маскарадинг

[Sertik]

Пробовал по всякому, пока не выходит ...
Ноут еще не ставил, поставлю отпишусь, но думаю результата не будет.

Насчет того что никакого НАТа на втором роутере быть не должно это я как-то не согласен. Это же не точка доступа. Ну представьте, что первый роутер это для нас как-бы провайдер по сути. То есть первый роутер стоит не у Вас дома. Так что же на втором вашем домашнем никакого НАТа не должно быть ? То есть к Вам любой сможет снаружи в сеть ходить ?

Как я понимаю маскарад должен быть на внешнем интерфейсе и только на нем. А вот почему мне его и на внутренний приходится лепить не понятно пока.

[Vlad-2]

В текущей тестово-лабораторной задачи - НАТа на втором роутере не должно быть!

В целом НАТ делайте как хотите.
На счёт того, что первый роутер якобы будет по сути провайдер - тут Вы уже меняете условия задачи (и так не честно ).
В условиях надо было смаршрутизировать сети, мы это сделали. Поэтому между роутерами, а точнее между
их сетями - настроена и работает маршрутизация.
У меня между домашним и рабочим микротиком тоже настроена маршрутизация, и рабочий роутер знает
мою сеть (адресацию) и мой домашний знает адресацию (все сети) организации. И я могу и с работы и с дому
заходить на любые адреса и на любые порты, мне доступны РДП и так далее, без всяких пробросов и так далее.
Так что ради чистоты эксперимента, и согласно Вашим первоначальным установкам, у Вас два роутера,
включены друг за другом, имеющие свои сети, должны видеть сеть соседнюю, и только первый роутер имеет интернет.

Ну и на последок по поводу НАТа на втором роутере, позже, когда заработает Ваша обычная маршрутизация,
Вы конечно вправе НАТ (с)делать, но сделать надо более узко и контекстно: то есть завести на роутере2
например отдельную сетку, скажем 90.0/24, и уже клиентов по ВиФи подключать, НАТить сетку 90.0/24 от адреса
89.1 и уже от адреса 89.1 они будут доходить до Роутера1 и там уже натиться от 1.1.1.1

P.S.
Не каждый маршрутизатор в сети, у провайдеров НАТит клиентов. Зачем. Роутер должен маршрутизировать,
а НАТят обычно перед самым выходом. Так гибче, удобнее, проще. Да и НАТ ресурсоёмкий процесс всё же.

[Vlad-2]

Как я понимаю маскарад должен быть на внешнем интерфейсе и только на нем. А вот почему мне его и на внутренний приходится лепить не понятно пока.

Перечитал это предложение и как-то стало не по себе.
Зачем два НАТа? Мне кажется Вы запутались в логике.
Может покажете конфиг R2 ?

Аллегория:
а) все входят в автобус через переднюю дверь, но мама с большой коляской заходит через заднюю дверь (для неё исключение сделано).
б) все идут согласно маршруту по-умолчанию, но на R1 для сети 89.0/24 делаем исключение и показываем где её найти.
Вы НАТами сбиваете логику работы, скорее всего у Вас НАТ сделан как у многих: всё - через всё...нельзя же так....
Отключите НАТ, и должно всё заработать. Конфиги тестовые есть, всё протестировано. Уж в двух роутерах надо разобраться.


ФОТО:
Проводов чуть больше, чем надо. Просто я каждый роутер отдельным патч-кордом подключил к себе, чтобы ещё ими по МАК-у управлять.




Фото с нетбука. Пинг провайдероского айпи по условию 1.1.1.1 и гугл 8.8.8.8 = работает

[Erik_U]

Насчет того что никакого НАТа на втором роутере быть не должно это я как-то не согласен.

Если вам НУЖЕН НАТ на втором роутере, и он настроен, то при выключенном маскарадинге ресурсы за вторым роутером из первого пинговаться НЕ ДОЛЖНЫ.

Вы точно понимаете, что вы хотите?

[Sertik]

Да, видимо последний Ваш вопрос в точку. Может у меня все верно настроено ? Просто один чел задурил мне голову по поводу того что "Не надо натить внутреннюю сеть роутера".
Но как без этого получить доступ с R1 к R2 ? Видимо никак. Ведь если допустим провайдер захочет получить доступ к моим внутренним ресурсам - без того чтобы я выставил маскарад на своей внутренней сети он же все равно не получит правильно ? Так вот R1 это в данном случае как-бы провайдер.

Давайте поставим такую задачу. Допустим R1 - это роутер компании-повайдера, обеспечивающего Интернетом R2. И провайдер хочет получить доступ к внутренней сети R2, на котором включен НАТ. Кроме включения маскарадинга на свою внутреннюю сеть на R2 как то еще это можно сделать ? Вот это по сути и есть мой случай.
Просто в моем случае и R1 и R2 оба мои роутера.

А настроить я хотел вообще-то изначально следующее:
1. В одном здании есть 3G-4G-роутер со своей внутренней подсетью
2. В другом здании есть еще один такой же со своей подсетью
Оба имеют доступ в Интернет

Нужно в третьем здании поставить простой роутер (без модема), который имел бы два WAN-канала от первых двух и свою подсеть. Чтобы все подсети всех трех роутеров видели друг друга, а клиенты подсети R3 могли пользоваться Интернетом с обоих R1 и R2.

Вроде как бы я модель такую настроил. Но вот не нравится с маскарадом на R3 история. И никак не получается работа с рекурсивными маршрутами через гугл и яндекс.
Вы кстати как то писали, что при статических адресах знаете как настраивать два WAN-канала с рекурсивной маршрутиризацией.

Настраивал по инструкциям - не выходит. Например, по этой: https://habrahabr.ru/post/313342/
Может у Вас есть готовый рецепт по моему случаю ?
Маршрут рекурсивный становится в unresheble и все тут.

[Vlad-2]

Да, видимо последний Ваш вопрос в точку. Может у меня все верно настроено ? Просто один чел задурил мне голову по поводу того что "Не надо натить внутреннюю сеть роутера".
Но как без этого получить доступ с R1 к R2 ? Видимо никак. Ведь если допустим провайдер захочет получить доступ к моим внутренним ресурсам - без того чтобы я выставил маскарад на своей внутренней сети он же все равно не получит правильно ? Так вот R1 это в данном случае как-бы провайдер.

Давайте немного теории:
а) зачем провайдеру доступ в Вашу сеть? Всё равно что давать кошелёк всем.
Да, и хорошему провайдеру видеть Вашу сеть, Ваши компы, приставки, сотовые, видеть кучу МАКов на своём
порту/оборудовании не нужно и нельзя и не хочется. Поэтому если исходить из здравого смысла,
провайдеру попадать в Вашу локальную (подчёркиваю, именно в локальную) сеть клиента нет нужны.
Если и надо провайдеру попадать к Вам, то делать явные "бреши" в системе, а попросту открывать порты наружу.
Поэтому хотелось именно по этому вопросы и желательно уже не абстрактно услышать зачем Вам
пускать к себе провайдера....
(я бы сразу отказался от провайдера который хочет "залезть" ко мне в сеть).

Давайте поставим такую задачу. Допустим R1 - это роутер компании-повайдера, обеспечивающего Интернетом R2. И провайдер хочет получить доступ к внутренней сети R2, на котором включен НАТ. Кроме включения маскарадинга на свою внутреннюю сеть на R2 как то еще это можно сделать ? Вот это по сути и есть мой случай.
Просто в моем случае и R1 и R2 оба мои роутера.

Пока не понятно и пока не получу ответ зачем провайдеру доступ в Вашу сеть, советовать как-то будет слишком пафосно или самонадеяно.

А настроить я хотел вообще-то изначально следующее:
1. В одном здании есть 3G-4G-роутер со своей внутренней подсетью
2. В другом здании есть еще один такой же со своей подсетью
Оба имеют доступ в Интернет
Нужно в третьем здании поставить простой роутер (без модема), который имел бы два WAN-канала от первых двух и свою подсеть. Чтобы все подсети всех трех роутеров видели друг друга, а клиенты подсети R3 могли пользоваться Интернетом с обоих R1 и R2.

Вот уже это ближе к техническому здравому рассуждению. Но опять же:
а) как R3 будет подключаться (логически/физически) к первому и второму? Вы не указали, а это Важно.
б) Опять же, ловлю Вас на слове и на условиях: чтобы видели все сети трех роутеров = значит главное чтобы как минимум уже у новой сети, в даннном
случаи это сеть с роутером 3 имела подсеть не пересекающуюся по адресации с другими подсетями.
в) ну и в целом, если расскажите как R3 подключается к R1 и R2 - от этого надо строить и логику. В любом случаи НАТить сеть третью
надо будет уже на R1 и R2.

Вроде как бы я модель такую настроил. Но вот не нравится с маскарадом на R3 история. И никак не получается работа с рекурсивными маршрутами через гугл и яндекс.
Вы кстати как то писали, что при статических адресах знаете как настраивать два WAN-канала с рекурсивной маршрутиризацией.

Простите, слегка усомнюсь, мы тут статическую маршрутизацию между двумя роутерами не можем победить, а Вы вроде бы сделали модель с тремя роутерами.
Рекурсивная маршрутизация делается на статических маршрутах просто, но опять же, без понятия как будет подключаться роутер3 к остальным, сложно давать советы.
А так создаётся два маршрута, с разной дистанцией и отслеживанием состояния, упал один текущий действующий маршрут, роутер 3 будет слать трафик
на другой роутер.

Настраивал по инструкциям - не выходит. Например, по этой: https://habrahabr.ru/post/313342/
Может у Вас есть готовый рецепт по моему случаю ?
Маршрут рекурсивный становится в unresheble и все тут.

Статья мне показалось сложной, да и пока Вы не сделаете подключения роутеров, не оттестируете связь,
не сделаете доступы, пока маршруты не заработают, рано думать о балансировки/резервировании.
Надо делать всё постепенно, а то Вы хотите съесть пирожок, не пожарив его.

P.S.
Просьба, при ответе, указывайте кому Вы пишете/обращаетесь.

[Sertik]

Для vlad-2:

Задача такая:
R1 роутер 3G-4G. Получает интернет как DHCP-клиент. Имеет внутреннюю подсеть 192.168.0.0/24 Сам имеет в ней адрес 192.168.0.1
R2 роутер пусть обычный. Получает допустим проводной интернет по статике от какого-либо провайдера. Имеет внутреннюю подсеть 10.10.45.0/24. Сам в ней 10.10.45.1
Эти два роутера подключены к R3 (соответственнно в его ether1 и ether5). Это WANы для R3. Остальные порты R3 остаются в свиче (бридж не делаем т.к. он не нужен - вайфая нет). ether2-master, остальные 3-4 слайв.
Даем R3 адреса в сети у R1 192.168.0.9, и у R2 10.10.45.2 статические.
R3 сам имеет подсеть 192.168.89.0/24. И сам он в ней 192.168.89.1

В принципе все как было в нашей схеме, только я отрабатывал один ее "хвост".
локальные сети R1, R2, R3 должны видеть друг друга.
устройства сети роутера R3 должны ходить в интернет через R1 и R2.

Настроить то я настроил, но без рекурсивных маршрутов. Выложу свои таблицы мангл, маршруты и правила файервола (для R2 и R3). R1 пока физически не существует, отрабатываю на одной ветке.

[Sertik]

Вот информация по R3. Данные по R1 выложить не могу. Там много частной информации, вырезать долго, да и настравать надо в основном R3.

[Vlad-2]

Эти два роутера подключены к R3 (соответственнно в его ether1 и ether5). Это WANы для R3. Остальные порты R3 остаются в свиче (бридж не делаем т.к. он не нужен - вайфая нет). ether2-master, остальные 3-4 слайв.

Ну WANами трудно их назвать, там бегать будет локальная сеть. Поэтому скорее между WAN и LAN.

В принципе все как было в нашей схеме, только я отрабатывал один ее "хвост".
локальные сети R1, R2, R3 должны видеть друг друга.

Они будут видеть друг друга, если НАТом не занатите всё и вся подряд.

устройства сети роутера R3 должны ходить в интернет через R1 и R2.

Ясно. НО в рамках момента времени - всегда только через один роутер.

Настроить то я настроил, но без рекурсивных маршрутов. Выложу свои таблицы мангл, маршруты и правила файервола (для R2 и R3). R1 пока физически не существует, отрабатываю на одной ветке.

Не совсем понимаю, зачем Вам манглы, если у Вас один путь (один маршрут для Роутер3 ) всегда!? Что Вы в манглах собираетесь метить?
Я вижу два маршрут в глобал на Роутере 3 но с разными дистанциями(активен будет всегда один) + делаем рекурсивные маршруты = и всё.
Повторюсь: не вижу надобности в маркировки тут. Вы усложняете конфигурацию...
Ну и чтобы всё же было предметно - ждём Ваших конфигов...

[Vlad-2]

Вот информация по R3. Данные по R1 выложить не могу. Там много частной информации, вырезать долго, да и настравать надо в основном R3.

По картинке я уже вижу Одну ошибку!
Маршрутизация задаётся в обычных IP сетях установкой маршрута указанием шлюза в виде IP.
А Вы в маршруте подставляете интерфейс, это можно, но не всегда.
Сети описывается по айпишникам!

И совет от тренеров, и мой Вам: сделайте на Роутере3 бридж, на него повесьте айпи 89.1 и легче будет,
и понимание будет, и маршрутизацию легче будет задавать, и порты будут логически вместе.

А так мало что Вы в маршрутах указываете интерфейс, который не селу, ни к городу,
ещё не ясно, задали ли Вы на том же eth5 адрес? Очень как-то Вы сети не чувствуете....