SLAVCHIKS Posted November 18, 2016 · Report post Прошу помощи в настройке и советов по маршрутизации и получению конечного результата, и да, - не задавайте вопросов - зачем оно тебе нужно так, сделать можно попроще и т.д. - я хочу, чтобы работало именно так!!! Имеется сеть без домена 1 подсеть 192.168.3.0/24 - основная рабочая, в этой сети сервера, компьютеры, устройства и т.д. (все локальные адреса статика) 2 подсеть 192.168.2.0/24 – используется для устройств видеонаблюдения (все локальные адреса статика) 3 подсеть 192.168.7.0/24 – используется для внутренней IP-телефонии (все локальные адреса статика) 4 подсеть 192.168.8.0 с DHCP сервером для Wi-FI (UniFi) Имеется оборудование Mikrotik RB2011UiAS , два Mikrotik CRS226-24G SWITCH HP V1910-24G На Mikrotik RB2011UiAS в порты 6,7,8,9 заходят разные 4 канала интернет, 6- PPoE Int1 (Основной канал) 7- PPoE Int2 (Первый резервный канал) 8- STATIC Int3 (Второй резервный канал) 9- PPoE ADSL (Третий резервный канал) первые два PPoE от одного провайдера (один шлюз), третий статический адрес, четвертый PPoE ADSL Порты 1-5 имеют следующие адреса 1 – 192.168.3.101 2 – 192.168.3.102 3 – 192.168.3.103 4 – 192.168.3.104 5 – 192.168.8.1 В интернет клиенты должны ходить по таким маршрутам: 1 порт - шлюз 192.168.3.101 –интернет 6 порта 2 порт - шлюз 192.168.3.102 –интернет 7 порта 3 порт - шлюз 192.168.3.103 –интернет 8 порта 4 порт - шлюз 192.168.3.104 –интернет 9 порта 5 порт - шлюз 192.168.8.1 –интернет 7 порта При этом интернет 6 порта должен быть основным и выходить в локальную сеть шлюзом 192.168.3.101 а на портах 7-8 его резервные каналы, и в то же время они должны тоже использоваться через другие клиентские шлюзы 192.168.3.102-104, если отваливается первый интернет на 6 порту, то трафик идет через порт7, если отвалится и он то через порт 8, а далее через 9 и восстанавливаться все должно автоматически. На 5 порту нужно создать два адреса шлюза 192.168.7.1 и 192.168.8.1 для доступа в интернет подсетей 192.168.7.0/24 и 192.168.8.0/24 (для последней нужен сервер DHCP запущенный на MikroTIK RB2011) В идеале первые три канала объединить в балансировку и вывести в шлюз 192.168.3.101, а остальные каналы интернет сделать доступными как описано выше. Порты 1,2,3,4,5 должны быть между собой изолированы друг от друга и не пинговаться через MikroTIK, чтобы не создавалась петля в сети, так как все они должны быть включены в свитч HP V1910-24G как общедоступные разные шлюзы в сети, и пинговаться должны только через этот свитч. Проще говоря должна получиться схема такая, если бы было например 4 роутера ТP-Link с разным интернетом и локальными адресами (шлюзами для клиентов) как в портах 1-5. Между свитчем HP V1910-24G и MikroTIK RB2011 нужно поставить промежуточный свитч Mikrotik CRS226-24G для администраторских целей и через него же будет связь с удаленным офисом по оптике 10G через SFP+ до другого Mikrotik CRS226-24G. Промежуточный Mikrotik CRS226-24G должен быть разделен на отдельные группы изолированных портов (свитчи), которые между собой не должны пинговаться через сам MikroTIK: 1 группа – 1-4 порт На 1 порт приходит шлюз 192.168.3.101 На 2 порт подключен свитч HP V1910-24G 3 и 4 порты использует админ 2 группа – 5-8 порт На 5 порт приходит шлюз 192.168.3.102 На 6 порт подключен свитч HP V1910-24G 7 и 8 порты использует админ 3 группа – 9-12 порт На 9 порт приходит шлюз 192.168.3.103 На 10 порт подключен свитч HP V1910-24G 11 и 12 порты использует админ 4 группа – 13-16 порт На 13 порт приходит шлюз 192.168.3.104 На 14 порт подключен свитч HP V1910-24G 15 и 16 порты использует админ 5 группа – 17-20 порт На 17 порт приходит шлюз 192.168.8.1 На 18 порт подключен свитч HP V1910-24G На 19 порт подключен UniFI Cloud KEY 20 порт использует админ 6 группа – 21-24 (SFP+ - 26 порт) (используются для подключения PC и связи двух подразделений в одних адресных пространствах по оптике 10G) На 21 порт подключен PC На 22 порт подключен PC На 23 порт подключен PC 24 TRUNK Port подключен свитч HP V1910-24G 26 порт SFP+ TRUNK Port подключен второй Mikrotik CRS226-24G За свитчем HP V1910-24G сеть из свитчей HP V1910-24 (16) и HP 1700-24 Кроме того нужно, чтобы все микротики и другое оборудование в сети было доступны из вне по всем первым трем каналам интернет, доступ к нужным портам во всех подсетях 192.168.3.0/24, 192.168.2.0/24, 192.168.7.0/24, 192.168.8.0/24 На 10 порт RB2011 нужно вывести третий канал интернет из порта 8 с доступностью по порту на шлюзе 192.168.2.1 Прошу ногами не пинать)))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 18, 2016 (edited) · Report post SLAVCHIKS, не вижу повода пинать ногами за такую оригинальную схему. Вижу пару сотен баксов за работу по настройке, так сказать, в соответствии с богатой фантазией автора. Edited November 18, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 18, 2016 · Report post Кроме того нужно, чтобы все микротики и другое оборудование в сети было доступны из вне по всем первым трем каналам интернет, доступ к нужным портам во всех подсетях 192.168.3.0/24, 192.168.2.0/24, 192.168.7.0/24, 192.168.8.0/24 Прочитав эту фразу стало понятно, что одной парой сотен баксов тут не отделаться. При этом, можно упустить словосочетания 10G, присутствующие в теле основного вопроса=) По существу - так задачи не решают, если у вас 4 канала от провайдера - то нужны 4 микротика, каждый обслуживает свой канал. Если у вас куча подсетей, то не нужно их все заводить на одно устройство, тем более сами хотите использовать CRS - выводите часть подсетей на него напрямую. От проброса портов нужно отказаться, т.к. это уже устаревшая технология, и очень топорная с кучей ограничений. Если нужен удаленный доступ - подключаетесь через туннель на любой из белых адресов внешних каналов и получаете доступ в локальную сеть. Сейчас даже смартфоны умеют туннели поднимать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SLAVCHIKS Posted November 19, 2016 · Report post По существу - так задачи не решают, если у вас 4 канала от провайдера - то нужны 4 микротика, каждый обслуживает свой канал. как в таком случае решить вопрос с резервированием канала? и как сделать чтобы подсеть 3.0 могла пользоваться всеми 4 каналами, в зависимости от того как я их распределю между пользователями ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 19, 2016 · Report post как в таком случае решить вопрос с резервированием канала? и как сделать чтобы подсеть 3.0 могла пользоваться всеми 4 каналами, в зависимости от того как я их распределю между пользователями ? Есть 2 технологии сетестроения: 1. А вобью ка я все IP руками статикой, да потом на роутере поделю сети по разным каналам и это будет круто. 2. Сделаю раздачу автоматически IP адресов, и так же автоматически распределю всех пользователей по каналам равномерно. Если пока оставить вашу схемотехнику, то подключив каждый канал в отдельный микротик, вы снимаете все проблемы с распределением маршрутов, маркировками соединений и т.п. То есть на выходе у вас будет 4 порта, в которые можно отправлять данные пользователей. То есть можете прописать 4 шлюза 0.0.0.0/0 и каждому присвоить свою метку, далее в манглах маркируете абонентов по IP адресам и пускаете через разные каналы. С резервированием тоже все просто - создаете еще 12 маршрутов перекрестных. Например у вас порты: 1. шлюз 10.0.1.1 маркировка port_1 метрика 10. 2. шлюз 10.0.2.1 маркировка port_2 метрика 10. 3. шлюз 10.0.3.1 маркировка port_3 метрика 10. 4. шлюз 10.0.4.1 маркировка port_4 метрика 10. Нужно создать еще 3 записи для резервирования первого порта: 2. шлюз 10.0.1.1 маркировка port_1 метрика 20. 3. шлюз 10.0.1.1 маркировка port_1 метрика 30. 4. шлюз 10.0.1.1 маркировка port_1 метрика 40. В этом случае при доступности провайдера через 1 порт у вас все идет через него, если вы выдергиваете кабель из 1 порта, то этот маршрут отключается, а пакеты от клиентов маркируются меткой port_1, и тут включается маршрут через 2 порт с метрикой 20 (это вы настраиваете приоритеты, через какой порт пойдет в случае недоступности). Такие записи нужно создать для всех портов, в этом случае, если отключаться 3 порта, все абоненты побегут через оставшийся, и ничего перенастраивать не надо. Тут осталось определить как проверить доступность интернета через каждый порт, самое простое это на микротиках, которые принимают каналы, отключать порт при не доступности интернета, но тогда пропадет на него доступ. По этому нужно туда повесить еще адреса для управления, тогда он через нетвач просто отключает адрес вида 10.0.1.1, а в маршрутах вы указываете проверку доступности пингом - пропал пинг пропал и маршрут. Естественно, можно все сделать через динамическую маршрутизацию, но тут будет несколько сложнее с пониманием вопроса. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 19, 2016 · Report post Прочитав эту фразу стало понятно, что одной парой сотен баксов тут не отделаться. При этом, можно упустить словосочетания 10G, присутствующие в теле основного вопроса=) Ну я ж по-скромному, со скидкой посчитал. С учетом экономии, что автору не придется покупать еще три-четыре микротика. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SLAVCHIKS Posted November 19, 2016 (edited) · Report post Если пока оставить вашу схемотехнику, то подключив каждый канал в отдельный микротик, вы снимаете все проблемы с распределением маршрутов, маркировками соединений и т.п. То есть на выходе у вас будет 4 порта, в которые можно отправлять данные пользователей. То есть можете прописать 4 шлюза 0.0.0.0/0 и каждому присвоить свою метку, далее в манглах маркируете абонентов по IP адресам и пускаете через разные каналы. Не совсем понял - это вы написали схемотехнику, если я оставляю все как есть у меня, или если 4 микротика будет под каналы интернет? Тогда мне нужно будет все 4 микротика 2011 включить в CRS226-24G а его к сети, и уже на нем настраивать резервирование и Mangle маркировки - вы это имели ввиду? Сеть у меня статическая, нет необходимости раздавать адреса микротиком с привязками к мас, но необходимость привязать к мас уже имеющуюся статику есть )) Как же мне лучше поступить в данной ситуации, покупать таки микротики? неужели нельзя разделить в одном микротике сеть на изолированные сегменты, - например в каждый изолированный сегмент завести конкретный WAN и указанный порт, на который должен из него выходить интернет в локалку, а не просто в любую сеть подключенную на портах или виртуальные интерфейсы, а именно - можно ли сделать так, чтобы NAT Masquarade работал без Mangle и только в указанном жестко направлении следующим образом - если с первого порта (он для компьютеров в сети является шлюзом 192.168.3.101) пришел запрос, то NAT подменяет адрес и отправляет пакеты на порт WAN1, а если с другого порта (192.168.3.102)то в WAN2. Чтобы сам NAT как бы уже слушал именно эти адреса портов на который идут пакеты из сети для подмены, и чтобы понимал, что идет запрос из сети на адрес 192.168.3.101 и отличал от 192.168.3.102, а не сам бы IP компьютера в сети был бы для него источником информации для подмены. Есть ли возможность так маркировать пакеты именно для маскарада NAT по адресу, который компьютер в сети считает шлюзом, или может можно тогда еще пойти по другому пути - в правиле маскарада указать что если запрос пришел с конкретного компьютера указанного в адрес листе или настройках IN, то его гнать только в определенный WAN. Как такое можно сделать, маскарад не дает в настройках ставить IN, для него важен только OUT? я конечно наверное много тут напутал, знаний по NAT наверное не хватает Edited November 19, 2016 by SLAVCHIKS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 19, 2016 (edited) · Report post 1 подсеть 192.168.3.0/24 - основная рабочая, в этой сети сервера, компьютеры, устройства и т.д. (все локальные адреса статика) С какой целью у Вас в одной подсети предполагается четыре шлюза? Вы придумали такую нетривиальную схему. Почему не используете сегментирование этой подсети? По какому принципу хотите распределять между абонентами шлюзы 101-104? Edited November 19, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SLAVCHIKS Posted November 19, 2016 (edited) · Report post С какой целью у Вас в одной подсети предполагается четыре шлюза? Интернет каналы имеют скорость два по 20 мегабит, один 10 и еще есть два ADSL по 8 (один из них MER, в микротике это не работает, потому только один подключу), хочу разделить эти каналы и повесить на мощные тех абонентов, кому нужна скорость и большие объемы трафика, на меньшие тех, кому просто нужно страницы в интернете читать, чтобы распределить это все хочу убрать всякие длинки и тплинки. где оно сейчас висит и управлять всем из микротика. три канала - оптика, но аварии тоже бывают, потому нужно резерв канала для основной группы абонентов, что должны быть всегда онлайн, возможно в понедельник уберу один канал, от одного провайдера идут два первых и если отваливаются то оба сразу, и оставлю один с переходом на большую скорость. будет два канала оптики и adsl ppoe. Сегментирование не получится сделать, у них у всех используются одни ресурсы - сервера , принтеры , шары на серверах, базы данных и т.д., создавать двойные ip на серверах не хочу, две сетевых смотрящих в разные сети тоже не вариант, сейчас на 3 серверах стоят по две сетевых , одна смотрит в сеть, другая в интернет, сеть напомню без домена. на одном из серверов включен мастер-браузер , который создает список имен сети, а остальные клиенты и сервера с него его выкачивают. Разделение на подсети создаст мне проблемы с созданием списка, в других моих подсетях он не нужен, я делаю автоматом рассылки по рабочей группе, вдруг, что случается и нужно всем выходить из программ, а с разными подсетями это тоже будет проблемно, так как группа рабочая будет не одна Edited November 19, 2016 by SLAVCHIKS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 19, 2016 · Report post SLAVCHIKS, если вам нужно разным абонентам разную скорость, то не надо плодить шлюзы абонентские 192.168.3.101-104. Это по-другому делается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 19, 2016 · Report post Не совсем понял - это вы написали схемотехнику, если я оставляю все как есть у меня, или если 4 микротика будет под каналы интернет? Если будут 4 микротика под каналы. Тогда мне нужно будет все 4 микротика 2011 включить в CRS226-24G а его к сети, и уже на нем настраивать резервирование и Mangle маркировки - вы это имели ввиду? Да, именно так. Как же мне лучше поступить в данной ситуации, покупать таки микротики? неужели нельзя разделить в одном микротике сеть на изолированные сегменты, - например в каждый изолированный сегмент завести конкретный WAN и указанный порт, на который должен из него выходить интернет в локалку, а не просто в любую сеть подключенную на портах или виртуальные интерфейсы, а именно - можно ли сделать так, чтобы NAT Masquarade работал без Mangle и только в указанном жестко направлении следующим образом - если с первого порта (он для компьютеров в сети является шлюзом 192.168.3.101) пришел запрос, то NAT подменяет адрес и отправляет пакеты на порт WAN1, а если с другого порта (192.168.3.102)то в WAN2. Чтобы сам NAT как бы уже слушал именно эти адреса портов на который идут пакеты из сети для подмены, и чтобы понимал, что идет запрос из сети на адрес 192.168.3.101 и отличал от 192.168.3.102, а не сам бы IP компьютера в сети был бы для него источником информации для подмены. Есть ли возможность так маркировать пакеты именно для маскарада NAT по адресу, который компьютер в сети считает шлюзом, или может можно тогда еще пойти по другому пути - в правиле маскарада указать что если запрос пришел с конкретного компьютера указанного в адрес листе или настройках IN, то его гнать только в определенный WAN. Как такое можно сделать, маскарад не дает в настройках ставить IN, для него важен только OUT? я конечно наверное много тут напутал, знаний по NAT наверное не хватает Проблема в том, что у вас разные типы подключения, и если подключить просто 4 канала интернета в микротик, то на нем как бы появятся 4 шлюза по умолчанию, и каким образом управлять какой трафик куда идет? Особенно учитывая то, что часть провайдеров используют PPPoE=) Управление трафиком, нормально, работает только по статическим маршрутам, если вести разговор про каналы интернета. Именно по этой причине и предлагаются 4 микротика, что бы привести схему к правильному виду. НАТ настраивается не по интерфейсам, а по src адресам. У вас есть серая локалка и с ее адресов идут в интернет, но это не значит что все, что идет через исходящий канал должно заворачиваться через НАТ. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SLAVCHIKS Posted November 20, 2016 · Report post Особенно учитывая то, что часть провайдеров используют PPPoE=) Управление трафиком, нормально, работает только по статическим маршрутам, первые два канала от одного провайдера получают по PPoE статику по динамике. шлюз и ip не меняется, так что я думаю можно маршрутизировать (кроме того думаю закрыть контракт на один из каналов а на втором повысить скорость), с ADSL PPoE сложнее, но тут можно сам модем поставить в роутер, принять статику, будет проходить через два NAT , пинг увеличит немного. Задача чуть упростилась. если вам нужно разным абонентам разную скорость, то не надо плодить шлюзы абонентские 192.168.3.101-104. Это по-другому делается. Дело не в шейпинге, а в том , чтобы использовать весь интернет, что заходит на контору, а не чтобы шнурком болтался на "авось пригодится" Еще есть вопрос, который меня по ходу дела озадачил, я связываю две удаленные точки в километр парной оптикой 10G, на столе у себя настроил два микротика CRS226-24G - возникла проблема, создал несколько vlan на чипе свитча в каждом, в пределах одного роутера трафик и vlan работают. sfpplus2 порт указал мастером на обоих, на нем теггированный трафик, вроде все должно работать. но через оптику трафик не идет, в чем может быть дело? я создавал vlan только в свитче, CPU не задействовал, в одном видео как то видел, что создают параллельно такие же vlan в разделе interface, нужно это или нет? почему оптика не хочет работать как trunk, в чем может быть проблема? Да, и может кто сталкивался - в меню свитча есть опция создания Trunk из двух и более портов - это настройка trunk содинения с агрегированием линка по Ethernet из двух и более портов для соединения свитчей или что? не нашел инфы по этому вопросу ((( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SLAVCHIKS Posted December 2, 2016 · Report post То есть можете прописать 4 шлюза 0.0.0.0/0 и каждому присвоить свою метку, далее в манглах маркируете абонентов по IP адресам и пускаете через разные каналы. С резервированием тоже все просто - создаете еще 12 маршрутов перекрестных. Например у вас порты: 1. шлюз 10.0.1.1 маркировка port_1 метрика 10. 2. шлюз 10.0.2.1 маркировка port_2 метрика 10. 3. шлюз 10.0.3.1 маркировка port_3 метрика 10. 4. шлюз 10.0.4.1 маркировка port_4 метрика 10. Нужно создать еще 3 записи для резервирования первого порта: 2. шлюз 10.0.1.1 маркировка port_1 метрика 20. 3. шлюз 10.0.1.1 маркировка port_1 метрика 30. 4. шлюз 10.0.1.1 маркировка port_1 метрика 40. В этом случае при доступности провайдера через 1 порт у вас все идет через него, если вы выдергиваете кабель из 1 порта, то этот маршрут отключается, а пакеты от клиентов маркируются меткой port_1, и тут включается маршрут через 2 порт с метрикой 20 (это вы настраиваете приоритеты, через какой порт пойдет в случае недоступности). Такие записи нужно создать для всех портов, в этом случае, если отключаться 3 порта, все абоненты побегут через оставшийся, и ничего перенастраивать не надо. можете пояснить что за 12 маршрутов нужно создать? сейчас у меня будет три шлюза. я сократил на один канал, у меня еще вопрос, если включить web proxy, чтобы резать доступ к сайтам, то его мне нужно включать в каждом RB2011 или уже в CRS226, куда сойдутся шлюзы, и не могу понять где вводить метрику, если не трудно напишите терминальную команду добавления хоть одной строки а я там разберусь уже Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SLAVCHIKS Posted December 5, 2016 (edited) · Report post По данной схеме можете пояснить, мне nat уже не нужно будет включать? и как поступить с настройкой шлюзов у клиентов, если я укажу шлюз в данном примере на всех клиентах 10.0.1.1 , то если этот канал пропадет как трафик пойдет в 10.0.2.1 - Мне выходы из всех RB2011 заводить в CRS226 не через свитч? а через проц, и делать их как WAN ? Edited December 7, 2016 by SLAVCHIKS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 4, 2017 · Report post Если у абонентов CRS, тогда никакие вланы не нужны, вешаете IP адреса прямо на порты устройства и абоненты с ними работают, получается схема чистого L3. можете пояснить что за 12 маршрутов нужно создать? сейчас у меня будет три шлюза. я сократил на один канал, Перекрестные шлюзы на случай проблем с любым каналом, тогда его просто можно выключить не трогая настройки. Если лишних правил не делать, то отключить канал будет сложнее - часть абонентов останется без интернета. у меня еще вопрос, если включить web proxy, чтобы резать доступ к сайтам, то его мне нужно включать в каждом RB2011 или уже в CRS226, куда сойдутся шлюзы, и не могу понять где вводить метрику, если не трудно напишите терминальную команду добавления хоть одной строки а я там разберусь уже Веб прокси не позволит раздать большую скорость абонентам, да и предназначен для других целей. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...