Jump to content
Калькуляторы

microtik 951g 2hnd usb модем + кабельный интернет

Доброго времени суток, требуется помощь с маркировкой трафика интернет. Перекапал кучу статей, нечего не помогло.

Подключен Usb модем от мтс и 3 локальных провайдера. 1 из провайдеров имеет доступ с интернета. т.к у нас в городе ситуация с интернетом тяжелая требуется организовать доступ к веб серверу.

Веб сервер защещен от внешнего доступа с помощью http пароля.

Что нужно:

Все компьютеры что находятся за микротикром организовать доступ в интернет с помощью usb модема.

Организовать внешний доступ с 1 провайдера на веб сервер. При этом не использовать его интернет , использовать только внешний (входящий) доступ по этому каналу....

При этом имеется 2 "нулевых" маршрута. 1 Для УСБ модема , другой для интернет провайдера.

Если отключается 1 маршрут УСБ модема, то доступ есть, если он включен то доступ прекращается.

Share this post


Link to post
Share on other sites

не кто не подскажет?

 

Вы не сможете реализовать поставленную задачу, т.к. если запрос пришел через одного оператора, ответ не может уйти через другого.

 

Решить задачу вы частично сможете, прикупив еще 3-4 микротика, к каждому подключите свой канал внешнего оператора, а еще одним микротиком будете управлять доступом ваших клиентов в интернет.

Share this post


Link to post
Share on other sites

Нет, с какого канала он пришел от туда он и пойдет. Здесь просто требуется настроить 2 канала интернета.

1 - только входящий и исходящий трафик (для доступа с интернет на веб сервер и другие ресурсы расположенные на моих машинах с перебросом портов)

2 канал - (усб модем) только для его использования (инфа берется из адрес листа) кто будет использовать данный канал для серфинга

Так я думаю под силу организовать?

Share this post


Link to post
Share on other sites

есть знатоки? уже месяц копаюсь .....

Сформулируйте четко вопрос.

Share this post


Link to post
Share on other sites

Да нет тут проблемы. У меня такую задачу хочет каждый третий.

 

Разбиваете задачу на этапы:

1. добиваетесь чтобы ответы на запросы на IP первого канала уходили в тот же канал (mangle connection_mark, затем маркировка routing mark для исходящего и отдельное правило маршрутизации в route list с данным routing mark в данный канал. Есть нюансы, справа скрупулезна, но ничего. Доходчиво описано, например, тут: http://sidex84.blogspot.com/2014/07/mikrotik.html, там где "Routing".

2. default gateway на второй канал для серфинга. Допущенных к этому юзеров - в address list, address list - маскарадим.

 

вкратце так.

 

Присылайте контакт в личку, помогу. Могу растолковать, могу настроить в удаленном режиме, могу даже показать как это делается. Особенно, если найдется бюджет под это дело.

Share this post


Link to post
Share on other sites

Поясню подробнее:

Имеется внутреняя локальная сеть : 10.18.18.0/25

К Микротику подключено несколько провайдеров:

1порт - Локальная сеть прописаны маршруты в эту сеть (без инета)

2порт - Локальная сеть с интернетом (есть также свои локальные ресурсы и доступ к ней из сети интернет)

3порт - Локальная сеть прописаны маршруты в эту сеть (без инета)

4порт - Локальная сеть (провайдер тот же что и на 2 порту, НО!, не прописаны маршруты локальной сети т.е используется только для доступа из сети интернет)

USB порт - Подключен модем usb, (т.е все компьютеры что находятся во внутренней локальной сети 10.18.18.0/25 выходят через него в инет)

5порт - подключен обычный гигабитный коммутатор и от него подключен ПК, и внутренние сервера.

Для провайдеров 2,4,и usb порта прописан маршрут 0.0.0.0/0 , так же имеется адрес лист ip ПК, которым можно выходить в интернет.

Все работает как часы , но требуется решение следующего вопроса:

Т.е получается что 3 маршрута : 0.0.0.0/0 работать не могут.

Нужно чтобы внешний доступ с интернета был для сетей которые подключены на 2 и 4 порту. Сразу скажу что их интернет использовать не нужно только для доступа из вне.

На 2 порту провайдера порты уже переброшены куда нужно , нужен только внешний доступ с интернет т.к локальный доступ уже есть. Соответственно как и на 4 (сети одного провайдера).

Сделана маркировка трафика :

 


Flags: X - disabled, I - invalid, D - dynamic 
0    chain=input action=mark-connection new-connection-mark=ISP 1 -> Input 
     passthrough=no dst-address=95.129.149.137 in-interface=Kanal-7 log=no 
     log-prefix="" 

1    chain=output action=mark-routing new-routing-mark=ISP 1 passthrough=no 
     connection-mark=ISP 1 -> Input log=no log-prefix="" 

2    chain=input action=mark-connection new-connection-mark=ISP 2 -> Input 
     passthrough=no src-address-list=Internet list 
     in-interface=inet_rostelecom log=no log-prefix="" 

3    chain=output action=mark-routing new-routing-mark=ISP 2 passthrough=no 
     connection-mark=ISP 2 -> Input log=no log-prefix="" 

4    chain=input action=mark-connection new-connection-mark=ISP 3 -> Input 
     passthrough=no dst-address=95.129.149.114 in-interface=kanal7-inetpub 
     log=no log-prefix="" 

5    chain=output action=mark-routing new-routing-mark=ISP 3 passthrough=no 
     connection-mark=ISP 3 -> Input log=no log-prefix="" 

 

Соответственно указав маркировку в роутах, просто не работает совсем.

Share this post


Link to post
Share on other sites

Эта часть конфига дышит реализмом, но хорошо бы посмотреть конфиг целиком.

 

А то, видите ли, догадываться приходится какой из каналов первый, какой второй и т.п.

Терминология тоже хромает, не вполне понятно из описания кто на ком стоял.

 

И да, вам в помощь таблица Ip firewall Connections и torch на интерфейсах, чтобы было ясно какие пакеты куда попадают, а какие нет; что промаркировалось, а что - нет. Поди, маскарадинг еще есть. Глядишь - окажется что что-то не туда или не так маскарадится.

Share this post


Link to post
Share on other sites

[admin@gw.ultranord.ru] /ip route> print

Flags: X - disabled, A - active, D - dynamic,

C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,

B - blackhole, U - unreachable, P - prohibit

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S 0.0.0.0/0 Kanal-7 2

1 A S 0.0.0.0/0 kanal7-inetpub 3

2 A S 0.0.0.0/0 inet_rostelecom 1

 

[admin@gw.ultranord.ru] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0 X chain=srcnat action=masquerade src-address-list=Internet list

out-interface=inet_rostelecom log=no log-prefix=""

 

1 X chain=srcnat action=masquerade src-address-list=Internet list

out-interface=Kanal-7 log=no log-prefix=""

 

2 ;;; ISP 1

chain=srcnat action=masquerade out-interface=Kanal-7 log=no

log-prefix=""

 

3 ;;; ISP 1

chain=srcnat action=masquerade out-interface=kanal7-inetpub log=no

log-prefix=""

 

4 ;;; ISP 2

chain=srcnat action=masquerade src-a

out-interface=inet_rostelecom log=no

 

5 ;;; ISP 3

chain=srcnat action=masquerade routi

out-interface=kanal7-inetpub log=no

 

-- [Q quit|D dump|down]

 

оно?

Share this post


Link to post
Share on other sites

Godmode ON

 

Конфиг у вас тяжеловатый и много вопросов по деталям. В целом, но не вдаваясь в подробности, ползете в правильном направлении и выглядит так что все должно как-то работать. Разбирайтесь с деталями.

 

Попробуйте сделать минимальную стендовую конфигурацию, без лишних линков. Только входящие соединения через один и исходящие - через USB модем. Так будет проще отладить. Когда отладите - наворачивайте до исходной.

 

Вам в помощь таблица Ip firewall Connections и torch на интерфейсах, чтобы было ясно какие пакеты куда попадают, а какие нет; что промаркировалось, а что - нет. Так и делаете - соединяетесь откуда-то куда-то и высматриваете это соединение. Думаете. Высматриваете. Думаете. Правите конфиг. Высматриваете. Думаете. Правите дальше. О! не работает, но уже по-другому... Думаете дальше.

 

Без этого или платная услуга или покупать еще микротики. Возможно, как писал Saab - три-четыре. Возможно, больше. Тут уже нет предела совершенству.

Share this post


Link to post
Share on other sites

У меня немного попроще задача, чем у автора темы. Микротик такой же, OS 6.29. Интернет по проводу по статическому ip. Модемы Huawei 3272, 3372 соеденены через 7-портовый usb hub с доп. питанием, работают стабильно в режиме "только модем". Задача такая - используя локальную сеть оператора сотовой связи, клиентам дать доступ по VPN (L2TP, PPTP) в интернет и в локальную сеть микротика. Пока получается только попеременно. Необходимо чтобы было одновременно - первый клиент подключается по IP к модему 1, второй клиент - соответственно к модему 2.

Правильно ли я понимаю, что надо "копать" в сторону маркироваки пакетов?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this