Russian Users MikroTik | Форум пользователей MikroTik

Приветсвую, всех !

Есть dual wan на Микротике. Wan1 получает статику с другого роутера, который выходит в Интернет. Wan-ом2 является ppp-out интерфейс модема со статическим IP.

Может кто-нибудь помочь - объяснить какие именно нужны правила в мангл и маршруты чтобы входящие соединения с обоих провайдеров уходили туда откуда пришли.

Никак не пойму такую вещь - кто-то маркирует цепочки input и output. Кто-то forward и postroiting. Перечитал кучу инструкций, но главного так и не понял. Как лучше и правильно то это делать ? Один админ сказал мне, что маркировать input вообще не правильно - устарелые все инструкции, кто маркирует в цепочке Инпут. Это так ?

В частности проблема в том, что на второй из WAN-ов снаружи приходят VPN-клиенты PPTP-сервера. Из-за неправильно настроенный манглов есть предположение, что исходящее соединение для pptp-клиента уходит в первый WAN.
Оба WAN должны использоваться одновременно с одинаковыми дистанциями.

Еще раз вопрос: как правильно промаркировать соединения и сделать роуты чтобы то, что пришло с wan1 ушло бы на wan1 и также соответственно и с wan2

С внутренней сети, как я понимаю, все равно куда кто уходит, а pptp-соединение должно уходить в WAN2. "Ответный трафик pptp-сервера для клиента" это же трафик, генерируемый самим роутером, - в какую цепочку он попадает (output или ...?)

Пожалуйста, тому, кто ответит нормально, заранее респект ! Не отсылайте, пожалуйста, к руководствам. Если не сочтете за труд положите в ответ маршруты и манглы и сильно не ругайте ...

И еще тупой вопрос - если создается два дефолтных маршрута для каждого из провайдеров, маркированных метками - на кой в инструкциях везде пишут, что нужен третий маршрут не маркированный ничем (для таблицы main) очевидно. Если все соединения маркируются и уходят по меткам зачем маршрут не маркированный нужен и почему без него ничего не работает - никак не могу понять ...

Недавно разъяснял и помогал тут человеку,
прочтите моё(и) сообщения

viewtopic.php?p=54361#p54361

Vlad-2, как всегда спасибо Вам большое. Вы, пожалуй, самый терпеливый, "учитель" на форуме - никогда не оставляете вопрошающих без внимания и стараясь не обижать никого сделать так, чтобы вопрошающий понял, в отличии от некоторых "звездных" товарищей ...

Из Ваших ответов в указанной Вами теме, видно, что Вы метите вообще все цепочки трафика - и input и forward и preroiting и output. Не могли бы Вы (для чайника) объяснить в кратце какие из них будут использоваться для "правильного" коннекта в виде VPN подключения. Правильно ли я понимаю, что для нормальной работы VPN-сервера (если он естественно имея один постоянный белый IP - работает через один из WAN-оф) достаточно метить только цепочки Input и Output, ведь соединения в этом случае устанавливаются с самим маршрутиризатором, который является VPN-сервером ?
То есть для нормальной работы этой части системы правила для мечения цепочек prerouting и forward не нужны - они используются для корректной работы соединений с сетями за роутером - правильно ?

Sertik писал(а): ↑19 июл 2018, 15:48 Vlad-2, как всегда спасибо Вам большое. Вы, пожалуй, самый терпеливый, "учитель" на форуме - никогда не оставляете вопрошающих без внимания и стараясь не обижать никого сделать так, чтобы вопрошающий понял, в отличии от некоторых "звездных" товарищей ...

Все мы люди, некоторые вопросы меня тоже иногда вводят в шок. Я посижу, морально остыну,
подумаю, прочитаю раза 5, и пробую ответить. Иногда я более глубоко пытаюсь понять смысл
повествования, чем надо, поэтому иногда (хи-хи) часто мои ответы не однострочные.

Sertik писал(а): ↑19 июл 2018, 15:48 Из Ваших ответов в указанной Вами теме, видно, что Вы метите вообще все цепочки трафика - и input и forward и preroiting и output. Не могли бы Вы (для чайника) объяснить в кратце какие из них будут использоваться для "правильного" коннекта в виде VPN подключения.

Боюсь что тут мы оба "чайника", ибо курс "Трафик контрол" для меня (по ощущениям сложен) и если я был сейчас в Москве,
или в городе где давали бы этот курс, наверно я бы не пошёл. Я морально кажется ещё не готов, особенно летом.

Я много инструкций видел, много читал и можно сказать я сделал по своему типу, мой конфиг позволяет юзать сразу
все каналы(в какой-то степени параллельности), ответы идут туда куда надо, а также естественно всё это можно слегка
управлять, и заворачивать (Васю туда, Машу суда).

На счёт маркировки, помечаю всё, так как это и работает и так правильно, ибо трафиком надо управлять, и для
этого надо на всех его промежутках видеть/контролировать.

Sertik писал(а): ↑19 июл 2018, 15:48 Правильно ли я понимаю, что для нормальной работы VPN-сервера (если он естественно имея один постоянный белый IP - работает через один из WAN-оф) достаточно метить только цепочки Input и Output, ведь соединения в этом случае устанавливаются с самим маршрутиризатором, который является VPN-сервером ?

Нет (я думаю).
ВПН это по сути тоже самое подключение, что RDP, что другие сервисы, Вы не просто делаете подключение, оно же Вам зачем то надо!?
Какой смысл, если я помечу ВПН на вход и на выход, ведь у микротика не всё что попало - сразу и вышло?!

Sertik писал(а): ↑19 июл 2018, 15:48 То есть для нормальной работы этой части системы правила для мечения цепочек prerouting и forward не нужны - они используются для корректной работы соединений с сетями за роутером - правильно ?

Думаю, что если сделать ТОЛЬКО маркировку на вход и выход, и сделать правильный маршрут (с этой же маркировкой) в таблице маршрутизации,
возможно поднятие ВПН по реальному адресу будет корректно отрабатываться, то есть роутер не перепутает, он будет знать куда отдавать ответные пакеты.
(не в шлюз по-умолчанию, в рамках реальных адресаций).

НО будет ли ВПН-трафик внутри работать, и всё остальное? Пойдут ли данные по такому ВПНу каналу?
Не пробовал, но думаю что "правильно" не будет работать.

P.S. (на счёт правильности...обобщённо)
один раз видел такую картину, в другом городе провайдер отключил контору(не уплата), но отключение
у них заключалось в том, что запрещены устанавливать новые подключение, старые сохранились, и что я вижу,
а вижу что туннель у меня поднят с ними, даже внутри туннеля параметр keepalive стоит и отрабатывает,
но внутри туннеля трафика нету, а так сразу и не понять....маршруты исправны, всё должно работать,
но по итогу не работает.

Спасибо ! Сегодня попробую Вашу схему вечерком. Не могли бы вы выложить к ней маршруты точные ( как я понимаю их должно быть три да ? два меченных для соответствующих Ванов и один общий без метки с указанием двух шлюзов в нем так ?

И еще вопрос. Если в локальной сети будут хосты, адреса которых "не засунуты" ни в один из адрес-листов куда к ним и от них трафик пойдет ? Через главную таблицу маршрутиризации - не меченную, то есть при указании маршрута вида 0.0.0.0/0 gateway WAN1, WAN2 такие "клиенты" будут равноценно пытаться ходить через одного и другого провайдера типа "балансировки" ?

Sertik писал(а): ↑19 июл 2018, 16:55 Спасибо ! Сегодня попробую Вашу схему вечерком. Не могли бы вы выложить к ней маршруты точные ( как я понимаю их должно быть три да ? два меченных для соответствующих Ванов и один общий без метки с указанием двух шлюзов в нем так ?

В моём примере я их приводил, там лишь скрыт адрес шлюза моего провайдера. Нового ничего там нет.

Должно быть столько шлюзов с маркировкой, сколько Вы каналов сделали. Ведь у каждого провайдера
свой шлюз/интерфейс
+
И для самого микротика, как для обычного скажем компа - мы делаем обычный шлюз, такой же как
обычно делаем без маркировки, я не использую сразу два шлюза, это не совсем правильно в данном варианте.
Микротику нужен шлюз по умолчанию чтобы всё что не явно описано, плюс то, что сам
микротик как устройство делает (исходящие соединения) - он же должен их куда-то посылать (по-умолчанию)?!
(теже ДНС запросы?!)

Если делать маршрут сразу с двумя шлюзами, у Вас будет как бы перебор между провайдерами,
этого в данном случаи нам не нужно.
Также напоминаю, команда ПИНГ и Трасерт в микротике имеют возможность
при настройки роутера явно выбирать через какой маршрут с маркировками посылать
запросы и тем самым корректно и сразу видеть как работает и отрабатывает настройки роутер.

Sertik писал(а): ↑19 июл 2018, 17:01 И еще вопрос. Если в локальной сети будут хосты, адреса которых "не засунуты" ни в один из адрес-листов куда к ним и от них трафик пойдет ? Через главную таблицу маршрутиризации - не меченную, то есть при указании маршрута вида 0.0.0.0/0 gateway WAN1, WAN2 такие "клиенты" будут равноценно пытаться ходить через одного и другого провайдера типа "балансировки" ?

Я выше ответил, нельзя использовать сразу в одном правиле два шлюза, у Вас может и будет возникать
такая ситуация, что зайдя на SSL страницу или скажем работая в онлайн-банке, первая часть
запросов уйдёт через первого провайдера, а вторая через второго = банк сразу не будет работать.

Поэтому я не маркированный шлюз по-умолчанию делаю на основного провайдера, и тогда мне не надо клиентов
засовывать всех(или условно всех) даже в этого основного провайдера, главное нужных завернуть во второго и всё.

Опять же, основных не маркированных шлюзов может быть больше одного,но с разным параметром дистанции,
то есть у нас основной не маркированный шлюз на прова1, дистанция1, а второй такой же шлюз, на прова2, с дистанцией
тоже два, и если первый упадёт, второй шлюз станет главным, и все туда всё равно пойдут.

P.S. (уговорили, даю скрин с роутера, с другого примера)
Там всё просто и тупо, первый канал большой, мощный и основной, кого то я
заруливаю во второй или в четвёртый канал. Третий провайдер был, но отказались,
поэтому логику оставил, 1, 2 и 4-й провайдер. Промаркированы они также последовательно.
Теперь обратите внимание (красным) выделил, основные маршруты, первый пров основной,
если он упадёт, перейдёт роутер по дефолту на второго провайдера (дистанция 2), и потом
уже на 4го провайдера (дистанция 3).

1. Так у вас маршруты еще и рекурсивные !

2. Цитата: Я выше ответил, нельзя использовать сразу в одном правиле два шлюза, у Вас может и будет возникать
такая ситуация, что зайдя на SSL страницу или скажем работая в онлайн-банке, первая часть
запросов уйдёт через первого провайдера, а вторая через второго = банк сразу не будет работать.

Почему нельзя ? А как же в большинстве инструкций так и делают - не правильно ?
Вот, например, .... http://unixteam.ru/content/mikrotik-i-dva-provaydera

3. Если дефолтный маршрут немаркированный делается только на одного провайдера - это совсем не интерестно. Если два дефолтных немаркированных с разными дистанциями - это еще куда ни шло.
Но почему в одном то маршруте нельзя указать оба шлюза ? Наверняка как то можно так делать ...