[andry_9876]

Доброго дня.

Есть микротик, по шнурку от провайдера приходят 2 IP (пусть будут 1.1.1.1 (по DHCP) и 2.2.2.2 (статика /30))

Есть транковый порт, за которым управляемая сеть с несколькими VLAN, грубо говорят каждый отдел в своем VLAN. В каждом VLAN свой DHCP сервер, терминируются на микротике, маршрутизация на микротике.

Нужно сделать так, чтобы, из VLAN12 ходили в Интернет только через 2.2.2.2. Пособите с настройками.

 

Возможен вариант, если второй IP придет на второй порт (eth2).

[alibek]

Нормального PBR в Микротике нет.

Но есть mangle.

[poisons]

Я вот ща прям глупость спрошу, а что в вашем понимании нормальный PBR? 

[alibek]

Например Cisco. Или любой другой, в котором PBR настраивается на основе ACL, меток и флагов.

[poisons]

*картинка с котом и лампой*

А в тике вам кто запрещает так делать? Мангл позволяет отлавливать пакеты/коннекты по достаточно большому количеству критериев, начиная от банальных src-address-list/port до всяких packet size.
Вот просто и заинтересовало гдеж оно таки нормальное. 

А конкретно задачу автора можно решить так

#Создаем дополнительные таблицы маршрутизации. 
/ip route
add check-gateway=ping distance=1 gateway= routing-mark=first-r-table
add check-gateway=ping distance=1 gateway= routing-mark=second-r-table
#Создаем правила трансляции адресов
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
#Помечаем интересный трафик
/ip firewall mangle add routing-mark=firs-r-mark in-interface=vlan11
/ip firewall mangle add routing-mark=second-r-mark in-interface=vlan12

Это проканает в случае 2х интерфейсов в сторону провайдера. Хотя предполагаю что можно извернуться и одним физическим интерфейсом и даже если и шлюз будет одинаковый. Типа добавить в ip route указание perf-src.
 

[myth]

Лично мне маркировка идеологически не нравится. Не только повышенным использованием проца

[nkusnetsov]

Подразумеваем, что 2.2.2.2 - адрес на интерфейсе провайдера. Локальный 2.2.2.1(?)
#Создаем правила трансляции адресов
/ip firewall nat add action=masquerade chain=srcnat out-interface=WAN1
/ip firewall nat add action=masquerade chain=srcnat out-interface=WAN2
# Создаём вторую таблицу маршрутизации с default через 2.2.2.2
/ip route add distance=1 gateway=2.2.2.2 routing-mark=ISP_2
# Создаём правило маршрутизации между VLANами если это надо для VLAN12
/ip route rule add dst-address=192.168.0.0/16 src-address=192.168.12.0/24 table=main
# Создаём правило маршрутизации остального трафика из VLAN12 в Интернет через 2.2.2.2
/ip route rule add src-address=192.168.12.0/24 table=ISP_2

Изменено 27 сентября, 2017 пользователем nkusnetsov

[poisons]

6 часов назад, alibek сказал:

Например Cisco. Или любой другой, в котором PBR настраивается на основе ACL, меток и флагов.

 

2 часа назад, myth сказал:

Лично мне маркировка идеологически не нравится. Не только повышенным использованием проца

Господа, отличные мнения, а можно вас попросить их прокомментировать? Спрашиваю не для срача, а разумения ради.
Что не так таки с PBR у тика?
alibek, ACL понятно, метки/флаги что под собой подразумевают?
myth, как идеологически верно должно быть?(с точки зрения текущей правящей партии)

[andry_9876]

poisons , спасибо за ответ. Вроде работает как надо.

 

Подскажите еще такой момент: как в микротике можно сделать access порт с определенной меткой? Ну, вот допустим, по моей схеме, принимать трафик на eth2, метить VLAN10 и пихать в eth4? (Все остальное остается как есть, и на eth4 подвязано несколько VLAN.)

 

[andry_9876]

2 часа назад, andry_9876 сказал:

как в микротике можно сделать access порт с определенной меткой?

Все, разобрался, думал, что бридж порта и VLAN делает транк.

[myth]

17 часов назад, poisons сказал:

как идеологически верно должно быть?(с точки зрения текущей правящей партии)

а-ля ip rule в линуксе

[poisons]

http://man7.org/linux/man-pages/man8/ip-rule.8.html - оно?

Пытаюсь найти 10 отличий от ip route rule. Опять же fwmark для сложных случаев с помощью iptables. Один в один.