sherwood Posted November 17, 2009 Posted November 17, 2009 Здравствуйте! Я новичок.... Помогите решить мою проблему, а именно: Нужно подключить сеть к интернету через PPPoE соединение. Что было сделано: 1. Настроил интерфейс: ip address add address 192.168.0.254/24 interface ether1 это интерфейс локальной сети. 2. Настроил второй интерфейс который смотрит в сторону провайдера: ip address add address 10.10.15.26/24 interface ether2 ip посмотрел в DIR-100 который на данный момент поднимает PPPoE. 3. На ether2 добавил PPPoE Client в котором вписал логин и пароль от провайдера. 4. Добавил маршрут по умолчанию: ip route add gateway=10.10.0.200 который тоже посмотрел в DIR-100 5. Настроил DNS: ip dns set primary-dns=88.86.82.33 secondary-dns=195.68.135.5 allow-remote-requests=yes 6. На компьютере локальной сети IP - 192.168.0.2 MASK 255.255.255.0 GW 192.168.0.254 DNS 192.168.0.254 7. Настроил NAT, в WEB интерфейсе на ether2 поставил галочку NAT. И после этого на локальном компьютере нет интернета - ping не проходит как ya.ru так и 77.88.21.8 Что было проверено: На роуторе пинг на 77.88.21.8 интерфейса pppoe проходит (PPPoE поднято), пинг на локальную машину 192.168.0.2 проходит только с помощью ARP (скорее всего на компьютере что то блокирует но думаю это не важно), с локальной машины пинг не проходит на интерфейс ether2(10.10.15.26) - думаю в этом вся проблема. Где у меня ошибка? Вставить ник Quote
boo Posted November 18, 2009 Posted November 18, 2009 а что мешает убрать dir-100 совсем? Вставить ник Quote
SSD Posted November 18, 2009 Posted November 18, 2009 Здравствуйте!Я новичок.... Помогите решить мою проблему, а именно: Нужно подключить сеть к интернету через PPPoE соединение. Что было сделано: 1. Настроил интерфейс: ip address add address 192.168.0.254/24 interface ether1 это интерфейс локальной сети. 2. Настроил второй интерфейс который смотрит в сторону провайдера: ip address add address 10.10.15.26/24 interface ether2 ip посмотрел в DIR-100 который на данный момент поднимает PPPoE. 3. На ether2 добавил PPPoE Client в котором вписал логин и пароль от провайдера. 4. Добавил маршрут по умолчанию: ip route add gateway=10.10.0.200 который тоже посмотрел в DIR-100 5. Настроил DNS: ip dns set primary-dns=88.86.82.33 secondary-dns=195.68.135.5 allow-remote-requests=yes 6. На компьютере локальной сети IP - 192.168.0.2 MASK 255.255.255.0 GW 192.168.0.254 DNS 192.168.0.254 7. Настроил NAT, в WEB интерфейсе на ether2 поставил галочку NAT. И после этого на локальном компьютере нет интернета - ping не проходит как ya.ru так и 77.88.21.8 Что было проверено: На роуторе пинг на 77.88.21.8 интерфейса pppoe проходит (PPPoE поднято), пинг на локальную машину 192.168.0.2 проходит только с помощью ARP (скорее всего на компьютере что то блокирует но думаю это не важно), с локальной машины пинг не проходит на интерфейс ether2(10.10.15.26) - думаю в этом вся проблема. Где у меня ошибка? Видимо у вас NAT не настроен. Настройте через винбокс или телнет\консоль. http://wiki.mikrotik.com/wiki/NAT_Tutorial Вставить ник Quote
sherwood Posted November 18, 2009 Author Posted November 18, 2009 а что мешает убрать dir-100 совсем? наверное не правильно объяснил, или Вы не правильно поняли.. я и хочу убрать DIR-100... Видимо у вас NAT не настроен. Настройте через винбокс или телнет\консоль. http://wiki.mikrotik.com/wiki/NAT_Tutorial думаю в этом проблема. спасибо за ссылку, буду пробовать... Вставить ник Quote
kostil Posted November 18, 2009 Posted November 18, 2009 вот конфиг для микротика под ваши задачи /interface pppoe-client add-default-route=yes dial-on-demand=yes disabled=no interface=PROVIDER_IF max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe_internet password=PASSWORD use-peer-dns=no user=USERNAME /ip address add address=192.168.0.254/24 disabled=no interface=LOCAL_IF add address=10.10.15.26/24 disabled=no interface=PROVIDER_IF /ip dhcp-server network add address=192.168.0.0/24 dns-server=88.86.82.33,195.68.135.5 gateway=192.168.0.254 /ip dns set allow-remote-requests=yes cache-max-ttl=1w cache-size=2048KiB max-udp-packet-size=512 primary-dns=88.86.82.33 secondary-dns=195.68.135.5 /ip firewall address-list add address=192.168.0.0/24 disabled=no list=Local-net /ip firewall connection tracking set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=30m \ tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \ tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s /ip firewall nat add action=masquerade chain=srcnat comment="local net to internet" disabled=no out-interface=pppoe_internet src-address-list=Local-net add action=masquerade chain=srcnat comment="local net to peering" disabled=no out-interface=PROVIDER_IF src-address-list=Local-net это минимальные настройки. работать будет если залить на чистую систему. проверяем, настраиваем файрволл и т.д. Вставить ник Quote
sherwood Posted November 18, 2009 Author Posted November 18, 2009 подскажите еще вопрос, в route list некоторые маршруты отображаются синим цветом это нормально, или это не правильная запись? Вставить ник Quote
sherwood Posted November 19, 2009 Author Posted November 19, 2009 (edited) kostil спасибо, но мне хотелось бы по порядку разобраться что и как, что бы потом уверенно себя в этом чувствовать... при попытке ввода первой же команды у меня ошибка... пробовал настроить от сюда: тут но споткнулся на добавлении шлюза по умолчании, то есть посмотрел в статусе подключения DIR-100 а он там такой же как и IP.... делаю команду: ip route add gateway=10.0.0.2 проверяю: ip route print и в итоге перед маршрутом стоит буква u вместо r я так понимаю это не правильно? уже замучился с этим роутером.... пятый день пошел :) подскажите по порядку что нужно настраивать для такой схемы? Имеем свич за которым локальная сеть из нескольких компьютеров - 192.168.0.0/24 Имеем провайдера который дает интернет с авторизацией по PPPoE 1. На интерфейсе который смотрит на провайдера нужно прописывать IP который выдал провайдер? 2. На интерфейсе который смотрит в локальную сеть нужно прописать IP из этого диапазона - 192.168.0.0/24? 3. PPPoE нужно поднимать на интерфейсе который смотрит в сторону провайдера? (понимаю что глупый вопрос, но я не знаю что еще делать). 4. NAT нужно настраивать на обоих интерфейсах? и подходят ли эти команды? ip firewall nat add chain=srcnat action=masquerade out-interface=!ether1 ip firewall nat add chain=srcnat action=masquerade out-interface=!ether2 5. Нужно ли настраивать DNS на роуторе? на DIR-100 этого не делал... 6. Ище что то нужно? пока все, с этим бы разобраться... P.S. boo попробовал по Вашей ссылке, но не получилось....все так просто написано, но я наверное что то не так делаю... Edited November 19, 2009 by sherwood Вставить ник Quote
kostil Posted November 19, 2009 Posted November 19, 2009 kostil спасибо, но мне хотелось бы по порядку разобраться что и как, что бы потом уверенно себя в этом чувствовать... при попытке ввода первой же команды у меня ошибка... пробовал настроить от сюда: тут но споткнулся на добавлении шлюза по умолчании, то есть посмотрел в статусе подключения DIR-100 а он там такой же как и IP.... делаю команду: ip route add gateway=10.0.0.2 проверяю: ip route print и в итоге перед маршрутом стоит буква u вместо r я так понимаю это не правильно? это значит что шлюз недоступен.уже замучился с этим роутером.... пятый день пошел :)подскажите по порядку что нужно настраивать для такой схемы? Имеем свич за которым локальная сеть из нескольких компьютеров - 192.168.0.0/24 Имеем провайдера который дает интернет с авторизацией по PPPoE 1. На интерфейсе который смотрит на провайдера нужно прописывать IP который выдал провайдер? нужно, если провайдер отдает их статикой а не динамикой. если динамика - то dhcp клиент.2. На интерфейсе который смотрит в локальную сеть нужно прописать IP из этого диапазона - 192.168.0.0/24?так точно /ip address add address=192.168.0.254/24 disabled=no interface=LOCAL_IF 3. PPPoE нужно поднимать на интерфейсе который смотрит в сторону провайдера? (понимаю что глупый вопрос, но я не знаю что еще делать).да /interface pppoe-client add-default-route=yes dial-on-demand=yes disabled=no interface=PROVIDER_IF max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe_internet password=PASSWORD use-peer-dns=no user=USERNAME 4. NAT нужно настраивать на обоих интерфейсах? и подходят ли эти команды? ip firewall nat add chain=srcnat action=masquerade out-interface=!ether1 ip firewall nat add chain=srcnat action=masquerade out-interface=!ether2 сомневаюсь что они подойдут. прописывать маскарад нужно на двух интерфейсах ( PPPoE и ether...) в том случае если нужно что бы была доступна локальная сеть провайдера и интернет. если нужен только тырнет достаточно прописать NAT только на PPPoEв примере с локалкой /ip firewall nat add action=masquerade chain=srcnat comment="local net to internet" disabled=no out-interface=pppoe_internet src-address-list=Local-net add action=masquerade chain=srcnat comment="local net to peering" disabled=no out-interface=PROVIDER_IF src-address-list=Local-net 5. Нужно ли настраивать DNS на роуторе?на DIR-100 этого не делал... нужно если будешь использовать его как дополнительный DNS сервер для локальной сети. если нет, то просто отдаешь провайдерские DNS по DHCP локальным компам.6. Ище что то нужно?Внимание ;) P.S. залей роутер заново, и на чистый конфиг накати то что я тебе писал выше. замени: LOCAL_IF - на имя интерфейса смотрящего в твой свитч домашний PROVIDER_IF - имя интерфейса смотрящего к провайдеру USERNAME - логин от pppoe PASSWORD - пароль от pppoe и будет тебе счастье. Вставить ник Quote
sherwood Posted November 19, 2009 Author Posted November 19, 2009 kostil спасибо, справился по этой инструкции - тут а про NAT для локальной сети провайдера - это Вы имели ввиду для того что бы можно было видеть компьютеры локальной сети провайдера? если да, то мне это не нужно.. а вот у провайдера есть внутренние ресурсы - FTP, сетевая статистика ..... для этого нужно поднимать NAT на интерфейсе где поднято PPPoE? Вставить ник Quote
sherwood Posted November 19, 2009 Author Posted November 19, 2009 На двух интерфейсах RM450 подняты два PPPoE от разных провайдеров. Проблема в том, что не могу настроить два маршрута по умолчанию... Я так понимаю, что два маршрута по умолчанию быть не должно... Поднимается одновременно только один, второй в это время выделен синим цветом, то есть не доступен... Как решить эту проблему? Надо направить пользователей по разным провайдерам... Вставить ник Quote
kostil Posted November 21, 2009 Posted November 21, 2009 На двух интерфейсах RM450 подняты два PPPoE от разных провайдеров.Проблема в том, что не могу настроить два маршрута по умолчанию... Я так понимаю, что два маршрута по умолчанию быть не должно... Поднимается одновременно только один, второй в это время выделен синим цветом, то есть не доступен... Как решить эту проблему? Надо направить пользователей по разным провайдерам... а задача какая стоит? два линка для балансировки нагрузки или же отказоустойчивости (один работает, если валится один подключается второй)? Вставить ник Quote
sherwood Posted November 21, 2009 Author Posted November 21, 2009 (edited) Я просто учусь... А в итоге хочется добиться: Есть сервер Win2003Server, через него в интернет выходит несколько компьютеров, так как в Windows, а точнее в билинговой программе не очень хороший шейпер, поэтому хочется вынести с компьютера шейпер с ограничением скорости по клиентам и всего чего можно добиться от RM450 в этом направлении, поднять на нем три PPPoE от разных провайдеров, направить клиентов на разные каналы и в случае падения одного переключать всех на другого или третьего.... поэтому и пытаюсь разобраться в этом...хочется по порядку разобраться что да как.... если Вы мне в этом поможете буду очень признателен....если это очень большой материал - можно за вознаграждение... Edited November 21, 2009 by sherwood Вставить ник Quote
kostil Posted November 23, 2009 Posted November 23, 2009 учится так учится! http://wiki.mikrotik.com/wiki/Two_gateways_failover http://wiki.mikrotik.com/wiki/Load_Balanci...ltiple_Gateways http://wiki.mikrotik.com/wiki/ECMP_load_ba...with_masquerade Вставить ник Quote
sherwood Posted November 23, 2009 Author Posted November 23, 2009 учится так учится!http://wiki.mikrotik.com/wiki/Two_gateways_failover http://wiki.mikrotik.com/wiki/Load_Balanci...ltiple_Gateways http://wiki.mikrotik.com/wiki/ECMP_load_ba...with_masquerade спасибо, хорошие ссылки... учится так учится... сразу вопрос по первой ссылке... там говорится, что доступный маршрут будет с наименьшей (0) дистанцией и при падении его (проверка пингом) становится доступным второй... это хорошо, но мне изначально нужно, что бы разные IP ходили по разным каналам, я так понимаю нужны эти правила? поднимаем три шлюза от разных провайдеров с проверкой пинг: / ip route add dst-address=0.0.0.0/0 gateway=10.0.0.1,10.0.1.1,10.0.2.1 check-gateway=ping и направить пользователей на разные интерфейсы: /ip firewall nat add chain=srcnat src-address=172.17.1.50 action=masquerade out-interface=!PPPoE-prov1 /ip firewall nat add chain=srcnat src-address=172.17.1.51 action=masquerade out-interface=!PPPoE-prov2 /ip firewall nat add chain=srcnat src-address=172.17.1.52 action=masquerade out-interface=!PPPoE-prov3 последнее правило составлял сам по кусочкам, в нем я хотел пустить пользователя с IP 172.17.1.50 через PPPoE-prov1, правда не знаю сработает так или нет... и вопрос - если у меня много пользователей их наверное надо забить в адрес лист, так как там можно указать чей это IP? сразу еще вопрос: у меня настроен firewall штатным средством, то есть из WEB интерфейса поставил галку и получил следующее: интересует вопрос...правила на прохождения определенных IP нужно указывать в какой последовательности до или после правил с - drop? или это не имеет значения? пока все... Вставить ник Quote
kostil Posted November 24, 2009 Posted November 24, 2009 На первый взгляд правила NAT похожи на правду. Пробуй, и смотри будет работать или нет. Address-lists нужно пользоваться обязательно - это намного удобней чем для каждого пользователя добавлять отдельное правило. Распихал их по группам и на каждую группу по правилу. Когда нужно из одной группы в другую пользователя перенес. Картинка с правилами что-то не загрузилась. Вебмордой никогда не пользовался, только консоль или Winbox. Примеры правил есть в wiki.mikrotik.com. Конкретно здесь очень доступно как пакет проходит роутер http://wiki.mikrotik.com/wiki/Packet_Flow. В кратце, если пакет попадает на правило drop то он отбрасывается и дальше не обрабатывается. Соответственно правила прописанные после правила с drop бесполезны. Вставить ник Quote
sherwood Posted November 24, 2009 Author Posted November 24, 2009 На первый взгляд правила NAT похожи на правду. Пробуй, и смотри будет работать или нет.Address-lists нужно пользоваться обязательно - это намного удобней чем для каждого пользователя добавлять отдельное правило. Распихал их по группам и на каждую группу по правилу. Когда нужно из одной группы в другую пользователя перенес. Картинка с правилами что-то не загрузилась. Вебмордой никогда не пользовался, только консоль или Winbox. Примеры правил есть в wiki.mikrotik.com. Конкретно здесь очень доступно как пакет проходит роутер http://wiki.mikrotik.com/wiki/Packet_Flow. В кратце, если пакет попадает на правило drop то он отбрасывается и дальше не обрабатывается. Соответственно правила прописанные после правила с drop бесполезны. на картинке правила firewall такие: ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets" ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections" ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections" ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP" ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping" ip firewall filter add chain forward action=accept in-interface=!PPPoE-prov1 comment="Allow connection to router from local network" ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop everything else" создать группы я и хотел, только не нашел где и как... создать получается только Address-lists.... Вставить ник Quote
kostil Posted November 25, 2009 Posted November 25, 2009 Создаешь адрес листы а потом пихаешь их куда хочешь. Хочешь получатьль, хочешь отправитель. Вставить ник Quote
sherwood Posted November 25, 2009 Author Posted November 25, 2009 Создаешь адрес листы а потом пихаешь их куда хочешь. Хочешь получатьль, хочешь отправитель. я думал, что там можно создать группы в которых создаем адрес-лист, а потом если надо например перенаправить пользователей из этой группы на какой нибудь интерфейс или изменить им скорость, создается всего одно правило и указывается эта группа.... значит правильно я понял, что если мне нужно например перенаправить несколько пользователей на разные интерфейсы и ограничить им например скорость, то нужно будет для каждого пользователя создавать правила? хотя ты вроде писал, что можно создать группу....или я что то не понял? Вставить ник Quote
kostil Posted November 25, 2009 Posted November 25, 2009 вот пример использования адреслистов для разбития на группы /ip firewall address-list add list=group1 address=192.168.1.15 /ip firewall address-list add list=group1 address=192.168.1.16 /ip firewall address-list add list=group1 address=192.168.1.25 /ip firewall address-list add list=group1 address=192.168.1.37 /ip firewall address-list add list=group2 address=192.168.1.65 /ip firewall address-list add list=group2 address=192.168.1.69 /ip firewall address-list add list=group2 address=192.168.1.97 /ip firewall address-list add list=vip address=192.168.1.197 /ip firewall address-list add list=vip address=192.168.1.199 /ip firewall address-list add list=vip address=192.168.1.195 /ip firewall nat add chain=srcnat src-address-list=group1 action=masquerade out-interface=PPPoE-prov1 /ip firewall nat add chain=srcnat src-address-list=group2 action=masquerade out-interface=PPPoE-prov2 /ip firewall nat add chain=srcnat src-address-list=vip action=masquerade out-interface=PPPoE-prov3 Вставить ник Quote
sherwood Posted November 26, 2009 Author Posted November 26, 2009 (edited) здорово..... как то не додумался, что можно так... я пробовал создавать лист где писал в имени Фамилию пользователя для того что бы удобно было а, у тебя еще проще....в имени пишем название группы, IP это IP клиента и добавляем комментарий где пишем его фамилию.... потом можно будет к группам создавать правила такие как ограничение скорости и самое главное для чего я это затеваю - это настроить шейпер, что бы торренщики не клали канал.... еще вопрос для общего развития: если например на интерфейсе ether1 настраиваю адрес 192.168.0.1/24 и включаю туда сеть с 192.168.0.2-254 а второй интерфейс ether2 настраиваю как 172.16.0.1/24 и включаю туда сеть с 172.16.0.2-254 маршрутами соответственно у компьютеров прописываю сетевые интерфейсы в сети ether1 192.168.0.1 и в сети ether2 172.16.0.1.... будут ли эти сети доступны друг другу? то есть компьютер с 192.168.0.20 будет видеть 172.16.0.20 и наоборот? или нужно прописать статические маршруты на RB450, если да то какие? Edited November 26, 2009 by sherwood Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.