alibek Опубликовано 22 августа, 2019 · Жалоба Мне нужно настроить PBR на офисном роутере. Но роутер расположен в труднодоступном месте и будет крайне не желательно что-то сделать не так. Поэтому вначале хочу убедиться, что я все правильно спланировал. Есть Mikrotik hAP (951Ui). Он обслуживает локальную сеть 192.168.1.0/24, которая подключена в порты 3 и 4, объединенные в мост: /interface bridge add arp=proxy-arp name=bridge-lan /interface bridge port add bridge=bridge-lan interface=eth3 /interface bridge port add bridge=bridge-lan interface=eth4 /ip address add address=192.168.1.254/24 interface=bridge-lan network=192.168.1.0 К нему подключены три внешних линка. Есть выделенный линк к внутренней сервисной сети 10.x.x.x: /interface vlan add interface=eth2 name=vlan30 vlan-id=30 /ip address add address=10.1.144.3/24 interface=vlan30 network=10.1.144.0 /ip route add dst-address=10.1.0.0/16 gateway=10.1.144.1 /ip route add dst-address=10.102.0.0/16 gateway=10.1.144.1 /ip route add dst-address=10.202.0.0/16 gateway=10.1.144.1 Есть выделенный линк в интернет со статичным адресом A.A.A.A, который используется только для отдельных сервисов: /interface vlan add interface=eth2 name=vlan100 vlan-id=100 /ip address add address=A.A.A.80/25 interface=vlan100 network=A.A.A.0 /ip route add dst-address=A.A.A.0/22 gateway=A.A.A.126 Ну и наконец есть основное интернет-подключение, используемое офисом для выхода в интернет (динамический публичный IP по PPPoE): /interface pppoe-client add interface=eth1 add-default-route=yes use-peer-dns=yes name=pppoe user=... password=... И еще есть VPN-сервер: /interface pptp-server server set default-profile=... enabled=yes /ppp secret add local-address=192.168.1.254 name=... password=... profile=... remote-address=192.168.1.191 service=pptp /ppp secret add local-address=192.168.1.254 name=... password=... profile=... remote-address=192.168.1.192 service=pptp На публичном статичном адресе A.A.A.A имеется несколько опубликованных сервисов (dst-nat). Но нормально они работают только если подключаться из сети A.A.A.0/22. Если подключаться из других мест, то ответный трафик направляется через pppoe-подключение и ничего не работает. Чтобы работало, нужно добавить статичный маршрут к src-ip через A.A.A.126, что неудобно, а иногда и не применимо. Хочу довести это все до ума и сделать так, чтобы dst-nat, а также ряд отдельных сервисов (в том числе ответы на tcp/1723) всегда ходили через интерфейс vlan100 (выделенный линк в интернет). Как я понимаю, мне нужно для этого сделать следующее: Вначале подготовить метки и таблицы маршрутизации: /ip route add gateway=A.A.A.126 pref-src=A.A.A.80 routing-mark=vlan100-route /ip route add gateway=10.1.144.1 pref-src=10.1.144.3 routing-mark=vlan30-route /ip route rule add routing-mark=vlan100-route table=vlan100-route /ip route rule add routing-mark=vlan30-route table=vlan30-route /ip route rule add src-address=A.A.A.0/25 table=vlan100-route /ip route rule add src-address=10.1.144.0/24 table=vlan30-route А затем пометить определенный трафик соответствующими метками: /ip firewall mangle add chain=prerouting dst-address=A.A.A.80 protocol=tcp dst-port=65000-65535 connection-nat-state=dstnat action=mark-routing new-routing-mark=vlan100-route passthrough=no /ip firewall mangle add chain=prerouting dst-address=A.A.A.80 protocol=tcp dst-port=1723 action=mark-routing new-routing-mark=vlan100-route passthrough=no /ip firewall mangle add chain=prerouting dst-address=A.A.A.80 protocol=tcp dst-port=64000-64999 connection-nat-state=dstnat action=mark-routing new-routing-mark=vlan30-route passthrough=no По идее, после этого VPN-трафик, а также трафик опубликованных сервисов всегда будет ходить только через A.A.A.A. Все ли верно? И на всякий случай — safe mode тут поможет, если что-то сделаю не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 23 августа, 2019 (изменено) · Жалоба Сейф мод откатит если пропала связь с устройством. Изменено 23 августа, 2019 пользователем VolanD666 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 августа, 2019 · Жалоба Я так и думал. Не лучшее решение, он откатит минут через 10 в лучшем случае, но все же лучше чем половина дня (которая потребуется для доступа к месту размещения роутера). Поэтому прежде чем это делать, хотелось бы спросить, нет ли ошибок в конфигурации. Когда-то давно я пробовал настроить маршрутизацию через routing-mark и хотя деталей уже не помню, но помню что это у меня так и не получилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 23 августа, 2019 · Жалоба 1 час назад, alibek сказал: Я так и думал. Не лучшее решение, он откатит минут через 10 в лучшем случае, но все же лучше чем половина дня (которая потребуется для доступа к месту размещения роутера). Поэтому прежде чем это делать, хотелось бы спросить, нет ли ошибок в конфигурации. Когда-то давно я пробовал настроить маршрутизацию через routing-mark и хотя деталей уже не помню, но помню что это у меня так и не получилось. Конфиг не смотрел. Откуда взялись 10 минут? Он откатит как порвется ссш сессия. У меня это не больше минуты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 23 августа, 2019 · Жалоба Только что, VolanD666 сказал: Откуда взялись 10 минут? Это таймаут tcp-сессии по умолчанию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 23 августа, 2019 · Жалоба 16 часов назад, alibek сказал: И на всякий случай — safe mode тут поможет, если что-то сделаю не так? если жопа настолько в огне - отправьте туда какой-нибудь hap с lte свистком и мальчиком заранее. или просто сотрудников попросите ноут через свой смартфон в интернет подключить и зайдите winbox с ноутбука через mac winbox ( без использования IP ) зачем зря рисковать если соломки подстелить так просто? и 10 минут ждать не надо - не нравится результат кликнул на disable сразу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 23 августа, 2019 · Жалоба Да зачем это все если у микротика отлично работает сейф мод. Ну отвалится он у вас на минуту. В чем проблема то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 23 августа, 2019 · Жалоба 45 минут назад, VolanD666 сказал: Да зачем это все если у микротика отлично работает сейф мод. Ну отвалится он у вас на минуту. В чем проблема то? да просто в реальном времени видеть что там происходит - уже удобнее. возможно что меньше раз "ронять" придется быстрее придя к нужным выводам Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 26 августа, 2019 · Жалоба Имхо на стенде соберите конфиг затестите потом перенесите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...