Один провайдер, два PPPoe, две подсети.

[Dennisok]

Доброго времени суток!

Микротик 2011 с SFP
Задача: настроить каждую подсеть на свой логин PPPoE, сети должны быть изолированными друг от друга, без балансировки и без резервирования каналов.

1. Провайдер по оптике отдает нам два логина PPPoE, VLAN 1302
2. Настроил подключение, поднимаются, адреса выдаются, адреса статические, отдельно по каждому подключению есть интернет
3. Две подсети 192.168.0.х и 192.168.2.х - настроены для каждой DHСP
4. При настройке PPPoE каждого убрал галочку "Add Default Route"
5. Вручную прописал route для каждого PPPoE
6. Nat для каждой подсети свой PPPoE
7. Через route rule изолировал подсети друг от друга

В итого: вторая подсеть получает интернет, первая нет.

Что не так сделал?

Собственно конфигурация:

 

# feb/28/2019 16:04:42 by RouterOS 6.44
# software id = UPFM-9JC1
#
# model = 2011UiAS-2HnD
# serial number = 608B01565C55
/interface bridge
add fast-forward=no name=LAN protocol-mode=none
add fast-forward=no name=LAN_Bitrix protocol-mode=none
add fast-forward=no name=WAN protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment=LAN_Local name=01-Ethernet
set [ find default-name=ether2 ] comment=LAN_Local name=02-Ethernet
set [ find default-name=ether3 ] comment=LAN_Local name=03-Ethernet
set [ find default-name=ether4 ] comment=LAN_Local name=04-Ethernet
set [ find default-name=ether5 ] comment=LAN_Local name=05-Ethernet
set [ find default-name=ether6 ] comment=Bitrix_LAN name=06-Ethernet
set [ find default-name=ether7 ] disabled=yes name=07-Ethernet
set [ find default-name=ether8 ] disabled=yes name=08-Ethernet
set [ find default-name=ether9 ] disabled=yes name=09-Ethernet
set [ find default-name=ether10 ] disabled=yes name=10-Ethernet
set [ find default-name=sfp1 ] arp=disabled comment=WAN_interface name=Sfp
/interface pppoe-client
add disabled=no interface=WAN keepalive-timeout=disabled max-mru=1480 \
max-mtu=1480 mrru=1600 name=PPPoE password=96358955268 service-name=\
Internet use-peer-dns=yes user=77596504847
add disabled=no interface=WAN keepalive-timeout=disabled max-mru=1480 \
max-mtu=1480 mrru=1600 name=PPPoE_Bitrix password=93775383838 \
service-name=Bitrix use-peer-dns=yes user=77596616965
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge name=Wi-Fi ssid=\
MikroTik wps-mode=disabled
/interface vlan
add arp=disabled interface=Sfp name=VLAN_1302_PPPoE vlan-id=1302
/interface wireless security-profiles
set [ find default=yes ] authentication-types=\
wpa-psk,wpa2-psk,wpa-eap,wpa2-eap mode=dynamic-keys supplicant-identity=\
MikroTik wpa-pre-shared-key=31415926 wpa2-pre-shared-key=31415926
/ip pool
add name=DHCP_pool ranges=192.168.0.10-192.168.0.100
add name=Bitrix_pool ranges=192.168.2.10-192.168.2.20
/ip dhcp-server
add address-pool=DHCP_pool authoritative=after-2sec-delay disabled=no \
interface=LAN name=DHCP
add address-pool=Bitrix_pool authoritative=after-2sec-delay disabled=no \
interface=LAN_Bitrix name=DHCP_Bitrix
/interface bridge port
add bridge=LAN hw=no interface=01-Ethernet
add bridge=LAN hw=no interface=02-Ethernet
add bridge=LAN hw=no interface=03-Ethernet
add bridge=LAN hw=no interface=04-Ethernet
add bridge=LAN hw=no interface=05-Ethernet
add bridge=WAN interface=VLAN_1302_PPPoE
add bridge=LAN_Bitrix hw=no interface=06-Ethernet
add bridge=LAN interface=Wi-Fi
/ip address
add address=192.168.0.1/24 interface=LAN network=192.168.0.0
add address=192.168.2.1/24 interface=LAN_Bitrix network=192.168.2.0
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24
add address=192.168.2.0/24 gateway=192.168.2.1 netmask=24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=PPPoE src-address=\
192.168.0.0/24
add action=masquerade chain=srcnat out-interface=PPPoE_Bitrix src-address=\
192.168.2.0/24
/ip route
add distance=1 gateway=PPPoE_Bitrix
add distance=1 gateway=PPPoE
/ip route rule
add action=unreachable dst-address=192.168.2.0/24 src-address=192.168.0.0/24
add action=unreachable dst-address=192.168.0.0/24 src-address=192.168.2.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
/ip ssh
set allow-none-crypto=yes
/lcd
set default-screen=interfaces
/lcd interface pages
set 0 interfaces=Wi-Fi
/system clock
set time-zone-name=Asia/Yekaterinburg

[KARaS'b]

Вангую что при этом у вас один из маршрутов подсвечен синим (и скорее всего это - "PPPoE"), что сигнализирует о его не активности, т.к. у них одинаковые дистансы, а поскольку в правиле маскарада четко указано что сеть 0.0/24 маскарадить только через этот интерфейс, то у вас ничего и не работает.
Разметьте манглом трафик от этой сети, а в маршруте укажите эту метку и у все у вас заработает.

[Dennisok]

Да, вангование сработало и именно на PPPoE

Изменил:
/ip route
add distance=2 gateway=PPPoE routing-mark=RT_rout
add distance=1 gateway=PPPoE_Bitrix
/ip route rule
add action=unreachable dst-address=192.168.2.0/24 src-address=192.168.0.0/24
add action=unreachable dst-address=192.168.0.0/24 src-address=192.168.2.0/24

И добавил:
/ip firewall mangle
add action=mark-connection chain=input in-interface=PPPoE new-connection-mark=LAN_con passthrough=yes
add action=mark-routing chain=output connection-mark=LAN_con new-routing-mark=RT_rout passthrough=yes
add action=mark-connection chain=forward in-interface=PPPoE new-connection-mark=LAN_con_f passthrough=yes
add action=mark-routing chain=prerouting connection-mark=LAN_con_f new-routing-mark=RT_rout passthrough=yes

Маршрут стал не синий, пакеты на мангле 0, 1 стали накапливаться, на 3,4 по нулям.
Что еще не так сделал?

[Vlad-2]

Изменил:
/ip route
add distance=2 gateway=PPPoE routing-mark=RT_rout
add distance=1 gateway=PPPoE_Bitrix

Если у маршрутов разные таблицы, то дистанс можно одинаковый использовать.
То есть у маршрута с маркировкой RT-rout если будет дистанс хоть 1 или 2 = разницы не будет.

И добавил:
/ip firewall mangle
add action=mark-connection chain=input in-interface=PPPoE new-connection-mark=LAN_con passthrough=yes
add action=mark-routing chain=output connection-mark=LAN_con new-routing-mark=RT_rout passthrough=yes
add action=mark-connection chain=forward in-interface=PPPoE new-connection-mark=LAN_con_f passthrough=yes
add action=mark-routing chain=prerouting connection-mark=LAN_con_f new-routing-mark=RT_rout passthrough=yes

Попробуйте второе правило (output) сделать его четвёртым(последним).

[KARaS'b]

И добавил:
/ip firewall mangle
add action=mark-connection chain=input in-interface=PPPoE new-connection-mark=LAN_con passthrough=yes
add action=mark-routing chain=output connection-mark=LAN_con new-routing-mark=RT_rout passthrough=yes
add action=mark-connection chain=forward in-interface=PPPoE new-connection-mark=LAN_con_f passthrough=yes
add action=mark-routing chain=prerouting connection-mark=LAN_con_f new-routing-mark=RT_rout passthrough=yes

Маршрут стал не синий, пакеты на мангле 0, 1 стали накапливаться, на 3,4 по нулям.
Что еще не так сделал?

Если до этого у вас ничего не размечалось, то вы перемудирили, для того, что бы выпулить сеть в интернет достаточно только этого

Код: Выделить всё

add action=mark-routing chain=prerouting new-routing-mark=RT_rout passthrough=yes src-address=192.168.0.0/24

[Dennisok]

Если у маршрутов разные таблицы, то дистанс можно одинаковый использовать.
То есть у маршрута с маркировкой RT-rout если будет дистанс хоть 1 или 2 = разницы не будет.

Дистанс изменил на 1

Попробуйте второе правило (output) сделать его четвёртым(последним).

Перенес второе на четвертое, соответственно 3 и 4 стали на -1

Интернета нет, в хроме при обновлении страницы: "DNS_PROBE_FINISHED_NO_INTERNET"

[Vlad-2]

Интернета нет, в хроме при обновлении страницы: "DNS_PROBE_FINISHED_NO_INTERNET"

Ну надо трассертом проверять...
как идут пакеты, куда,
так что с компа
tracert -d 8.8.8.8
(вдруг DNS ещё не настроен)

[Vlad-2]

Перенес второе на четвертое, соответственно 3 и 4 стали на -1

И ещё:
а счётчик правил срабатывает? в Манглах?

[Dennisok]

Если до этого у вас ничего не размечалось, то вы перемудирили, для того, что бы выпулить сеть в интернет достаточно только этого

Код: Выделить всё

add action=mark-routing chain=prerouting new-routing-mark=RT_rout passthrough=yes src-address=192.168.0.0/24

Как говорят испанцы: Мучос грасиас!

Убрал четыре манге и прописал только эту строку, вуаля, и все заработало!

PS: Кстати, в поиске решения моего вопроса по интернету находил множество ответов такого плана: один провайдер - две подсети, два провайдера - одна сеть, два провайдера - два подсети (резервирование и/или балансировка), ну никак не мог найти такую схему как у меня. Так что, выкладываю готовое минимальное решение без излишних настроек/надстроек, убрал Wi-Fi настройки.

 

# mar/01/2019 14:25:39 by RouterOS 6.44
# software id = UPFM-9JC1
#
# model = 2011UiAS-2HnD
# serial number = 608B01565C55
/interface bridge
add fast-forward=no name=LAN protocol-mode=none
add fast-forward=no name=LAN_Bitrix protocol-mode=none
add fast-forward=no name=WAN protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment=LAN_Local name=01-Ethernet
set [ find default-name=ether2 ] comment=LAN_Local name=02-Ethernet
set [ find default-name=ether3 ] comment=LAN_Local name=03-Ethernet
set [ find default-name=ether4 ] comment=LAN_Local name=04-Ethernet
set [ find default-name=ether5 ] comment=LAN_Local name=05-Ethernet
set [ find default-name=ether6 ] comment=Bitrix_LAN name=06-Ethernet
set [ find default-name=ether7 ] disabled=yes name=07-Ethernet
set [ find default-name=ether8 ] disabled=yes name=08-Ethernet
set [ find default-name=ether9 ] disabled=yes name=09-Ethernet
set [ find default-name=ether10 ] disabled=yes name=10-Ethernet
set [ find default-name=sfp1 ] arp=disabled comment=WAN_interface name=Sfp
/interface pppoe-client
add disabled=no interface=WAN keepalive-timeout=disabled max-mru=1480 \
max-mtu=1480 mrru=1600 name=PPPoE password=96358955268 service-name=\
Internet use-peer-dns=yes user=77596504847
add disabled=no interface=WAN keepalive-timeout=disabled max-mru=1480 \
max-mtu=1480 mrru=1600 name=PPPoE_Bitrix password=93775383838 \
service-name=Bitrix use-peer-dns=yes user=77596616965
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge name=Wi-Fi ssid=\
MikroTik wps-mode=disabled
/interface vlan
add arp=disabled interface=Sfp name=VLAN_1302_PPPoE vlan-id=1302
/ip pool
add name=DHCP_pool ranges=192.168.0.10-192.168.0.100
add name=Bitrix_pool ranges=192.168.2.10-192.168.2.20
/ip dhcp-server
add address-pool=DHCP_pool authoritative=after-2sec-delay disabled=no \
interface=LAN name=DHCP
add address-pool=Bitrix_pool authoritative=after-2sec-delay disabled=no \
interface=LAN_Bitrix name=DHCP_Bitrix
/interface bridge port
add bridge=LAN hw=no interface=01-Ethernet
add bridge=LAN hw=no interface=02-Ethernet
add bridge=LAN hw=no interface=03-Ethernet
add bridge=LAN hw=no interface=04-Ethernet
add bridge=LAN hw=no interface=05-Ethernet
add bridge=WAN interface=VLAN_1302_PPPoE
add bridge=LAN_Bitrix hw=no interface=06-Ethernet
add bridge=LAN interface=Wi-Fi
/ip address
add address=192.168.0.1/24 interface=LAN network=192.168.0.0
add address=192.168.2.1/24 interface=LAN_Bitrix network=192.168.2.0
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24
add address=192.168.2.0/24 gateway=192.168.2.1 netmask=24
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=RT_rout \
passthrough=yes src-address=192.168.0.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=PPPoE src-address=\
192.168.0.0/24
add action=masquerade chain=srcnat out-interface=PPPoE_Bitrix src-address=\
192.168.2.0/24
/ip route
add distance=1 gateway=PPPoE routing-mark=RT_rout
add distance=1 gateway=PPPoE_Bitrix
/ip route rule
add action=unreachable dst-address=192.168.2.0/24 src-address=192.168.0.0/24
add action=unreachable dst-address=192.168.0.0/24 src-address=192.168.2.0/24