Страница 1 из 2
Проброс портов через два WAN (два провайдера) как?
Добавлено: 14 мар 2014, 04:40
TDA
Микротик настроен на работу с двумя провайдерами.
Первый и второй порт настроены как wan, один провайдер основной, второй запасной.
У второго убрана галочка:
"add-default-route=yes"
и прописано:
Код: Выделить всё
/ip route add dst-address=0.0.0.0/0 gateway="второй пров" distance=2 check-gateway=ping
Задача обеспечить доступ к внутренним ресурсам извне, через оба провайдера.
Сделал проброс портов по этому мануалу:
http://habrahabr.ru/post/182166/Для первого провайдера всё заработало, а вот с вторым никак.
Логически понимаю, что видимо простой проброс тут не поможет, т.к. пакет приходя через интерфейс 2 назад улетает черех интерфейс 1 т.к. именно у него в данный момент есть "шлюз по умолчанию".
Поиск в интернете выдал кучу мануалов настройки на всяких Линуксах.
А вот как это провернуть на Микротике?
Re: Проброс портов через два WAN (два провайдера) как?
Добавлено: 14 мар 2014, 06:30
vqd
Проброс ровно такой же как и при работе с одним провайдером и с 10-ю
Причину вы сами назвали, так вот ее и устраните.
Вам ни кто не мешает маркировать соединения на входе и потом их же отправлять назад через того же оператора через который они пришли
Re: Проброс портов через два WAN (два провайдера) как?
Добавлено: 14 мар 2014, 08:36
TDA
Вот про эту "маркировку соединений" и хотелось бы узнать подробнее, желательно с примерами.
Re: Проброс портов через два WAN (два провайдера) как?
Добавлено: 14 мар 2014, 08:51
vqd
Re: Проброс портов через два WAN (два провайдера) как?
Добавлено: 14 мар 2014, 10:49
TDA
Тут вроде раздел для начинающих :)
Мануал может и подробно описывает функции каждой опции.
Но как из них сложить готовый вариант - может у кого есть удачный пример?
Re: Проброс портов через два WAN (два провайдера) как?
Добавлено: 14 мар 2014, 17:17
podarok66
Готовый вариант Вам врядли тут будут писать. Если бы кто-то пользовался подобной схемой и поделился, я бы сказал, что Вам повезло. А так вариантов ровно три:
1. Ждем, а вдруг кто сжалится
2. Сидим, грызем мануал до полного просветления и потом настраиваем уже спокойно сами, посматриваю на наводящие подсказки vqd
3. Заказываем платную настройку
Re: Проброс портов через два WAN (два провайдера) как?
Добавлено: 17 мар 2014, 07:49
TDA
Нашёл вроде как готовое решение:
viewtopic.php?f=1&t=3214Barvinok писал(а):В очередной раз плотненько пройдясь по
руководству iptables сам же и отвечаю.
Данная задача решается двумя правилами. Сначала подменяем адрес получателя:
Код: Выделить всё
chain=dstnat action=dst-nat to-addresses=192.168.10.1 to-ports=80 protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-port=80
Затем пакет пройдя по цепочке Forward попадает в цепочку Postrouting, где мы меняем ему адрес источника (на адрес внутреннего интерфейса Mikrotik):
Код: Выделить всё
chain=srcnat action=src-nat to-addresses=192.168.10.2 protocol=tcp dst-address=192.168.10.1 dst-port=80
В данном случае, dst-address и dst-port служат лишь приметами, по которым вычисляются пакеты, в которых необходимо заменить адрес источника. Я сначала сомневался, будет ли это работать, хотел помечать в первом правиле с помощью mangle... Но потом решил попробовать.
Работает!
К слову сказать, так же двумя правилами и командой
mapping можно было опубликовать в интернет весь хост. Но мне то нужен был лишь один порт.
Вот в этом примере не указано какие ip (а их три: 192.168.10.1 192.168.10.2 и xxx.xxx.xxx.xxx) адреса принадлежат Микротику, удалённому компу и где в этих правилах собсно интерфейс второго провайдера?
Re: Проброс портов через два WAN (два провайдера) как?
Добавлено: 17 мар 2014, 08:14
vqd
мда
Код: Выделить всё
/ip route
add distance=1 gateway=62.xxx.xxx.xxx routing-mark=wan2
add distance=1 gateway=10.yyy.yyy.yyy routing-mark=wan1
/ip firewall mangle
add action=mark-connection chain=forward in-interface=ether1-wan1 new-connection-mark=in_wan1_for
add action=mark-routing chain=prerouting connection-mark=in_wan1_for new-routing-mark=wan1 src-address=172.100.0.0/24
add action=mark-connection chain=forward in-interface=ether2-wan2 new-connection-mark=in_wan2_for
add action=mark-routing chain=prerouting connection-mark=in_wan2_for new-routing-mark=wan2 src-address=172.100.0.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-wan1
add action=masquerade chain=srcnat out-interface=ether2-wan2
Re: Проброс портов через два WAN (два провайдера) как?
Добавлено: 18 мар 2014, 04:31
TDA
Спасибо большое!
Пришлось немного подумать, как под свои настройки переделать.
Но в итоге всё заработало.
Re: Проброс портов через два WAN (два провайдера) как?
Добавлено: 18 мар 2014, 08:19
TDA
Остался последний вопрос - как получить доступ к самому Микротику с второго интерфейса?
Порт открыт, но подключится получается только с первого.
И даже идей нет - где тут то затык?