Marik777 Опубликовано 5 июня, 2015 · Жалоба Доброго времени суток, требуется помощь с маркировкой трафика интернет. Перекапал кучу статей, нечего не помогло. Подключен Usb модем от мтс и 3 локальных провайдера. 1 из провайдеров имеет доступ с интернета. т.к у нас в городе ситуация с интернетом тяжелая требуется организовать доступ к веб серверу. Веб сервер защещен от внешнего доступа с помощью http пароля. Что нужно: Все компьютеры что находятся за микротикром организовать доступ в интернет с помощью usb модема. Организовать внешний доступ с 1 провайдера на веб сервер. При этом не использовать его интернет , использовать только внешний (входящий) доступ по этому каналу.... При этом имеется 2 "нулевых" маршрута. 1 Для УСБ модема , другой для интернет провайдера. Если отключается 1 маршрут УСБ модема, то доступ есть, если он включен то доступ прекращается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Marik777 Опубликовано 8 июня, 2015 · Жалоба не кто не подскажет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 июня, 2015 · Жалоба не кто не подскажет? Вы не сможете реализовать поставленную задачу, т.к. если запрос пришел через одного оператора, ответ не может уйти через другого. Решить задачу вы частично сможете, прикупив еще 3-4 микротика, к каждому подключите свой канал внешнего оператора, а еще одним микротиком будете управлять доступом ваших клиентов в интернет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Marik777 Опубликовано 11 июня, 2015 · Жалоба Нет, с какого канала он пришел от туда он и пойдет. Здесь просто требуется настроить 2 канала интернета. 1 - только входящий и исходящий трафик (для доступа с интернет на веб сервер и другие ресурсы расположенные на моих машинах с перебросом портов) 2 канал - (усб модем) только для его использования (инфа берется из адрес листа) кто будет использовать данный канал для серфинга Так я думаю под силу организовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Marik777 Опубликовано 18 июня, 2015 · Жалоба есть знатоки? уже месяц копаюсь ..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 18 июня, 2015 · Жалоба есть знатоки? уже месяц копаюсь ..... Сформулируйте четко вопрос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jagamaster Опубликовано 21 июня, 2015 · Жалоба Да нет тут проблемы. У меня такую задачу хочет каждый третий. Разбиваете задачу на этапы: 1. добиваетесь чтобы ответы на запросы на IP первого канала уходили в тот же канал (mangle connection_mark, затем маркировка routing mark для исходящего и отдельное правило маршрутизации в route list с данным routing mark в данный канал. Есть нюансы, справа скрупулезна, но ничего. Доходчиво описано, например, тут: http://sidex84.blogspot.com/2014/07/mikrotik.html, там где "Routing". 2. default gateway на второй канал для серфинга. Допущенных к этому юзеров - в address list, address list - маскарадим. вкратце так. Присылайте контакт в личку, помогу. Могу растолковать, могу настроить в удаленном режиме, могу даже показать как это делается. Особенно, если найдется бюджет под это дело. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Marik777 Опубликовано 21 июня, 2015 · Жалоба Поясню подробнее: Имеется внутреняя локальная сеть : 10.18.18.0/25 К Микротику подключено несколько провайдеров: 1порт - Локальная сеть прописаны маршруты в эту сеть (без инета) 2порт - Локальная сеть с интернетом (есть также свои локальные ресурсы и доступ к ней из сети интернет) 3порт - Локальная сеть прописаны маршруты в эту сеть (без инета) 4порт - Локальная сеть (провайдер тот же что и на 2 порту, НО!, не прописаны маршруты локальной сети т.е используется только для доступа из сети интернет) USB порт - Подключен модем usb, (т.е все компьютеры что находятся во внутренней локальной сети 10.18.18.0/25 выходят через него в инет) 5порт - подключен обычный гигабитный коммутатор и от него подключен ПК, и внутренние сервера. Для провайдеров 2,4,и usb порта прописан маршрут 0.0.0.0/0 , так же имеется адрес лист ip ПК, которым можно выходить в интернет. Все работает как часы , но требуется решение следующего вопроса: Т.е получается что 3 маршрута : 0.0.0.0/0 работать не могут. Нужно чтобы внешний доступ с интернета был для сетей которые подключены на 2 и 4 порту. Сразу скажу что их интернет использовать не нужно только для доступа из вне. На 2 порту провайдера порты уже переброшены куда нужно , нужен только внешний доступ с интернет т.к локальный доступ уже есть. Соответственно как и на 4 (сети одного провайдера). Сделана маркировка трафика : Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=mark-connection new-connection-mark=ISP 1 -> Input passthrough=no dst-address=95.129.149.137 in-interface=Kanal-7 log=no log-prefix="" 1 chain=output action=mark-routing new-routing-mark=ISP 1 passthrough=no connection-mark=ISP 1 -> Input log=no log-prefix="" 2 chain=input action=mark-connection new-connection-mark=ISP 2 -> Input passthrough=no src-address-list=Internet list in-interface=inet_rostelecom log=no log-prefix="" 3 chain=output action=mark-routing new-routing-mark=ISP 2 passthrough=no connection-mark=ISP 2 -> Input log=no log-prefix="" 4 chain=input action=mark-connection new-connection-mark=ISP 3 -> Input passthrough=no dst-address=95.129.149.114 in-interface=kanal7-inetpub log=no log-prefix="" 5 chain=output action=mark-routing new-routing-mark=ISP 3 passthrough=no connection-mark=ISP 3 -> Input log=no log-prefix="" Соответственно указав маркировку в роутах, просто не работает совсем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jagamaster Опубликовано 21 июня, 2015 · Жалоба Эта часть конфига дышит реализмом, но хорошо бы посмотреть конфиг целиком. А то, видите ли, догадываться приходится какой из каналов первый, какой второй и т.п. Терминология тоже хромает, не вполне понятно из описания кто на ком стоял. И да, вам в помощь таблица Ip firewall Connections и torch на интерфейсах, чтобы было ясно какие пакеты куда попадают, а какие нет; что промаркировалось, а что - нет. Поди, маскарадинг еще есть. Глядишь - окажется что что-то не туда или не так маскарадится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Marik777 Опубликовано 23 июня, 2015 · Жалоба [admin@gw.ultranord.ru] /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 Kanal-7 2 1 A S 0.0.0.0/0 kanal7-inetpub 3 2 A S 0.0.0.0/0 inet_rostelecom 1 [admin@gw.ultranord.ru] /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic 0 X chain=srcnat action=masquerade src-address-list=Internet list out-interface=inet_rostelecom log=no log-prefix="" 1 X chain=srcnat action=masquerade src-address-list=Internet list out-interface=Kanal-7 log=no log-prefix="" 2 ;;; ISP 1 chain=srcnat action=masquerade out-interface=Kanal-7 log=no log-prefix="" 3 ;;; ISP 1 chain=srcnat action=masquerade out-interface=kanal7-inetpub log=no log-prefix="" 4 ;;; ISP 2 chain=srcnat action=masquerade src-a out-interface=inet_rostelecom log=no 5 ;;; ISP 3 chain=srcnat action=masquerade routi out-interface=kanal7-inetpub log=no -- [Q quit|D dump|down] оно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jagamaster Опубликовано 23 июня, 2015 · Жалоба нет, я про _полный_ конфиг. /export compact Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jagamaster Опубликовано 23 июня, 2015 · Жалоба Godmode ON Конфиг у вас тяжеловатый и много вопросов по деталям. В целом, но не вдаваясь в подробности, ползете в правильном направлении и выглядит так что все должно как-то работать. Разбирайтесь с деталями. Попробуйте сделать минимальную стендовую конфигурацию, без лишних линков. Только входящие соединения через один и исходящие - через USB модем. Так будет проще отладить. Когда отладите - наворачивайте до исходной. Вам в помощь таблица Ip firewall Connections и torch на интерфейсах, чтобы было ясно какие пакеты куда попадают, а какие нет; что промаркировалось, а что - нет. Так и делаете - соединяетесь откуда-то куда-то и высматриваете это соединение. Думаете. Высматриваете. Думаете. Правите конфиг. Высматриваете. Думаете. Правите дальше. О! не работает, но уже по-другому... Думаете дальше. Без этого или платная услуга или покупать еще микротики. Возможно, как писал Saab - три-четыре. Возможно, больше. Тут уже нет предела совершенству. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vita077 Опубликовано 29 июня, 2015 · Жалоба У меня немного попроще задача, чем у автора темы. Микротик такой же, OS 6.29. Интернет по проводу по статическому ip. Модемы Huawei 3272, 3372 соеденены через 7-портовый usb hub с доп. питанием, работают стабильно в режиме "только модем". Задача такая - используя локальную сеть оператора сотовой связи, клиентам дать доступ по VPN (L2TP, PPTP) в интернет и в локальную сеть микротика. Пока получается только попеременно. Необходимо чтобы было одновременно - первый клиент подключается по IP к модему 1, второй клиент - соответственно к модему 2. Правильно ли я понимаю, что надо "копать" в сторону маркироваки пакетов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...