saab95]

не кто не подскажет?

 

Вы не сможете реализовать поставленную задачу, т.к. если запрос пришел через одного оператора, ответ не может уйти через другого.

 

Решить задачу вы частично сможете, прикупив еще 3-4 микротика, к каждому подключите свой канал внешнего оператора, а еще одним микротиком будете управлять доступом ваших клиентов в интернет.

[Marik777]

Нет, с какого канала он пришел от туда он и пойдет. Здесь просто требуется настроить 2 канала интернета.

1 - только входящий и исходящий трафик (для доступа с интернет на веб сервер и другие ресурсы расположенные на моих машинах с перебросом портов)

2 канал - (усб модем) только для его использования (инфа берется из адрес листа) кто будет использовать данный канал для серфинга

Так я думаю под силу организовать?

[Marik777]

есть знатоки? уже месяц копаюсь .....

[SSD]

есть знатоки? уже месяц копаюсь .....

Сформулируйте четко вопрос.

[jagamaster]

Да нет тут проблемы. У меня такую задачу хочет каждый третий.

 

Разбиваете задачу на этапы:

1. добиваетесь чтобы ответы на запросы на IP первого канала уходили в тот же канал (mangle connection_mark, затем маркировка routing mark для исходящего и отдельное правило маршрутизации в route list с данным routing mark в данный канал. Есть нюансы, справа скрупулезна, но ничего. Доходчиво описано, например, тут: http://sidex84.blogspot.com/2014/07/mikrotik.html, там где "Routing".

2. default gateway на второй канал для серфинга. Допущенных к этому юзеров - в address list, address list - маскарадим.

 

вкратце так.

 

Присылайте контакт в личку, помогу. Могу растолковать, могу настроить в удаленном режиме, могу даже показать как это делается. Особенно, если найдется бюджет под это дело.

[Marik777]

Поясню подробнее:

Имеется внутреняя локальная сеть : 10.18.18.0/25

К Микротику подключено несколько провайдеров:

1порт - Локальная сеть прописаны маршруты в эту сеть (без инета)

2порт - Локальная сеть с интернетом (есть также свои локальные ресурсы и доступ к ней из сети интернет)

3порт - Локальная сеть прописаны маршруты в эту сеть (без инета)

4порт - Локальная сеть (провайдер тот же что и на 2 порту, НО!, не прописаны маршруты локальной сети т.е используется только для доступа из сети интернет)

USB порт - Подключен модем usb, (т.е все компьютеры что находятся во внутренней локальной сети 10.18.18.0/25 выходят через него в инет)

5порт - подключен обычный гигабитный коммутатор и от него подключен ПК, и внутренние сервера.

Для провайдеров 2,4,и usb порта прописан маршрут 0.0.0.0/0 , так же имеется адрес лист ip ПК, которым можно выходить в интернет.

Все работает как часы , но требуется решение следующего вопроса:

Т.е получается что 3 маршрута : 0.0.0.0/0 работать не могут.

Нужно чтобы внешний доступ с интернета был для сетей которые подключены на 2 и 4 порту. Сразу скажу что их интернет использовать не нужно только для доступа из вне.

На 2 порту провайдера порты уже переброшены куда нужно , нужен только внешний доступ с интернет т.к локальный доступ уже есть. Соответственно как и на 4 (сети одного провайдера).

Сделана маркировка трафика :

 

Flags: X - disabled, I - invalid, D - dynamic 
0    chain=input action=mark-connection new-connection-mark=ISP 1 -> Input 
     passthrough=no dst-address=95.129.149.137 in-interface=Kanal-7 log=no 
     log-prefix="" 

1    chain=output action=mark-routing new-routing-mark=ISP 1 passthrough=no 
     connection-mark=ISP 1 -> Input log=no log-prefix="" 

2    chain=input action=mark-connection new-connection-mark=ISP 2 -> Input 
     passthrough=no src-address-list=Internet list 
     in-interface=inet_rostelecom log=no log-prefix="" 

3    chain=output action=mark-routing new-routing-mark=ISP 2 passthrough=no 
     connection-mark=ISP 2 -> Input log=no log-prefix="" 

4    chain=input action=mark-connection new-connection-mark=ISP 3 -> Input 
     passthrough=no dst-address=95.129.149.114 in-interface=kanal7-inetpub 
     log=no log-prefix="" 

5    chain=output action=mark-routing new-routing-mark=ISP 3 passthrough=no 
     connection-mark=ISP 3 -> Input log=no log-prefix="" 

 

Соответственно указав маркировку в роутах, просто не работает совсем.

[jagamaster]

Эта часть конфига дышит реализмом, но хорошо бы посмотреть конфиг целиком.

 

А то, видите ли, догадываться приходится какой из каналов первый, какой второй и т.п.

Терминология тоже хромает, не вполне понятно из описания кто на ком стоял.

 

И да, вам в помощь таблица Ip firewall Connections и torch на интерфейсах, чтобы было ясно какие пакеты куда попадают, а какие нет; что промаркировалось, а что - нет. Поди, маскарадинг еще есть. Глядишь - окажется что что-то не туда или не так маскарадится.

[Marik777]

[admin@gw.ultranord.ru] /ip route> print

Flags: X - disabled, A - active, D - dynamic,

C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,

B - blackhole, U - unreachable, P - prohibit

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S 0.0.0.0/0 Kanal-7 2

1 A S 0.0.0.0/0 kanal7-inetpub 3

2 A S 0.0.0.0/0 inet_rostelecom 1

 

[admin@gw.ultranord.ru] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0 X chain=srcnat action=masquerade src-address-list=Internet list

out-interface=inet_rostelecom log=no log-prefix=""

 

1 X chain=srcnat action=masquerade src-address-list=Internet list

out-interface=Kanal-7 log=no log-prefix=""

 

2 ;;; ISP 1

chain=srcnat action=masquerade out-interface=Kanal-7 log=no

log-prefix=""

 

3 ;;; ISP 1

chain=srcnat action=masquerade out-interface=kanal7-inetpub log=no

log-prefix=""

 

4 ;;; ISP 2

chain=srcnat action=masquerade src-a

out-interface=inet_rostelecom log=no

 

5 ;;; ISP 3

chain=srcnat action=masquerade routi

out-interface=kanal7-inetpub log=no

 

-- [Q quit|D dump|down]

 

оно?

[jagamaster]

нет, я про _полный_ конфиг.

 

/export compact

[jagamaster]

Godmode ON

 

Конфиг у вас тяжеловатый и много вопросов по деталям. В целом, но не вдаваясь в подробности, ползете в правильном направлении и выглядит так что все должно как-то работать. Разбирайтесь с деталями.

 

Попробуйте сделать минимальную стендовую конфигурацию, без лишних линков. Только входящие соединения через один и исходящие - через USB модем. Так будет проще отладить. Когда отладите - наворачивайте до исходной.

 

Вам в помощь таблица Ip firewall Connections и torch на интерфейсах, чтобы было ясно какие пакеты куда попадают, а какие нет; что промаркировалось, а что - нет. Так и делаете - соединяетесь откуда-то куда-то и высматриваете это соединение. Думаете. Высматриваете. Думаете. Правите конфиг. Высматриваете. Думаете. Правите дальше. О! не работает, но уже по-другому... Думаете дальше.

 

Без этого или платная услуга или покупать еще микротики. Возможно, как писал Saab - три-четыре. Возможно, больше. Тут уже нет предела совершенству.

[Vita077]

У меня немного попроще задача, чем у автора темы. Микротик такой же, OS 6.29. Интернет по проводу по статическому ip. Модемы Huawei 3272, 3372 соеденены через 7-портовый usb hub с доп. питанием, работают стабильно в режиме "только модем". Задача такая - используя локальную сеть оператора сотовой связи, клиентам дать доступ по VPN (L2TP, PPTP) в интернет и в локальную сеть микротика. Пока получается только попеременно. Необходимо чтобы было одновременно - первый клиент подключается по IP к модему 1, второй клиент - соответственно к модему 2.

Правильно ли я понимаю, что надо "копать" в сторону маркироваки пакетов?