Настройка двух LAN сетей на провайдера с двумя IP

[Andrey_Ak]

Доброго времени суток!

Прошу помощи в настройке. Задача собственно из одного роутера сделать два.
Имеем провайдера со статикой, два внешних IP адреса, один адрес
должен работать для одной LAN сети, другой для другой. Шлюз у провайдера общий.

Настроил вот так:

 

Условия:
На MikroTik приходит два канала от одного провайдера, с разными статическими IP.
Шлюз у обоих ip-адресов одинаковый (88.66.89.1)

Необходимо разделить две локальные подсети таким образом, что бы
одна (20.20.0.0/24) ходила наружу по WAN1 (88.66.89.240)
а другая (10.10.0.0/23) по WAN2 (88.66.89.241).

WAN1 (88.66.89.240)
WAN2 (88.66.89.241)

1.Назначена адресация интерфейсов:

/ip address
add address=88.66.89.240/24 network=88.66.89.0 interface=WAN1
add address=88.66.89.241/24 network=88.66.89.0 interface=WAN2
add address=20.20.0.1/24 network=20.20.0.0 interface=LAN1
add address=10.10.0.1/23 network=10.10.0.0 interface=LAN2

2.Создаем адрес листы, по которым раскидываем подсети, согласно которым будут распределяться внешние каналы:

/ip firewall address-list
add address=20.20.0.0/24 list=LAN1_ADR_LIST
add address=10.10.0.0/23 list=LAN2_ADR_LIST

3.Маркируем каналы, указав каждому из них адрес лист:

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=WAN1_240 src-address-list=LAN1_ADR_LIST
add action=mark-routing chain=prerouting new-routing-mark=WAN2_241 src-address-list=LAN2_ADR_LIST

4.Настраиваем правила NAT выхода в интернет:

/ip firewall nat
add action=src-nat chain=srcnat out-interface=WAN1 src-address=20.20.0.0/24 to-addresses=88.66.89.240
add action=src-nat chain=srcnat out-interface=WAN2 src-address=10.10.0.0/23 to-addresses=88.66.89.241

/ip firewall nat
add action= masquerade chain=srcnat out-interface=WAN1
add action= masquerade chain=srcnat out-interface=WAN2

5.Прописываем статически маршруты, обратите внимание, так как оба внешних ip-адреса провайдера используют один и тот же шлюз, мы добавляем через % имя интерфейса, с которого они выходят:

/ip route
add check-gateway=ping distance=1 gateway=88.66.89.1%WAN1 pref-src=88.66.89.240 routing-mark=WAN1_240
add check-gateway=ping distance=1 gateway=88.66.89.1%WAN2 pref-src=88.66.89.241 routing-mark=WAN2_241
add check-gateway=ping distance=1 gateway=88.66.89.1

6.Добавляем правила:

/ip route rule
add dst-address=20.20.0.0/24 action=lookup table=main
add dst-address=10.10.0.0/23 action=lookup table=main
add dst-address=88.66.89.0/24 action=lookup table=main

7.Настраиваем forwarding:

/ip firewall filter
add action=accept chain=forward src-address=20.20.0.0/24
add action=accept chain=forward dst-address=20.20.0.0/24
add action=accept chain=forward src-address=10.10.0.0/23
add action=accept chain=forward dst-address=10.10.0.0/23

С такой конфигураций оно вроде и работает, но как-то не стабильно что-ли, как-то не правильно.
Так-же не получилось с первого раза прописать доступ из WAN1 для серверов сети LAN1,
и так-же прописать доступ из WAN2 для серверов сети LAN2.

Да и что-то сложно как-то все, нельзя ли как-то проще сделать подобную конфигурацию?

[xvo]

1) Если бы и правда нужно было «из одного роутера сделать два», то все можно было бы реализовать проще - добавив вторую vfr (и просто по паре интерфейсов в каждой).
Но так как вы предполагаете доступы между этими vfr, то все-таки проще, как сейчас - когда роутер один.
2) Для доступа через чужой WAN надо перестраивать mangle - чтобы он сначала помечал соединения (и не только исходящие, но и входящие) - и уже на основе этих меток помечал роутинг.
Собственно, это в любом случае более правильный подход, даже просто с точки зрения нагрузки на железо.
Плюс должны быть убраны лишние условия из src-nat’ов - оставить только условия на исходящий интерфейс.

[Andrey_Ak]

1) Если бы и правда нужно было «из одного роутера сделать два», то все можно было бы реализовать проще - добавив вторую vfr (и просто по паре интерфейсов в каждой).

Ну собственно это и нужно сделать, чтоб один роутер заменял два.
Ходить между сетями LAN1 и LAN2 не нужно.
Не подскажите как реализовать?

Может так?

 

/ip address
add address=88.66.89.240/24 interface=WAN1
add address=88.66.89.241/24 interface=WAN2
add address=20.20.0.1/24 interface=LAN1
add address=10.10.0.1/23 interface=LAN2

/ip route
add gateway=88.66.89.1

# add VRF configuration
/ip vrf
add name=VRF_LAN1 interface=LAN1 place-before 0
add name=VRF_LAN2 interface=LAN2 place-before 0

# add vrf routes
/ip route
add gateway=88.66.89.1@main routing-table=VRF_LAN1
add gateway=88.66.89.1@main routing-table=VRF_LAN2

# masquerade local source
/ip firewall nat add chain=srcnat out-interface=WAN1 action=masquerade

# mark new customer connections
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new new-connection-mark=VRF_LAN1_CONN src-address=20.20.0.1/24 passthrough=no

add action=mark-connection chain=prerouting connection-state=new new-connection-mark=VRF_LAN2_CONN src-address=10.10.0.1/23 passthrough=no


# mark routing
/ip firewall mangle
add action=mark-routing chain=prerouting connection-mark=VRF_LAN1_CONN
in-interface=WAN1 new-routing-mark=VRF_LAN1

add action=mark-routing chain=prerouting connection-mark=VRF_LAN2_CONN
in-interface=WAN2 new-routing-mark=VRF_LAN2

Плюс должны быть убраны лишние условия из src-nat’ов - оставить только условия на исходящий интерфейс.

А какие там лишние условия?

[xvo]

Ну собственно это и нужно сделать, чтоб один роутер заменял два.
Ходить между сетями LAN1 и LAN2 не нужно.
Не подскажите как реализовать?

Может так?

Да по идее не нужно тогда вообще никаких mangle: в одну vrf - WAN1 и LAN1, во вторую - WAN2 и LAN2.
Ну и придумать что-то в основной таблице для самого роутера: либо один из дефолтных маршрутов продублировать, либо оба с разными метриками.

А какие там лишние условия?

На адрес источника.
Достаточно исходящего интерфейса.
Из какого пакет исходит, в тот адрес и натить.

[Andrey_Ak]

Да по идее не нужно тогда вообще никаких mangle: в одну vrf - WAN1 и LAN1, во вторую - WAN2 и LAN2.
Ну и придумать что-то в основной таблице для самого роутера: либо один из дефолтных маршрутов продублировать, либо оба с разными метриками.

Получается как-то так?

 

ip address
add address=88.66.89.240/24 interface=WAN1
add address=88.66.89.241/24 interface=WAN2
add address=20.20.0.1/24 interface=LAN1
add address=10.10.0.1/23 interface=LAN2

/ip route
add gateway=88.66.89.1

/ip route vrf
add interfaces=LAN1,WAN1 routing-mark=VRF_1
add interfaces=LAN2,WAN2 routing-mark=VRF_2

/ip route
add gateway=89.66.89.1%WAN1 routing-mark=VRF_1
add gateway=89.66.89.1%WAN2 routing-mark=VRF_2

/ip firewall nat add chain=srcnat out-interface=WAN1 action=masquerade
/ip firewall nat add chain=srcnat out-interface=WAN2 action=masquerade

[xvo]

Получается оно так, или нет - это уже вы скажите.
Но в голове выглядит, что как-то примерно так, да.
Только куда-то второй маскарад потерялся.
И не уверен, что в дефолтных маршрутах, которые руками создаются, надо ссылаться на таблицу main - там же по идее в каждой должен бы быть в наличии свой маршрут до шлюза.

[Andrey_Ak]

Исправил вроде, попробую проверить...

А как NAT настроить в таком конфиге и проброску портов?

[xvo]

Обычным образом.
Если не надо крест-накрест.

А если надо, то тут сходу не скажу, там надо между двумя vrf перекидывать.
Я вас сразу спросил про то насколько буквально надо понимать разделение "на два роутера".

[Andrey_Ak]

Я вас сразу спросил про то насколько буквально надо понимать разделение "на два роутера".

Да, буквально. Есть два роутера,
один роутер для сети LAN1 и использует первый WAN адрес провайдера,
и есть второй роутер для сети LAN2 и использует второй WAN адрес провайдера.

Суть даже не в том, чтоб сэкономить на одном роутере,
а просто интересно такое реализовать.

Так-же нужно проброску портов WAN1-LAN1 и WAN2-LAN2 организовать для обоих сетей и VPN для одной из сетей.

[xvo]

Тогда, по идее, без особенностей.
Только добавлять в dst-nat условия на то, с какого WAN пришло.