andry_9876 Опубликовано 27 сентября, 2017 · Жалоба Доброго дня. Есть микротик, по шнурку от провайдера приходят 2 IP (пусть будут 1.1.1.1 (по DHCP) и 2.2.2.2 (статика /30)) Есть транковый порт, за которым управляемая сеть с несколькими VLAN, грубо говорят каждый отдел в своем VLAN. В каждом VLAN свой DHCP сервер, терминируются на микротике, маршрутизация на микротике. Нужно сделать так, чтобы, из VLAN12 ходили в Интернет только через 2.2.2.2. Пособите с настройками. Возможен вариант, если второй IP придет на второй порт (eth2). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 27 сентября, 2017 · Жалоба Нормального PBR в Микротике нет. Но есть mangle. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
poisons Опубликовано 27 сентября, 2017 · Жалоба Я вот ща прям глупость спрошу, а что в вашем понимании нормальный PBR? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 27 сентября, 2017 · Жалоба Например Cisco. Или любой другой, в котором PBR настраивается на основе ACL, меток и флагов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
poisons Опубликовано 27 сентября, 2017 · Жалоба *картинка с котом и лампой* А в тике вам кто запрещает так делать? Мангл позволяет отлавливать пакеты/коннекты по достаточно большому количеству критериев, начиная от банальных src-address-list/port до всяких packet size. Вот просто и заинтересовало гдеж оно таки нормальное. А конкретно задачу автора можно решить так #Создаем дополнительные таблицы маршрутизации. /ip route add check-gateway=ping distance=1 gateway= routing-mark=first-r-table add check-gateway=ping distance=1 gateway= routing-mark=second-r-table #Создаем правила трансляции адресов /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 add action=masquerade chain=srcnat out-interface=ether2 #Помечаем интересный трафик /ip firewall mangle add routing-mark=firs-r-mark in-interface=vlan11 /ip firewall mangle add routing-mark=second-r-mark in-interface=vlan12 Это проканает в случае 2х интерфейсов в сторону провайдера. Хотя предполагаю что можно извернуться и одним физическим интерфейсом и даже если и шлюз будет одинаковый. Типа добавить в ip route указание perf-src. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 27 сентября, 2017 · Жалоба Лично мне маркировка идеологически не нравится. Не только повышенным использованием проца Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 27 сентября, 2017 (изменено) · Жалоба Подразумеваем, что 2.2.2.2 - адрес на интерфейсе провайдера. Локальный 2.2.2.1(?) #Создаем правила трансляции адресов /ip firewall nat add action=masquerade chain=srcnat out-interface=WAN1 /ip firewall nat add action=masquerade chain=srcnat out-interface=WAN2 # Создаём вторую таблицу маршрутизации с default через 2.2.2.2 /ip route add distance=1 gateway=2.2.2.2 routing-mark=ISP_2 # Создаём правило маршрутизации между VLANами если это надо для VLAN12 /ip route rule add dst-address=192.168.0.0/16 src-address=192.168.12.0/24 table=main # Создаём правило маршрутизации остального трафика из VLAN12 в Интернет через 2.2.2.2 /ip route rule add src-address=192.168.12.0/24 table=ISP_2 Изменено 27 сентября, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
poisons Опубликовано 27 сентября, 2017 · Жалоба 6 часов назад, alibek сказал: Например Cisco. Или любой другой, в котором PBR настраивается на основе ACL, меток и флагов. 2 часа назад, myth сказал: Лично мне маркировка идеологически не нравится. Не только повышенным использованием проца Господа, отличные мнения, а можно вас попросить их прокомментировать? Спрашиваю не для срача, а разумения ради. Что не так таки с PBR у тика?alibek, ACL понятно, метки/флаги что под собой подразумевают?myth, как идеологически верно должно быть?(с точки зрения текущей правящей партии) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andry_9876 Опубликовано 28 сентября, 2017 · Жалоба poisons , спасибо за ответ. Вроде работает как надо. Подскажите еще такой момент: как в микротике можно сделать access порт с определенной меткой? Ну, вот допустим, по моей схеме, принимать трафик на eth2, метить VLAN10 и пихать в eth4? (Все остальное остается как есть, и на eth4 подвязано несколько VLAN.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andry_9876 Опубликовано 28 сентября, 2017 · Жалоба 2 часа назад, andry_9876 сказал: как в микротике можно сделать access порт с определенной меткой? Все, разобрался, думал, что бридж порта и VLAN делает транк. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 28 сентября, 2017 · Жалоба 17 часов назад, poisons сказал: как идеологически верно должно быть?(с точки зрения текущей правящей партии) а-ля ip rule в линуксе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
poisons Опубликовано 28 сентября, 2017 · Жалоба http://man7.org/linux/man-pages/man8/ip-rule.8.html - оно? Пытаюсь найти 10 отличий от ip route rule. Опять же fwmark для сложных случаев с помощью iptables. Один в один. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...