Mikrotik 2_WAN и проброс портов

yurboy

Posted March 17, 2016

Всем здравствуйте! Кто может помочь подтолкнуть на истинный путь. Бьюсь который день уже! Есть два провайдера с белыми статическими IP. Задача организовать простейшее резервирование каналов, с возможностью доступа к локальному web серверу, rdp серверу по двум каналам одновременно.

Подробнее ниже:

Mikrotik RB2011iL OS 6.34.3

ISP1: Провайдер 1

ip: 195.58.XX.125/30

gw: 195.58.XX.126

ISP2: Провайдер 2

ip: 217.XX.178.36/28

gw: 217.XX.178.33

Локальная сеть

ip: 10.0.0.4/24

1. Присвоил IP адреса на роутере:

> ip address print  

#   ADDRESS            NETWORK         INTERFACE                                 
0   10.0.0.4/24        10.0.0.0        eth2_LAN                                  
1   ;;; insis 
    217.XX.178.36/28   217.XX.178.32   ether7_ISP2                               
2   ;;; beeline 
    195.58.XX.125/30   195.58.XX.124   ether6_ISP1

2. Прописал маршруты:

> ip route print 

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE 
0 A S  0.0.0.0/0                           217.XX.178.33        1 
1   S  0.0.0.0/0                           195.58.XX.126        5 
2 ADC  10.0.0.0/24        10.0.0.4         eth2_LAN             0 
3 ADC  195.58.XX.124/30   195.58.XX.125    ether6_ISP1          0 
4 ADC  217.XX.178.32/28   217.XX.178.36    ether7_ISP2          0

Соответственно ISP2 основной канал (distance 1), ISP1 - резервный (distance 5)

Хотел провести проверку доступности роутера по обеим адресам.

С внешнего адреса, основной канал ISP2(217.XX.178.36) пингуется нормально.

Резервный канал ISP1(195.58.XX.125), с большим параметром dictance - не пингуется.

Казалось бы все нормально так и должно быть.Ведь в данный момент работает маршрут именно по умолчанию ISP2.

НО, когда я меняю местами каналы (меняю местами значение параметра distance), т.е. ISP1 - основной ISP2 - резервный

> ip route print 

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE 
0   S  0.0.0.0/0                          217.XX.178.33             5 
1 A S  0.0.0.0/0                          195.58.XX.126             1 
2 ADC  10.0.0.0/24        10.0.0.4        eth2_LAN                  0 
3 ADC  195.58.XX.124/30   195.58.XX.125   ether6_ISP1               0 
4 ADC  217.XX.178.32/28   217.XX.178.36   ether7_ISP2               0

В такой ситуации пингуются оба канала - ISP1 и ISP2.

И в этом случае мне совершенно не понятно почему доступен пинг по резервному каналу???

Правила файрвола по всем цепочкам пустые

Пошёл дальше.

Маркирую пакеты по интерфейсам, чтобы можно было извне заходить по терминалу и/или на сайт по двум каналам.

Первое что я сделал, это утстановил метки в firewall Mangle:

> ip firewall mangle print 
0    chain=prerouting action=mark-connection new-connection-mark=to_ISP1 passthrough=yes connection-state=new in-interface=ether6_ISP1

1    chain=prerouting action=mark-connection new-connection-mark=to_ISP2 passthrough=yes connection-state=new in-interface=ether7_ISP2

2    chain=output action=mark-routing new-routing-mark=rt_ISP1 passthrough=yes connection-mark=to_ISP1  

3    chain=output action=mark-routing new-routing-mark=rt_ISP2 passthrough=yes connection-mark=to_ISP2

Затем добавил маршруты с метками to_ISP1 и to_ISP2 соответственно. Полная таблица маршрутизации выглядит так:

> ip route print detail 

0 A S  dst-address=0.0.0.0/0 gateway=195.58.XX.126 gateway-status=195.58.XX.126 reachable via  ether6_ISP1 distance=5 scope=30 target-scope=10 routing-mark=rt_ISP1  

1 A S  dst-address=0.0.0.0/0 gateway=217.XX.178.33 gateway-status=217.XX.178.33 reachable via  ether7_ISP2 distance=1 scope=30 target-scope=10 routing-mark=rt_ISP2  

2 A S  dst-address=0.0.0.0/0 gateway=217.XX.178.33 gateway-status=217.XX.178.33 reachable via  ether7_ISP2 distance=1 scope=30 target-scope=10  

3   S  dst-address=0.0.0.0/0 gateway=195.58.XX.126 gateway-status=195.58.XX.126 reachable via  ether6_ISP1 distance=5 scope=30 target-scope=10  

4 ADC  dst-address=10.0.0.0/24 pref-src=10.0.0.4 gateway=eth2_LAN gateway-status=eth2_LAN reachable distance=0 scope=10  

5 ADC  dst-address=195.58.XX.124/30 pref-src=195.58.XX.125 gateway=ether6_ISP1 gateway-status=ether6_ISP1 reachable distance=0 scope=10  

6 ADC  dst-address=217.XX.178.32/28 pref-src=217.XX.178.36 gateway=ether7_ISP2 gateway-status=ether7_ISP2 reachable distance=0 scope=10

В NAT указал правило маскарадинга, и пробросил 80 порт через два внешних интерфейса, на внутренний адрес

> ip firewall nat print 

0    chain=srcnat action=masquerade src-address=10.0.0.0/24 

1    chain=dstnat action=dst-nat to-addresses=10.0.0.25 to-ports=80 protocol=tcp in-interface=ether7_ISP2 dst-port=80 

2    chain=dstnat action=dst-nat to-addresses=10.0.0.25 to-ports=80 protocol=tcp in-interface=ether6_ISP1 dst-port=80

Маскарад также пробовал для out-interface по отдельности.

Запрещающих правил никаких не устанавливал, цепочки INPUT,FORWARD пустые

В итоге что имеем:

В случае если ISP1 (195.58.XX.125) основной, то пингуются оба канала. Сайт доступен по обоим каналам. Проброс портов работае как надо.
Если ISP2 (217.XX.178.36) основной, пингуюся также два канала. Но сайт доступен только по основному - ISP2.

Почемуто не работает проброс портов по резервному каналу, если основной - ISP2

WinBox, и web конфигуратор микротика работают в обоих случаях, т.е я так понимаю что до самого интерфейса трафик доходит в любом случае.

Подскажите как решить проблему с пробросом портов в этом случае???

Sign In

yurboy

Share this post

Link to post

Share on other sites

Join the conversation