Smirnovi Опубликовано 25 октября, 2018 · Жалоба 4 часа назад, McSea сказал: Свой конфиг давайте и опишите, что не работает (адреса маскируйте так, чтобы было понятно, один адрес или разные). Заработало - огромное спасибо - и именно так как надо ))) потом выложу если хотите я использовал vrf и IP - Routes - Rules Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 26 октября, 2018 · Жалоба 2 hours ago, Smirnovi said: Заработало - огромное спасибо - и именно так как надо ))) потом выложу если хотите я использовал vrf и IP - Routes - Rules Если нетрудно - я бы взглянул на ip/routes/rules+vrf Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smirnovi Опубликовано 26 октября, 2018 (изменено) · Жалоба 11 часов назад, DAF сказал: Если нетрудно - я бы взглянул на ip/routes/rules+vrf /interface bridge add fast-forward=no name=bridge-loopback /ip route add distance=1 gateway=bridge-loopback /ip route rule add action=lookup-only-in-table src-address=ip1 table=lte1 add action=lookup-only-in-table src-address=ip2 table=lte2 /ip route vrf add interfaces=lte1 routing-mark=lte1 add interfaces=lte2 routing-mark=lte2 вот так вот пустой бридж с деф гатевеем в никуда нужен чтобы в табличке main изнач был деф маршрут - потом все роутица по правилам в dhcp клиенте получаем все - даже деф гатевей он валица каждый в свою табличку Изменено 26 октября, 2018 пользователем Smirnovi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 26 октября, 2018 · Жалоба спасиб Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 26 октября, 2018 · Жалоба @Smirnovi Хороший способ, я делал без vrf, просто два маршрута с routing-mark, т.к. адреса шлюзов разные и заранее известные, (192.168.8.1 у хуавея e3372 и любой заданный у ZTE 823). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 26 октября, 2018 (изменено) · Жалоба Изящное решение, тоже хочу на VRF свой опухший гордурас конфиг переделать но опасаюсь (прадакшн типа) rb951G-2HnD /ip addr=192.168.10.254/24 int=lan-bridge- (eth 3-5) --------- ~40-50 хостов dhcp-clients - 3шт к 3 роутерам addr=192.168.9.254/24 int=vlan1 по lan-bridge ---------------- инет до 150М пров1 белая статика addr=192.168.0.254/24 int=wan2 (eth1) байпаст1-------------- инет до 20М провайдерская локалка 10.39.х.х/24 некоторые ВПН в ней addr=172.16.0.254/24 int=wan3 (eth2) байпаст2 -------------100M TP-Link в инет до 50М пров2 PC-based proxy /ip firewall nat add action=src-nat chain=srcnat out-interface=vlan1 to-addresses=192.168.9.254 add action=src-nat chain=srcnat out-interface=wan2 to-addresses=192.168.0.254 add action=src-nat chain=srcnat out-interface=wan3 to-addresses=172.16.0.254 add action=src-nat chain=srcnat out-interface=all-ppp to-addresses=10.11.12.254 /ip route add check-gateway=arp distance=1 gateway=192.168.9.1 add check-gateway=arp distance=2 gateway=192.168.0.1 add check-gateway=arp distance=3 gateway=172.16.0.1 add distance=1 gateway=192.168.0.1 routing-mark=w2 add distance=1 gateway=172.16.0.1 routing-mark=w3 /ppp profile set only-one=yes use-compression=no use-encryption=no use-mpls=no use-upnp=no add change-tcp-mss=yes local-address=10.11.12.254 /ppp secret add name=test profile=vpn remote-address=10.11.12.100 service=pptp add name=kee profile=vpn remote-address=10.11.12.212 service=pptp add name=nex profile=vpn remote-address=10.11.12.234 routes="10.30.20.0/24 10.11.12.234 1, 192.168.11.0/24 10.11.12.234 1" service=l2tp add name=nai profile=vpn remote-address=10.11.12.242 routes="192.168.8.0/24 10.11.12.242 1" service=ovpn add name=klp profile=vpn remote-address=10.11.12.241 routes="172.17.72.0/24 10.11.12.241 1, 10.0.26.0/24 10.11.12.241 1" service=ovpn add name=ngr profile=vpn remote-address=10.11.12.213 routes="192.168.2.0/24 10.11.12.213 1" service= pptp add name=viz profile=vpn remote-address=10.11.12.244 routes="192.168.7.0/24 10.11.12.244 1" service=ovpn add name=las profile=vpn remote-address=10.11.12.214 routes="192.168.4.0/24 10.11.12.214 1" service= pptp add name=xyz profile=vpn remote-address=10.11.12.243 routes="10.10.17.0/24 10.11.12.243 1" service= ovpn add name=sus profile=vpn remote-address=10.11.12.210 routes="192.168.1.0/24 10.11.12.210 1" service=pptp add name=x86 profile=vpn remote-address=10.11.12.245 routes="192.168.5.0/24 10.11.12.245 1, 192.168.82.0/24 10.11.12.245 1, 192.168.88.0/24 10.11.12.245 1, 192.168.201.0/24 10.11.12.245 1, 192.168.202.0/24 10.11.12.245 1" service=ovpn /ip route add comment="nah" distance=249 dst-address=10.0.0.0/8 type=blackhole add comment="nah" distance=249 dst-address=172.16.0.0/12 type=blackhole add comment="nah" distance=249 dst-address=192.168.0.0/16 type=blackhole скрипт раз в 3 мин тестит и дропит неактивные РРР, и потерявшие ВПН-связность хосты те остаются без роутов и не гадят покетами в Инет (а в blackhole) /sys script :local pppTest value=[/ppp active find]; :local pingNumber value=5; :local pingMin value=2; :foreach userTest in=$pppTest do={ :local pingOk value=[:ping [/ppp active get $userTest value-name=address] count=$pingNumber] :if ($pingOk < $pingMin) do={ :log warning message=([/ppp active get $userTest value-name=service] . " auto disconnected: ". $pingOk . " ping ok over " . $pingNumber . " " . [/ppp active get $userTest value-name=name] . " " . [/ppp active get $userTest value-name=address]) /ppp active remove $userTest } }; /interface sstp-client add authentication=mschap2 connect-to=к домашнему МТ disabled=no name=beg pfs=yes user=rdn verify-server-address-from-certificate=no =============My-Home-MTik /int sstp-server /tool netwatch add down-script="/log warning message=\"beg reconnect \" /int set [ find name=beg ] dis=yes :delay 1; /int set [ find name=beg ] dis=no host=10.11.12.1 interval=3m Изменено 26 октября, 2018 пользователем DAF Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 26 октября, 2018 · Жалоба УПС... Только сейчас дошло, что в чужую тему портянку неслабую затащил. Ув. Т.С. Если напрягает -уберу, но вроде заботы у нас вельма схожи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smirnovi Опубликовано 26 октября, 2018 (изменено) · Жалоба а что надо та? врф нужен или если диапазоны пересекаюца или если нехочеца привязываца к статик роутам в случае смены маршрута у провайдера вот мой первоисточник но он неправ относительно доступности самого микрота с настройкой врф из внешних сетей все доступно и еще есть два момента относительно vrf route leaks и возможно будет доступен извне mac server с этим я не уверен смотрите вики микрота Изменено 26 октября, 2018 пользователем Smirnovi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...