Megas Posted September 4, 2013 Posted September 4, 2013 Собственно уже давно меня беспокоит эта тема, но вот дошли руки, не получается организовать чтобы роутер был доступен из мира по всем каналам. Схема подключения: ether1 = WAN1, dynamic IP, default router. ether2 = WAN2, DMZ IP, тут приходят пакеты через DMZ с другого роутера, IP этого интерфейса 192.168.1.2, IP роутера на WAN2 = 192.168.1.1 Делаю проверку: [admin@MikroTik] > ping routing-table=ADSL 8.8.8.8 HOST SIZE TTL TIME STATUS 8.8.8.8 56 51 29ms 8.8.8.8 56 51 29ms 8.8.8.8 56 51 29ms sent=3 received=3 packet-loss=0% min-rtt=29ms avg-rtt=29ms max-rtt=29ms То есть пакеты нормально уходят в мир через второй интерфейс. Сейчас правила отключены, но вовремя тестирования включались. [admin@MikroTik] /ip route> print detail Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 0 X S dst-address=0.0.0.0/0 gateway=192.168.1.1 gateway-status=192.168.1.1 inactive distance=1 scope=30 target-scope=10 routing-mark=ADSL [admin@MikroTik] /ip route rule> print detail 2 X src-address=192.168.1.1/32 action=lookup table=ADSL [admin@MikroTik] /ip firewall mangle> print detail 2 X chain=input action=mark-packet new-packet-mark=ADSL_mark_packets passthrough=yes in-interface=ADSL 6 X chain=output action=mark-routing new-routing-mark=ADSL passthrough=yes packet-mark=ADSL_mark_packets Попытка пинга с мира мертвая, ставил вместо микротик на конец ноут и все с мира пингуется, то есть явно что-то с настройкой машрутизации внешних интерфейсов. Основная задача это заставить его отвечать на внешние пакеты с тех же интерфейсов куда приходит пакет. Вставить ник Quote
bluesrocker Posted September 6, 2013 Posted September 6, 2013 (edited) Не помню чем я руководствовался при настройке, но была похожая ситуация, сводящаяся к той же основной задаче, но адреса статические. Я сел подумал 10 минут и у меня сейчас работает так: /ip firewall mangle print Flags: X - disabled, I - invalid, D - dynamic 1 ;;; coltel input connection chain=prerouting action=mark-connection new-connection-mark=coltel_input_connection passthrough=yes dst-address=x.x.x.x 2 ;;; unico input connection chain=prerouting action=mark-connection new-connection-mark=unico_input_connection passthrough=yes dst-address=y.y.y.y 3 ;;; coltel output mark chain=output action=mark-routing new-routing-mark=coltel_output_routing passthrough=yes connection-mark=coltel_input_connection 4 ;;; unico output mark chain=output action=mark-routing new-routing-mark=unico_output_routing passthrough=yes connection-mark=unico_input_connection И шлюзы по умолчанию прописал 2 раза - первый раз с разной метрикой для простейшего резервирования и потом еще раз с routing-mark'ом и большей метрикой. /ip route print detail Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 0 A S dst-address=0.0.0.0/0 gateway=y.y.y.z gateway-status=y.y.y.z reachable via ether5-Unico check-gateway=ping distance=4 scope=30 target-scope=10 routing-mark=unico_output_routing 1 A S dst-address=0.0.0.0/0 gateway=x.x.x.z gateway-status=x.x.x.z reachable via ether4-Columbia check-gateway=ping distance=4 scope=30 target-scope=10 routing-mark=coltel_output_routing 2 A S ;;; Default Coltel dst-address=0.0.0.0/0 gateway=x.x.x.z gateway-status=x.x.x.z reachable via ether4-Columbia check-gateway=ping distance=2 scope=30 target-scope=10 3 S ;;; Unico Default dst-address=0.0.0.0/0 gateway=y.y.y.y gateway-status=y.y.y.z reachable via ether5-Unico check-gateway=ping distance=3 scope=30 target-scope=10 Извне оба интерфейса доступны. Использование Route rule было бы изящней, конечно. Edited September 6, 2013 by bluesrocker Вставить ник Quote
Ilya Evseev Posted September 7, 2013 Posted September 7, 2013 Тут уже читали? http://wiki.mikrotik.com/wiki/Manual:PCC#Quick_Start_for_Impatient Не помогло? Вставить ник Quote
Megas Posted September 7, 2013 Author Posted September 7, 2013 Ilya Evseev, да, это наверное первое что делал, потом копал дальше. Возмонжно у меня проблема с понимаем как работает маркировка и что за чем идет, хотя в Linux проблем с mangle и iproute2 не было. bluesrocker, спасибо, попробую. Вставить ник Quote
Megas Posted September 11, 2013 Author Posted September 11, 2013 bluesrocker, спасиьбо огромное, работает. теперь разберусь что там с forward для маркировки серверов за натом и отлично в обще будет. Вставить ник Quote
Megas Posted September 14, 2013 Author Posted September 14, 2013 Дамс, похоже следующий уровень тоже не получается пройти самостоятельно. Проблема в том что по схеме bluesrocker все работает, но стал вопрос в том что сервера которые находятся за натом внутри сети, не отвечают если пакет приходит не с default gw. На Linux если не изменяет память эта штука решалась restore connmark, а как в Микротик? Вставить ник Quote
bluesrocker Posted November 7, 2013 Posted November 7, 2013 Megas Получилось? Как, если не секрет? Я не совсем понял сути вопроса - ведь для серверов default gateway - это и есть mikrotik - и пакеты уже в нем маркируются и маршрутизируются. Вы точно маркируете соединение, а не только пакеты? По идее, это единственный нюанс в данной ситуации. Вставить ник Quote
Saab95 Posted November 9, 2013 Posted November 9, 2013 Просто нужно смотреть шире, не пытаться все сделать на одном устройстве, а поставить 2 маршрутизатора, к которым подключить по одному каналу интернета, а уже после них поставить один, на котором будут авторизовываться клиенты, тогда не понадобится ничего докручивать, кроме как OSPF включить=) Вставить ник Quote
Ivan_83 Posted November 9, 2013 Posted November 9, 2013 Нет в этом никакой логики. Всё можно сделать и на одном устройстве, никаких физических ограничений для этого нет, только сырость микротика. Вставить ник Quote
t1bur1an Posted November 9, 2013 Posted November 9, 2013 Делал как то типу схему в которой нужно было два канала в мир одновременно, через один работает внутренняя локалка с двумя диапазонами /24. А один из адресов должен выходить исключительно через isp2, через который все остальные бы пошли в случае фейла первого. Ко всему этому нат естественно. Создал значит два дефолта, два ипа дал на интерфейсы и все это распихал по разным таблицам маршрутизации, добавил проверку маршрутов. Сети кто куда ходит с каким приоритетом распихал в /ip route rule, там же прописал жоско привязку для ипа к isp2. Проблема вышла при использовании днс на микротике и как выяснилось оно правильно, ведь в дефолтную (main) таблицу маршрутизации ни чего не занес. Пришлось еще маршруты лепить :) В итоге все чудесно заработало. Так а к чему я все? можно все делать на одной железке. Другое дело что мозги себе можно поломать пытаясь сделать то, что по хорошему нужно делать совсем по другому... Ни пришлось использовать маркировку пакетов фаерволлом, что надеюсь сказалось на производительности (не проверял). Так что юзайте iproute2 и будет счастье. Вставить ник Quote
Saab95 Posted November 9, 2013 Posted November 9, 2013 Нет в этом никакой логики. Всё можно сделать и на одном устройстве, никаких физических ограничений для этого нет, только сырость микротика. Логика есть. Если пытаться на одной железке маркировать трафик по соединениям и пакетам, на это потребуется много ресурсов системы, а представьте, что потом появится и третий канал интернета? Или встанет вопрос резервирования, на случай отказа оборудования? Вместо того что бы поставить несколько железок, что бы каждая решала свою задачу. Например есть 2 канала - поставили 2 железки на них и одну для авторизации клиентов. Появился третий канал - поставили третью, а в конфиг железки с авторизацией даже и не лезете. Потом стало мало ее возможностей - поставили вторую и т.п. Вставить ник Quote
svd Posted May 30, 2014 Posted May 30, 2014 Делал как то типу схему в которой нужно было два канала в мир одновременно, через один работает внутренняя локалка с двумя диапазонами /24. А один из адресов должен выходить исключительно через isp2, через который все остальные бы пошли в случае фейла первого. Ко всему этому нат естественно. Создал значит два дефолта, два ипа дал на интерфейсы и все это распихал по разным таблицам маршрутизации, добавил проверку маршрутов. Сети кто куда ходит с каким приоритетом распихал в /ip route rule, там же прописал жоско привязку для ипа к isp2. Проблема вышла при использовании днс на микротике и как выяснилось оно правильно, ведь в дефолтную (main) таблицу маршрутизации ни чего не занес. Пришлось еще маршруты лепить :) В итоге все чудесно заработало. Так а к чему я все? можно все делать на одной железке. Другое дело что мозги себе можно поломать пытаясь сделать то, что по хорошему нужно делать совсем по другому... Ни пришлось использовать маркировку пакетов фаерволлом, что надеюсь сказалось на производительности (не проверял). Так что юзайте iproute2 и будет счастье. Блин я себе мозг сломил этим вопросом так и ничего не получилось. Вся проблема в том что у меня нету под рукой двух каналов а на удаленкеих они есть и при том два с динамикой. В идеале хотел хотел рулит кадждым іp в свой канал Неполучилось потом хотя бы под сетями тоже глухо. Может поделитесь конфигом и нюансами ???? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.