Вопрос по настройке маршрутизации

[alibek]

Есть офисный микротик, на нем созданы три внешних интерфейса:

pppoe - выход в интернет по умолчанию (динамический IP, не обязательно "белый").

vlan100 - выход в интернет по выделенной линии (статический IP AA.AA.AA.80).

vlan30 - выход в закрытую сеть по выделенной линии (статический IP BB.BB.BB.3).

 

Маршрутизация по умолчанию должна быть следующей:

1. Подсеть BB.BB.0.0/16 — через vlan30

2. Подсеть AA.AA.0.0/16 — через vlan100

3. Адреса, входящие в определенный access-list — через vlan100

4. Все остальное — через pppoe

 

Сейчас статикой прописаны пункты 1, 2 и 4.

Пункт 3 сделан не через access-list, а также прописан статикой (отдельные адреса).

 

Что хочется:

1. Время от времени через dst-nat наружу пробрасываются локальные устройства, через интерфейс vlan100. Нужно чтобы ответный исходящий трафик от этих устройств автоматически маршрутизировался через vlan100.

2. Маршрутизацию на определенные адреса через vlan100 я хочу сделать также через access-list, а не отдельными статическими записями в таблице маршрутизации.

 

Видимо нужно через mangle ставить определенные метки, а в route rules обрабатывать пакеты с метками.

Где об этом можно почитать подробнее и с примерами?

[maxkst]

В 26.06.2019 в 04:28, alibek сказал:

1. Время от времени через dst-nat наружу пробрасываются локальные устройства, через интерфейс vlan100. Нужно чтобы ответный исходящий трафик от этих устройств автоматически маршрутизировался через vlan100.

Это можно попробовать сделать добавив SRC nat правило совместно с DST nat. Тогда запросы извне будут приходить с локального адреса на роутере и ответ уходить в роутер. У меня так работает.

[alibek]

Не понял идеи.

Шлюз по умолчанию pppoe, туда все и уйдет.

Сейчас я к каждой записи dstnat вручную добавляю статический маршрут на /32 через vlan100. Хотелось бы уйти от "вручную".

[maxkst]

36 минут назад, alibek сказал:

Шлюз по умолчанию pppoe, туда все и уйдет.

не все.  маршрут по умолчанию имеет distance 1. а присоединенные маршруты - 0. DST правило поменяет адрес назначения на внутренний.

SRC правило поменяет источник тоже на внутренний. А маршрут на внутренние адреса distance - 0. Просто попробуйте добавить SRC правило сразу после DST в нат, и должно заработать. 

 

ЗЫ: щас перечитал первый пост, похоже мой совет вам не поможет. Он сработает немного в другом случае

 

Edited June 27, 2019 by maxkst

[maxkst]

Если бы VLAN 100 был на отдельном роутере, на который нет дефолтного маршрута, то сработало бы

Edited June 27, 2019 by maxkst

[dmitry.destroyer]

а зачем нужны эти вланы вообще?

если есть 3 канала во вне, то:

- повесить их на отдельные физические интерфейсы

- для pppoe убрать галку default route

- в ip route прописать маршруты в выделенные линии, потом для pppoe (за счет более мелкой маски они будут в приоритете над pppoe)

 

В 26.06.2019 в 12:28, alibek сказал:

Видимо нужно через mangle ставить определенные метки, а в route rules обрабатывать пакеты с метками.

в мангле пометить нужный трафик через route mark \ mark route, а в ip route rule сделать look only in table = <нужный route mark \ mark route> для нужных локальных адресов

ip route rule работает вроде произвоительней мангла, но настраивается в разных местах - если производительности хватает, есть смысл все сделать манглом

[alibek]

Только что, dmitry.destroyer сказал:

а зачем нужны эти вланы вообще?

Попробуйте прочитать исходный текст еще раз.

И я не понял смысла перемещения vlan-интерфейсов в физические интерфейсы. Это что-то изменит?

 

1 минуту назад, dmitry.destroyer сказал:

в ip route прописать маршруты в выделенные линии

Это вообще о чем?

[dmitry.destroyer]

1 минуту назад, alibek сказал:

Это вообще о чем?

ip route rule add dst-address=<нужная сеть> gateway= AA.AA.AA.80

3 минуты назад, alibek сказал:

Попробуйте прочитать исходный текст еще раз.

перечитал, понял точно также - извините :)

[alibek]

Маршруты на подсети статикой у меня и так прописаны. Или у rule есть какие-то дополнительные бонусы?

Вопрос не в прописывании маршрутов, а в том, чтобы обойтись без него — я добавляю одно правило dst-nat, и исходящий трафик соединений по этому правилу наружу ходит через vlan100 без дополнительного прописывания маршрутов.

[Saab95]

Что бы не прописывать маршруты, нужно OSPF включить. Сколько же можно вручную подсети указывать?

[user71]

On 6/27/2019 at 9:56 PM, alibek said:

rule есть какие-то дополнительные бонусы

наивысший приоритет и полный игнор всего остального

 

On 6/27/2019 at 9:56 PM, alibek said:

не в прописывании маршрутов, а в том, чтобы обойтись без него

без маршрутов обойтись нельзя. Маршрут должен быть всегда. Пакеты должны понимать куда им идти. Это уже просто какая то комедия, вы боитесь прописать маршрут в маршрутизаторе и верите что все обойтется каким то там натом. Нат это не маршрутизатор, он просто переписывает адреса в пакетах, но от него никак не зависит куда пакет пойдет, это определяется маршрутами. Если ваши пакеты летят не в ту дыру хоть и с правильным адресом - верный принак отсутсвия маршрута.

2 hours ago, Saab95 said:

нужно OSPF включить.

почему оспф а не бгп или рип?

[Ace63]

ISIS требуют наши сердца :)

[Saab95]

13 часов назад, user71 сказал:

почему оспф а не бгп или рип?

Потому что OSPF легко настраивается, а для БГП нужно получать автономную систему.

[user71]

А рип? Асн то те зачем? Все свои же какой хочешь такой и впеши. 

[pppoetest]

32 минуты назад, Saab95 сказал:

а для БГП нужно получать автономную систему.

man rfc 6996

[user71]

25 minutes ago, pppoetest said:

man rfc 6996

Ну окей если так настаиваете я вам выдам всего за 1000 рублей. -)))))

[pppoetest]

Да я сам могу себе выдать. Причем не только из приватного блока.

[user71]

6 minutes ago, pppoetest said:

Да я сам могу себе выдать. Причем не только из приватного блока.

За 2к с адресами не только из приватного блока. Хочешь 8.8.8.8 на лупбеке? Или может 2.1.2.1? 

 

Ну вот ты тоже можешь. А сааб не может. Ему надо чтобы кто-то выдал... надо помочь.

[TriKS]

1 час назад, Saab95 сказал:

Потому что OSPF легко настраивается,

РИП2 быстрее настраивается и не такой ресурсоемкий:)

1 час назад, Saab95 сказал:

для БГП нужно получать автономную систему. 

я же говорил, что для фанов микротика - RFC не аргумент :)

Это высказывание равносильно такому - чтоб дома инет работал на 3-х устройствах нужно каждому дать белый айпишник :)

 

[user71]

8 minutes ago, TriKS said:

чтоб дома инет работал на 3-х устройствах нужно каждому дать белый айпишник :)

В ип6 именно так оно и есть

[TriKS]

Спасибо, я как бы в курсе :)

[user71]

6 minutes ago, TriKS said:

Спасибо, я как бы в курсе :)

И в ип4 тоже только ип один на всех

[TriKS]

Да ладно! И его надо получить вместе в АС у лира :) Каждому пользователю :)

[user71]

5 minutes ago, TriKS said:

Да ладно! И его надо получить вместе в АС у лира :) Каждому пользователю :)

А я назначаю почти забесплатно. Покупайте!

 

Вы же даже не знаете кто такая лира и где ее искать

[TriKS]

Как не знаю? Это инструмент такой, сыграл на ней - выдался айпишник. Поэтому выдают адреса исключительно музыканты!