Два WAN, два LAN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
SERJ_lebedev
Сообщения: 4
Зарегистрирован: 26 сен 2023, 21:43

Здравствуйте!
Задача, наверное, не самая сложная, но, к сожалению, не могу реализовать.
Опыта с микротиком не очень много, просьба сильно не пинать

Есть mikrotik 2011uias. Есть 2 линии от одного провайдера (статика), есть две локальные сети. Необходимо "разделить" линии провайдера по локальным сетям. Чтобы с WAN1 интернет ходил туда-сюда через LAN1, с WAN2 через LAN2. Также необходимо, чтобы dst-nat корректно работал по внешним адресам провайдера и ссылался только на нужную локальную сеть.

Исходные данные от провайдера (цифры чуть изменены, но суть такая):
WAN1:
ip-адрес: 90.100.0.124
маска: 255.255.255.0
шлюз: 90.100.0.1
WAN2:
ip-адрес: 90.100.0.125
маска: 255.255.255.0
шлюз: 90.100.0.1

Данные локальных сетей:
LAN1 - 192.168.1.0/24
LAN2 - 192.168.2.0/24


Мне стыдно рассказывать про свои попытки, просто скажу, что после маркировки я пробовал по-разному жёстко привязывать LAN с WAN, но успехов не было (адрес WAN одинаковый на обоих LAN сетях; проброс работал только с определенного WAN, при этом LAN1, LAN2 получали корректные адреса WAN; через Routing-rules тоже пробовал lookup only in table; куча другого ещё было, сразу не вспомню даже).

Текущие настройки таковы (откатил настройки до всех тестов с попытками привязки LAN-WAN, WAN-LAN):
 
/ip address
add address=90.100.0.124/24 interface=eth1_WAN1 network=\
94.125.9.0
add address=90.100.0.125/24 interface=eth2_WAN2 network=\
94.125.9.0
add address=192.168.1.1/24 interface=eth3_LAN1 network=\
192.168.1.0
add address=192.168.3.1/24 interface=eth4_LAN2 network=\
192.168.2.0

/routing table
add disabled=no fib name=ether1
add disabled=no fib name=ether2

/ip route
add disabled=yes distance=251 dst-address=0.0.0.0/0 \
gateway=90.100.0.124 pref-src="" routing-table=main \
scope=30 suppress-hw-offload=no target-scope=10
add disabled=yes distance=253 dst-address=0.0.0.0/0 \
gateway=90.100.0.126 pref-src="" routing-table=main \
scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
90.100.0.124 pref-src="" routing-table=ether1 scope=30 \
suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
90.100.0.126 pref-src="" routing-table=ether2 scope=30 \
suppress-hw-offload=no target-scope=10

/ip firewall mangle
add action=mark-connection chain=prerouting in-interface=\
eth1_WAN1 new-connection-mark=WAN1 passthrough=yes
add action=mark-connection chain=prerouting in-interface=\
eth2_WAN2 new-connection-mark=WAN2 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=\
WAN1 in-interface-list=!WAN new-routing-mark=ether1 \
passthrough=yes
add action=mark-routing chain=prerouting connection-mark=\
WAN2 in-interface-list=!WAN new-routing-mark=ether2 \
passthrough=yes
add action=mark-routing chain=output connection-mark=\
WAN1 new-routing-mark=ether1 passthrough=yes
add action=mark-routing chain=output connection-mark=\
WAN2 new-routing-mark=ether2 passthrough=yes


NAT даже не буду сюда добавлять, там максимально разрешающие правила для тестов
Я признаю, что не очень силён не только с микротиком, но и в целом с сетями. Но если кто-то из форума скажет, что "вот ты дурак, а как же это..." и пнёт в нужную сторону, то я буду очень благодарен. Мне бы вот только пинок)


Изображение


Вернуться к началу
SERJ_lebedev
Сообщения: 4
Зарегистрирован: 26 сен 2023, 21:43

Проблема была в маркировке линий от провайдера, тк шлюз одинаковый.
На просторах интернета нашёл решение:
 
/ip route
add comment= 90.100.0.124 disabled=no distance=1 dst-address=0.0.0.0/0 gateway=90.100.0.1%eth1_WAN-1 pref-src="" routing-table=LINE1 scope=30 suppress-hw-offload=no target-scope=10
add comment= 90.100.0.125 disabled=no distance=1 dst-address=0.0.0.0/0 gateway=90.100.0.1%eth2_WAN-2 pref-src="" routing-table=LINE2 scope=30 suppress-hw-offload=no target-scope=10
И два правила Mangle:
 
add action=mark-routing chain=prerouting comment=90.100.0.124 dst-address=!192.168.1.0/24 new-routing-mark=LINE1 passthrough=yes src-address=192.168.1.0/24
add action=mark-routing chain=prerouting comment=90.100.0.125 dst-address=!192.168.2.0/24 new-routing-mark=LINE2 passthrough=yes src-address=192.168.2.0/24
Локальные сети получились полностью изолированы друг от друга. Как в целом и нужно было, но...понадобился доступ с сети 192.168.1.0/24 на компьютер(RDP) в сети 192.168.2.0/24.
Может кто-то подскажет как реализовать? Идеально, если бы это был просто проброс (Hairpin NAT не работает, но не уверен, что он и должен работать).
Последний раз редактировалось SERJ_lebedev 15 ноя 2023, 13:49, всего редактировалось 1 раз.


Вернуться к началу
bst-botsman
Сообщения: 219
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

У Вас каша какая-то получилась...
у вас почему то весь "внешний" трафик, в том числе и между локальными сетями, маркируется... и изоляция достигается не "православным" файрволом, а маркировкой и отсутствием маршрутов...
Сделайте все так как положено...

лично я бы сделал так:
1. Маркировку и соответственно использование соответствующей таблицы маршрутизации привязал бы к src-address и out-interface.
2. Все остальное оставил бы в основной таблице маршрутизации.
3. На уровне файрвола таблицы Filter запретил-разрешил трафик между сетями и т.д. (доступ к RDP-серверу и обратные пакеты)
ну вот как-то так - если совсем кратенько...


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
СКЗИ "BAS" x 1
Вернуться к началу
SERJ_lebedev
Сообщения: 4
Зарегистрирован: 26 сен 2023, 21:43

bst-botsman писал(а): 15 ноя 2023, 12:45 1. Маркировку и соответственно использование соответствующей таблицы маршрутизации привязал бы к src-address и out-interface.
можно 100% скидку для тупых)?
можете пальцем тыкнуть в теоретический материал по данному пункту?


Вернуться к началу
bst-botsman
Сообщения: 219
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

SERJ_lebedev писал(а): 15 ноя 2023, 16:32 можете пальцем тыкнуть в теоретический материал по данному пункту?
Самая лучшая теория - это все-таки WIKI от микротика

А ссылку на 100%-но рабочую инструкцию - вам врядли выдадут - тут все индивидуально - ищите по форуму и в инете похожие темы, изучайте их и подстраивайте под свои условия...

лиюо обратитесь в раздел платных услуг - возможно кого-нить заинтересует ваше предложение и вам настроят все... и тогда уже по своей конфигурации и посмотрите как на инструкцию... :-):


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
СКЗИ "BAS" x 1
Вернуться к началу
SERJ_lebedev
Сообщения: 4
Зарегистрирован: 26 сен 2023, 21:43

туповат я, конечно....
 
/ip route
add comment=90.100.0.124 disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
90.100.0.1%eth1_WAN-1 pref-src="" routing-table=LINE1 scope=30 \
suppress-hw-offload=no target-scope=10
add comment=90.100.0.125 disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
90.100.0.1%eth2_WAN-2 pref-src="" routing-table=LINE2 scope=30 \
suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 pref-src=\
"" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.2.1 pref-src=\
"" routing-table=main scope=30 suppress-hw-offload=no target-scope=10

/routing rule
add action=lookup disabled=no dst-address=192.168.1.0/24 table=main
add action=lookup disabled=no dst-address=192.168.2.0/24 table=main
add action=lookup-only-in-table disabled=no src-address=192.168.1.0/24 table=\
LINE1
add action=lookup-only-in-table disabled=no src-address=192.168.2.0/24 table=\
LINE2


и допилить в Filter Rules под нужды


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»