Перейти к содержимому
Калькуляторы

Mikrotik и два прова-проблемма с настройкой помогите пожалуста.

@McSea есколько публичных адресов у вас, они толком не используются, только 237-й передается 1:1 NAT куда-то. Маскарадинг использует только один адрес, в вашей конфигурации с публичной статикой лучше сделать src-nat вместо него, несколько правил с распределением по разным публичным IP- не совсем вас понял... сорри

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 hours ago, iraklizh said:

файрвол открыт полностью !!  drop invalid не закрывает ! закрыл  drop invalid input и forward... это достаточно или можно кое что улутшить?

Я не очень понятно видимо написал, там у вас есть два правила drop invalid, но они не запрещают подключения извне, нужны еще правила drop new со стороны интернета. 

 

5 hours ago, iraklizh said:

- arp запись с IP адресом шлюза провайдера на WAN интерфейсе зачем ? Провайдер сказал так сделать ? нет.. была статья по настройке (вернее несколько статей, в некоторых  это разрешалось в некоторых нет... решил оставить. лутше убрать?

 

Вопрос, зачем это сделано ?  Смысл такой записи в том, что ваш микротик отвечает, что 217 адрес у него, зачем это делать со стороны WAN, где в сети есть роутер провайдера с 217 адресом, я понять не могу. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@McSea вообщето new я разрешал ( new connection input -accept/ new connection forward accept... буду внимательней почитать про файрвол... :)

 

про арп запись тоже посмотрю детально.. а что по внешним ip /29? я так понимаю, что /29 нудно затем что если на одном ip ,больше 65000 подключений и не хватает портов, но как делать правильней маскарадингом или dst-nat  не знаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 hours ago, McSea said:
On 5/23/2019 at 11:39 AM, iraklizh said:

- arp запись с IP адресом шлюза провайдера на WAN интерфейсе зачем ? Провайдер сказал так сделать ? нет.. была статья по настройке (вернее несколько статей, в некоторых  это разрешалось в некоторых нет... решил оставить. лутше убрать?

 

Вопрос, зачем это сделано ?  Смысл такой записи в том, что ваш микротик отвечает, что 217 адрес у него, зачем это делать со стороны WAN, где в сети есть роутер провайдера с 217 адресом, я понять не могу. 

 

Вы про это...add address=92.51.126.217 interface="ether1 WAN" mac-address=\ не помню если точно, но у меня аrp разрешен на внешнем... и он занесен в список по моему всетаки автоматом...сейчас смотрел и другие микротики ( в других сетях, везде где арп разрешен есть запись с шлюзом провайдера...

 

Изменено пользователем iraklizh

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 hours ago, iraklizh said:

вообщето new я разрешал ( new connection input -accept/ new connection forward accept.

Так о чем и речь !  Что открыто все у вас - запрещает drop, а accept разрешает !

Последним правилом цепочки должен быть drop new, а не drop invalid. 

drop invalid не запрещает новые соединения из интернета у вас, да еще и веб интерфейс микротика наружу без ограничений выставлен.

 

 

7 hours ago, iraklizh said:

и он занесен в список по моему всетаки автоматом..

В export-е динамических записей нет, только прописанные вручную.

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@McSea 

Не вижу в вашем конфиге двух провайдеров и правил маршрутизации вообще.

Но есть следующие замечания:

 - IP адреса на slave интерфейсах, переносите их на бридж  (какие ip внешние?)

пробовал сегодня ваш конфиг правил -не заработало...т.е. все равно компы шличерез 1 го прова...

Вообще есть ли логика в порядке интерфейсов для 2011 (1 isp ethr1, второй isp ethr 6? или ethr 10?  нужно ли их обединять в бридж? (у меня все что в внутренней сети обединено в бридж 1, внешние интерфейсы не обединены ни с чем...

может еше быть проблемма в том, что второй isp идет через другой  роутер микротик2  а на этом микротике я ему даю адресс 192.168.16.22 255.255.255.0 с гейтом второго микротика lan-ip которого 192.168.16.1 а wan он получает от прова по dhcp и на нем тоже маскарадинг???

 

 

 

 

Изменено пользователем iraklizh

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 hours ago, iraklizh said:

Вообще есть ли логика в порядке интерфейсов для 2011 (1 isp ethr1, второй isp ethr 6? или ethr 10?  нужно ли их обединять в бридж? (у меня все что в внутренней сети обединено в бридж 1, внешние интерфейсы не обединены ни с чем...

Любые интерфейсы могут быть выделены под WAN, остальные в бридж, так что тут не вижу проблемы. 

Адреса локальные на бридж перенесли ?

 

15 hours ago, iraklizh said:

может еше быть проблемма в том, что второй isp идет через другой  роутер микротик2  а на этом микротике я ему даю адресс 192.168.16.22 255.255.255.0 с гейтом второго микротика lan-ip которого 192.168.16.1 а wan он получает от прова по dhcp и на нем тоже маскарадинг???

Надо было показать хотя бы скриншоты правил и маршрутов после изменений конфига.

Также показать пинг с 2011 с указанием routing-table по первому и второму провайдеру, как на скриншоте.

nag1.PNG

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Адреса локальные на бридж перенесли ?

Нет пока... а dhcp не здуреет?

 

У знакмого работает конфиг с манглами но wan-ы у него тоже в бридже... это правильно???

 

то что второй isp до этого микртика доходит до настраиваемого через нат это можно или проблемма ?

 

Понял про скрншот попробую сделать...

 

 

 

Изменено пользователем iraklizh

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@McSea перенес локальные адреса на бридж, добавил приведенные вами правила, делал скрины пошагово как только создал второй маршут интернет ушел, (скрин1) и потом сразуже добавил дефольтный (скрин 2) потом занялся роутин рулами (скрин 3) дал себе адрес 172.16.15.196 и всер равно выходил в инет через ISP1 , хотя пинги на гугл идут через обоих!!! (скрин 4) потом от греха подальше сделал еше один роут на isp2 с distance 2 (скрин 5) но не делал 2 маскарад в нате на isp2. шас добрался до дома чтоб отписатся.. может все не заработало из за того что не было второго маскарада на нате...? Заранее спасибо ! или дело из за остальных внешних ip с 29?

 

Я еше сомневаюсь по поводу второго микротика на котором собственно сеть 192.16.1.1 и который является дефольтным роутом для этого... может тамошние файрвол и нат ... может там открыть все а файрвод отскриненого микротика все профильтрует...или может в этом быть проблемма (скрин 6)как вы думаете?

 

magdee1.thumb.png.b458376155c414f3e2745c3b0fb67e80.png

magdee2.jpg

magdee3.jpg

magdee4.jpg

maqdee5.jpg

maqdee6.jpg

Изменено пользователем iraklizh

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@iraklizh 

 

Routing mark и interface уберите из правил маршрутизации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ок, уберу. вопрос 1. Делать второй маскарад на нате для ISP2?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@iraklizh в каждой шутке есть доля шутки 

 

https://ru.wikipedia.org/wiki/Маршрутизация

https://ru.wikipedia.org/wiki/NAT

 

Как бы без маршрутов не будет работать нат. 

 

И как бы у вас в локальной сети серый IP адреса, что бы эти клиенты могли выходить в интернет, вы должны их натить. 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@pingz  спасибо гляну... чтото я затупил совсем с этим проектом...

кстати @McSea что касается ip на инт ISp1 /29 и /30  так сделать? 
/ip firewall nat add action=same chain=srcnat out-interface=WAN to-addresses=xxx.xxx. 126.218/29

/ip firewall nat add action=same chain=srcnat out-interface=WAN to-addresses=xxx.xxx. 126.234-236/30 ???

3 вопрос isp2  (192.168.16.22) для этого микротика приходит от другого который 192.16.16.1 (и выходит через нат на другого прова). По идее должно работать или нет?

 

 

Изменено пользователем iraklizh

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@pingz @McSea !  У меня этот вопрос не выходит из головы... роуты я прописал, но что про нат на втором роутере через который идет isp2... и второе сработают или нет эти правила если делать  как в статье про pcc? https://mum.mikrotik.com/presentations/US12/tomas.pdf... есть ли какая нибудь фигня в том что называть isp1 и isp2... вроде же без разницы... главное чтоб адреса соотвецтвовали... и какя дистанция должна быть на геите isp2? Заранее спасибо...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вечером вообще произошла странная весчь... кроме  рулов указанных @McSea  ничего прописанно не было, маскарадинг на isp 2 был отключен, через некоторое время начали жаловатся юзеры, что ушел интернет... я и роутер перегрузил, и копался, искал ошибки... вроде все было нормально... в ARP листе были два юзера, пинговались и работали, но стоило отключить  интерфейс ethr10 (ISP2 disabled в интерфейсах, как вдруг ARP таблица стала заполнятся  маками пользователей...) что произошло и почему не понимаю, подефаулту стоит гейт ISP1, dhcp сервер на бридже 1....Ж((( странно совсем престаю понимать происходящее... мог прилететь dhcp от сети в которой ISP2???

 

в интрфейсах в interface list  было discover ethr2 и mactel ethr 2... пересадил на бридж ( dhcp сервер перенес на бридж ранее по совету @McSea...

может это вызвао проблему а не ethr10???

Изменено пользователем iraklizh

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@iraklizh я собирал на трех маршутизаторах на статике с маркировкой и через ospf, нат был на других двух маршрутизаторах.

 

Если был бы у меня такой опыт настройки на одной коробке двух операторов я бы уже в самом начале скинул тебе пример. 

 

Т.к. в микротике нет полноценного VRF, что бы разделить дефолтные маршруты и наты. 

 

Вот представь две обычных мыльницы тп линк на этих мыльницах есть реальный ip и дефольный маршут 0.0.0.0/0 со своей метрикой + нат, но если это все поместить в одну коробку будет выбираться только 1 маршут по умолчанию второй работать не будет, соответственно и нат то же. 

 

Как я считаю в теории:

Т.к. в микротике только одна таблица маршрутизации мейн то в этой таблице нужно разделить через маркировку маршуты, что бы работало одновременно два дефолтных маршрута 0.0.0.0/0. Есть как прямой маршрут(пример дефолт) так и обратный(это арп запись у оператора который тебе интернет поставляет) Т.е. тебе нужно в таблице маршрутизации промаркировать не только прямые маршруты для клиентов, но так же обратные маршруты. 

Так же на коробке должно быть два ната, которые приколочены эти маркировки. 

 

Но тут нужно понимать, что балансировки тут не добиться, все будет работать на статике.

 

Если балансировка нужна, то нужно еще два микротика ospf или bgp.

 

Пойми три микротика выйдет тебе в 20-30к, в те же деньги выходит 2800 или SRX100, но это уже другая история. 

 

З.Ы. Возможно я чем то тебе помогу в твоем проекте, но точно знаю тебе нужно нарисовать схему(рисуешь ты ее для себя в первую очередь и только во вторую для форума), тебе нужен стенд, который работает не в продакшене, чтобы экспериментировать, но по мне проще докупить за 10к два 750 и забыть. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@iraklizh  Нарисуй на бумаге такую схему ПК1 отправил пинг на 8.8.8.8 у него дефолт 192.168.1.1, в свою очередь маршрутизатор согласно своей маркировке отправил пакет на интерфейс, а для этого интерфейса или IP который прописан на этом интерфейсе есть нат все снатился(записывает в таблицу ната в случае миротика это конекшен трекинг) и улител в интернет.  Для 8.8.8.8 ему пинг отправил сам маршрутизатор он про ПК1 вообще не знает. 

8.8.8.8 отвечает маршрутизатору обратным пакетом он прилетает на интерфейс маиршутизатора, через таблицу ната маршутизатор смотрит кому обратно нужно отправить, но т.к. уже маркировка была сделана, нужно еще одну маркировку сделать, чтобы пакет вернулся обратно клиенту. 

 

Но так же нужно понимать, что есть пакеты адресованные именно маршутизатору и клиентам. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@pingz спасибо, что откликнулись, балансировка мне вообще не нужна абсолютно. У меня задача 80% узеров пустить на isp2, а 20% на ISP1. теперь  ситуация, коробки 2: 1 основная это 2011 uias и  вторая это 750.

на основной локаль и isp1 на второй isp2 (через нат второй коробки-сейчас нету возможности ее  в режиме бриджа оставить чтобы получил чистый isp2 на второй коробке). Из вашего поста я так понял, что если я все промаркирую как надо + добавлю правила маршрутов от McSea-по идее работать должно...  ваша схемма и идея про ospf интересна конечно, тем более у вас она работает, ( возможно я ваш пример тоже задействую с двумя 750-ми докуплю на днях) но тогда вопрос как быть с той точкой, которая isp2 и еше раздает одному клиенту инет... или так не сработает (там можно 950 иои лутше 750?) у меня вообще нет опыть с ospf, вообще пока никак не представляю себе схемму даже теоретически) и вопрос... маркировкам вроде нет дела до того на каком интерфейсе какя  какая скорость (если роуты писать вручную) ... 

 

Изменено пользователем iraklizh

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@iraklizh  Вы нарисуйте схему, возможно вам проще будет решить вопрос через DHCP, когда у вас в сети два маршрутизатора в одном vlan у каждого свой выход в интернет и первый раздает IP адреса и шлюзы по умолчанию. 

 

Т.е.

R1 192.168.1.1 он раздает ip адреса и шлюз

R2 192.168.1.2  он не раздает IP адреса 

 

Тем кому нужно он раздаст шлюз 192.168.1.1, тем кому нужно раздаст 192.168.1.2

 

З.Ы. Все зависит от сервисов которые вы хотите реализовать и это становится понятно на схеме. 

 

Возможно вообще, нужно разбить все это добро на 2 и более сетей и уже через нат или роутинг все это соединить воедино. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

СПАСИБО, сейчас смотрю конкретно PBR тематику, там похожее как у McSea, только добавлена маркировка в манглах... проверю сегодня эту схемму тоже...-чтото с маркировкой не сработало...

 

Изменено пользователем iraklizh

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@iraklizh 

 

 

On 5/27/2019 at 4:18 AM, iraklizh said:

ок, уберу. вопрос 1. Делать второй маскарад на нате для ISP2?

Убрали, проверили ?  Второй маскарад не нужен, раз микротик ваш же со вторым провайдером, но надо там прописать маршруты до локальных подсетей через 2011.

 

On 5/27/2019 at 8:15 AM, iraklizh said:

/ip firewall nat add action=same chain=srcnat out-interface=WAN to-addresses=xxx.xxx. 126.218/29

/ip firewall nat add action=same chain=srcnat out-interface=WAN to-addresses=xxx.xxx. 126.234-236/30 ???

 

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Source_nat_to_specific_address

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Урааа! @McSea Спасибо !!! заработало!!! но что было сделанно .. 1.убрал ip с интерфесов оставил только основной, второй маскарад понадобился всеж, до этого сделал как вы советовали, кроме последних двух строчек. пока оставил так (для теста) на первом микротике да  и на втором тоже фарвол покаполностью отключен. т.е. рулы все в disable а добавил forward -accept, input -accept и output-accept/ завтра прикрою с утра хотя думаю что в этом output тоже скрывалась некая причина. отдельно спасибо за мануалы, завтра же засяду за них серьезно, так как плохо пока очень представляю логику работы манглов и т.д.

Еше интересен вопрос... если некий внутренний хост с неким ip подпадает под routing rule с mark-ой isp2, и в конечном итоге выходит через isp2, будут ли работать указанные ему ранее simple queue? те остальные хосты которые идут в сеть по isp1 -queue работают... вот это забыл проверить... завтра уже проверю.

Изменено пользователем iraklizh

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@iraklizh Итоговым конфигом не поделитесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.