[alibek]

Мне нужно настроить PBR на офисном роутере.

Но роутер расположен в труднодоступном месте и будет крайне не желательно что-то сделать не так.

Поэтому вначале хочу убедиться, что я все правильно спланировал.

 

Есть Mikrotik hAP (951Ui).

 

Он обслуживает локальную сеть 192.168.1.0/24, которая подключена в порты 3 и 4, объединенные в мост:

/interface bridge add arp=proxy-arp name=bridge-lan
/interface bridge port add bridge=bridge-lan interface=eth3
/interface bridge port add bridge=bridge-lan interface=eth4
/ip address add address=192.168.1.254/24 interface=bridge-lan network=192.168.1.0

 

К нему подключены три внешних линка.

 

Есть выделенный линк к внутренней сервисной сети 10.x.x.x:

/interface vlan add interface=eth2 name=vlan30 vlan-id=30
/ip address add address=10.1.144.3/24 interface=vlan30 network=10.1.144.0
/ip route add dst-address=10.1.0.0/16 gateway=10.1.144.1
/ip route add dst-address=10.102.0.0/16 gateway=10.1.144.1
/ip route add dst-address=10.202.0.0/16 gateway=10.1.144.1

 

Есть выделенный линк в интернет со статичным адресом A.A.A.A, который используется только для отдельных сервисов:

/interface vlan add interface=eth2 name=vlan100 vlan-id=100
/ip address add address=A.A.A.80/25 interface=vlan100 network=A.A.A.0
/ip route add dst-address=A.A.A.0/22 gateway=A.A.A.126

 

Ну и наконец есть основное интернет-подключение, используемое офисом для выхода в интернет (динамический публичный IP по PPPoE):

/interface pppoe-client add interface=eth1 add-default-route=yes use-peer-dns=yes name=pppoe user=... password=...

 

И еще есть VPN-сервер:

/interface pptp-server server set default-profile=... enabled=yes
/ppp secret add local-address=192.168.1.254 name=... password=... profile=... remote-address=192.168.1.191 service=pptp
/ppp secret add local-address=192.168.1.254 name=... password=... profile=... remote-address=192.168.1.192 service=pptp

 

На публичном статичном адресе A.A.A.A имеется несколько опубликованных сервисов (dst-nat).

Но нормально они работают только если подключаться из сети A.A.A.0/22. Если подключаться из других мест, то ответный трафик направляется через pppoe-подключение и ничего не работает. Чтобы работало, нужно добавить статичный маршрут к src-ip через A.A.A.126, что неудобно, а иногда и не применимо.

 

Хочу довести это все до ума и сделать так, чтобы dst-nat, а также ряд отдельных сервисов (в том числе ответы на tcp/1723) всегда ходили через интерфейс vlan100 (выделенный линк в интернет).

Как я понимаю, мне нужно для этого сделать следующее:

Вначале подготовить метки и таблицы маршрутизации:

/ip route add gateway=A.A.A.126 pref-src=A.A.A.80 routing-mark=vlan100-route
/ip route add gateway=10.1.144.1 pref-src=10.1.144.3 routing-mark=vlan30-route
/ip route rule add routing-mark=vlan100-route table=vlan100-route
/ip route rule add routing-mark=vlan30-route table=vlan30-route
/ip route rule add src-address=A.A.A.0/25 table=vlan100-route
/ip route rule add src-address=10.1.144.0/24 table=vlan30-route

А затем пометить определенный трафик соответствующими метками:

/ip firewall mangle add chain=prerouting dst-address=A.A.A.80 protocol=tcp dst-port=65000-65535 connection-nat-state=dstnat action=mark-routing new-routing-mark=vlan100-route passthrough=no
/ip firewall mangle add chain=prerouting dst-address=A.A.A.80 protocol=tcp dst-port=1723 action=mark-routing new-routing-mark=vlan100-route passthrough=no
/ip firewall mangle add chain=prerouting dst-address=A.A.A.80 protocol=tcp dst-port=64000-64999 connection-nat-state=dstnat action=mark-routing new-routing-mark=vlan30-route passthrough=no

 

По идее, после этого VPN-трафик, а также трафик опубликованных сервисов всегда будет ходить только через A.A.A.A.

 

Все ли верно?

И на всякий случай — safe mode тут поможет, если что-то сделаю не так?

[VolanD666]

Сейф мод откатит если пропала связь с устройством.

Edited August 23, 2019 by VolanD666

[alibek]

Я так и думал. Не лучшее решение, он откатит минут через 10 в лучшем случае, но все же лучше чем половина дня (которая потребуется для доступа к месту размещения роутера).

Поэтому прежде чем это делать, хотелось бы спросить, нет ли ошибок в конфигурации.

Когда-то давно я пробовал настроить маршрутизацию через routing-mark и хотя деталей уже не помню, но помню что это у меня так и не получилось.

[VolanD666]

1 час назад, alibek сказал:

Я так и думал. Не лучшее решение, он откатит минут через 10 в лучшем случае, но все же лучше чем половина дня (которая потребуется для доступа к месту размещения роутера).

Поэтому прежде чем это делать, хотелось бы спросить, нет ли ошибок в конфигурации.

Когда-то давно я пробовал настроить маршрутизацию через routing-mark и хотя деталей уже не помню, но помню что это у меня так и не получилось.

Конфиг не смотрел. Откуда взялись 10 минут? Он откатит как порвется ссш сессия. У меня это не больше минуты.

[alibek]

Только что, VolanD666 сказал:

Откуда взялись 10 минут?

Это таймаут tcp-сессии по умолчанию.

[LostSoul]

16 часов назад, alibek сказал:

И на всякий случай — safe mode тут поможет, если что-то сделаю не так?

если жопа настолько в огне - отправьте туда какой-нибудь hap с lte свистком и мальчиком заранее.

или просто сотрудников попросите ноут через свой смартфон в интернет подключить и зайдите winbox с ноутбука через mac winbox ( без использования IP )

зачем зря рисковать если соломки подстелить так просто?

и 10 минут ждать не надо - не нравится результат кликнул на disable сразу

 

[VolanD666]

Да зачем это все если у микротика отлично работает сейф мод. Ну отвалится он у вас на минуту. В чем проблема то?

[LostSoul]

45 минут назад, VolanD666 сказал:

Да зачем это все если у микротика отлично работает сейф мод. Ну отвалится он у вас на минуту. В чем проблема то?

да просто в реальном времени видеть что там происходит - уже удобнее. возможно что меньше раз "ронять" придется быстрее придя к нужным выводам

 

[pingz]

Имхо на стенде соберите конфиг затестите потом перенесите.