понедельник, 17 августа 2009 г.

MiktoTik - Два провайдера - распределение по каналам


После добавления в нашу тестовую конфигурацию второго провайдера появилась проблема ответа определенных сервисов по нужному каналу, если обращаться к ним из вне через NAT.

На пример веб сервер, выведенный через NAT на IP адрес первого провайдера получает запрос, а вот вероятность того, что ответ пойдет по нужному каналу уже не 100%. Какой же он после этого веб сервер?


Решить эту проблему нам поможет механизм маркировки пакетов.

Таблица MANGLE предназначена для операций по классификации и маркировке пакетов и соединений, а также модификации заголовков пакетов.
В частности нас интересует цепочка PREROUTING, которая позволяет маркировать пакет до маршрутизации.

Попробуем разобраться с веб сервером.

Допустим у нас настроен NAT 80 порта с внешнего IP 192.168.1.116 (ISP1, первый провайдер) на 80 порт веб сервера в локальной сети и необходимо гарантировать, что все ответы, которые буду идти от веб сервера попадали на шлюз первого провайдера.


Вот правило для таблицы NAT.
[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.1.116
protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.2 to-ports=80
comment="NAT 80 port from ISP1 to local web server"

[mkt@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=!LOCAL

1 ;;; NAT 80 port from ISP1 to local web server
chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80
protocol=tcp dst-address=192.168.1.116 dst-port=80

Первым шагом создадим правило в таблице MANGLE.
[mkt@MikroTik] > ip firewall mangle add chain=prerouting  src-address=192.168.0.2
protocol=tcp src-port=80 action=mark-routing new-routing-mark=to-isp1

[mkt@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting action=add-src-to-address-list protocol=tcp
address-list=test_list address-list-timeout=0s dst-port=23

1 chain=prerouting action=mark-routing new-routing-mark=to-isp1
passthrough=yes protocol=tcp src-address=192.168.0.2 src-port=80

Пакеты с локального адреса 192.168.0.2 с 80 порта буду маркироваться как to-isp1.

Вторым шагом добавим правило в таблицу маршрутизации.

[mkt@MikroTik] > ip route add gateway=192.168.1.249 routing-mark=to-isp1


[mkt@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.1.249 r... 1
1 A S 0.0.0.0/0 192.168.1.249 r... 1
192.168.1.249 r...
192.168.222.1 r...
2 ADC 192.168.0.0/24 192.168.0.1 LOCAL 0
3 ADC 192.168.1.0/24 192.168.1.116 ISP1 0
4 ADC 192.168.222.0/24 192.168.222.100 ISP2 0
Все что приходит с маркером to-isp1 отправляется на шлюз первого провайдера.

Теперь усложним ситуацию, допустим второй провайдер предоставят на выгодных условиях большую локальную сеть по всему городу и через эту сеть объединены все 10 филиалов вашей фирмы. Все филиалы и офис пользуются тем же сайтом, но какой смысл ходить на него через первого провайдера, когда можно настроить доступ к нему практически локально.

В первую очередь добавляем правило в таблицу NAT, по которому все запросы, пришедшие на внешний IP адрес, который предоставляет 2-ой провайдер, на 80 порт будут переадресовываться на 80 порт локального веб сервера.
[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.222.100
protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.2 to-ports=80
comment="NAT 80 port from ISP2 to local web server"

[mkt@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=!LOCAL

1 ;;; NAT 80 port from ISP1 to local web server
chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80
protocol=tcp dst-address=192.168.1.116 dst-port=80

2 ;;; NAT 80 port from ISP2 to local web server
chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80
protocol=tcp dst-address=192.168.222.100 dst-port=80


Следующим шагом добавим в таблицу MANGLE еще одно правило:
[mkt@MikroTik] > ip firewall mangle add chain=prerouting src-address=192.168.0.2
protocol=tcp src-port=80 dst-address=192.168.222.0/24 action=mark-routing
new-routing-mark=to-isp2

[mkt@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting action=add-src-to-address-list protocol=tcp
address-list=test_list address-list-timeout=0s dst-port=23

1 chain=prerouting action=mark-routing new-routing-mark=to-isp2
passthrough=yes protocol=tcp src-address=192.168.0.2
dst-address=192.168.222.0/24 src-port=80

2 chain=prerouting action=mark-routing new-routing-mark=to-isp1
passthrough=yes protocol=tcp src-address=192.168.0.2 src-port=80

Пакеты с локального адреса 192.168.0.2 с 80 порта буду маркироваться как to-isp2 если они предназначены для подсети второго провайдера.

Ну и в заключении правило в таблице маршрутизации:

[mkt@MikroTik] > ip route add gateway=192.168.222.1 routing-mark=to-isp2

[mkt@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.1.249 r... 1
1 A S 0.0.0.0/0 192.168.222.1 r... 1
2 A S 0.0.0.0/0 192.168.1.249 r... 1
192.168.1.249 r...
192.168.222.1 r...
3 ADC 192.168.0.0/24 192.168.0.1 LOCAL 0
4 ADC 192.168.1.0/24 192.168.1.116 ISP1 0
5 ADC 192.168.222.0/24 192.168.222.100 ISP2 0
Теперь на запросы, пришедшие со стороны первого провайдера, ответ пойдет на шлюз первого провайдера, а на запросы со стороны второго провайдера и из подсети второго провайдера ответ пойдет на шлюз второго провайдера.

Продолжение следует.

Progg it

48 комментариев:

  1. Отлично! Спасибо за труд! Хотелось бы поподробнее про QOS а конкретнее про приоритезацию трафика по типам-чтобы при включенном торренте открывались хтмл-страницы без тормозов.Заранее благодарен!

    ОтветитьУдалить
  2. С фильтрами QOS будут примеры?

    ОтветитьУдалить
  3. > С фильтрами QOS будут примеры?

    Будут, надо время найти, что бы написать.

    ОтветитьУдалить
  4. А как можно поднять 2 РРРое на 450G с двух Адсл модемов включенных в бридж???? И возможно ли их сбалансировать?

    ОтветитьУдалить
  5. Привет что у меня тут не правильно???? Есть проблемы с автгоризацией на некоторых сайтах.
    За микротиком стоит прокся каналы балансируються ну как-то не тек больше на WAN1 идет.
    /ip addres
    add address=192.168.2.1/24 network=192.168.2.0 broadcast=192.168.2.255 interface=LAN
    add address=192.168.1.2/24 network=192.168.1.0 broadcast=192.168.1.255 interface=WAN1
    add address=192.168.3.2/24 network=192.168.3.0 broadcast=192.168.3.255 interface=WAN2
    /ip firewall mangle
    chain=prerouting action=mark-connection new-connection-mark=WAN1 passthrough=no connection-state=new src-address=192.168.2.0/24 nth=2,1
    chain=prerouting action=mark-routing new-routing-mark=WAN1 passthrough=yes src-address=192.168.2.0/24 connection-mark=WAN1
    chain=prerouting action=mark-connection new-connection-mark=WAN2 passthrough=yes connection-state=new src-addresss=192.168.2.0/24
    chain=prerouting action=mark-routing new-routing-mark=WAN2 passthrough=yes src-address=192.168.2.0/24 connection-mark=WAN2
    /ip route
    add dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=255 target-scope=10 routing-mark=WAN1
    add dst-address=0.0.0.0/0 gateway=192.168.3.1 scope=255 target-scope=10 routing-mark=WAN2
    add dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=255 target-scope=10
    /ip firewall nat
    add chain=srcnat out-interface=WAN1 action=masquerade
    add chain=srcnat out-interface=WAN2 action=masquerade

    Заранее благодарен!!!!

    ОтветитьУдалить
  6. здравствуйте! Напишите как xen настроить

    ОтветитьУдалить
  7. Добрый день ! спасибо за толковые статьи. У меня так же вопрос. Есть три интерфейса 2 WAN (ADSL) и один LAN. Нужно сделать балансировку для внутренней сети, пробросить RDP(в локалку), telnet (для микротик) порты для входа снаружи, а также на mikrotik поднят pptp сервер Сделал балансировку - все ок пробросил RDP - ок, а вот pptp проблема. Этот порт пробрасывать не надо - его надо заставить ходить по тому интерфейсу по которому пришел запрос, а бывает так что запрос приходит через wan1 а ответ идет по wan2 точно так же и с telnet. Очень жду помощи

    ОтветитьУдалить
  8. > Этот порт пробрасывать не надо - его надо заставить
    > ходить по тому интерфейсу по которому пришел запрос,
    > а бывает так что запрос приходит через wan1 а ответ
    > идет по wan2 точно так же и с telnet.

    Сам микротик пытается ходить на шлюз по умолчанию, если у него там прописано два адреса, то он и будет пытаться раскидывать запросы.
    Я всегда стараюсь помечать пользовательский трафик, что бы потом иметь возможность направлять его по любому из каналов насильно. Как предложение - создайте шлюз по умолчанию с одним каналом, что бы им пользовался микротик. Далее пометьте трафик пользователей и создайте в таблице маршрутизации правило с балансировкой, но что бы в него попадали только пакеты, помеченные этим маркером.

    ОтветитьУдалить
  9. Сорри за наглость - могете тыкнуть носом, как пометить трафик юзеров и как создать правило для балансировки ?

    ОтветитьУдалить
  10. тут вопрос такой: нужно подключаться к pptp серверу на микротике из вне через оба интерфейса WAN !!! (в этом самая большая проблема) и при этом балансировать каналы для внутренних пользователей

    ОтветитьУдалить
  11. > как пометить трафик юзеров
    Как один из вариантов http://slagovskiy.blogspot.com/2010/02/mikrotik-netflow-analyzer.html

    > и как создать правило для балансировки ?
    По балансировки в этой теме и в http://slagovskiy.blogspot.com/2009/08/miktotik.html, многое в комментариях.

    ОтветитьУдалить
  12. > тут вопрос такой: нужно подключаться к pptp серверу
    > на микротике из вне через оба интерфейса WAN !!!
    > (в этом самая большая проблема) и при этом балансировать
    > каналы для внутренних пользователей

    По моему никакой проблемы нет, два vpn, в результате для виртуальных интерфейса, да, получается некая таблица маршрутизации, которую будет создавать само vpn подключение, для хождения пользователей можно переопределить свои правила маршрутизации, используя в качестве шлюзов точки входа, которые создаются vpn-ами.

    ОтветитьУдалить
  13. Сергей, добрый день.
    прошу помощи. есть микротики,через них идут клиенты,nat'ом.возникла необходимость части клиентов сделать роутинг,т.е. выдавать белые адреса.
    вроде как все делаю правильно, в итоге получаю то, что выхожу в интернет с реальным ip адресом, из внешней сети к моему ip можно подключиться по любому протоколу,снифер видит все входящие соединения,адреса источников верные,НО icmp на адрес не проходит,т.е. я вижу что icmp request доходит до меня, а вот мой комп почему то не хочет отвечать на него. причем если пинговать с микротика, то адрес пингуется, и если пинговать адрес микротика, который является шлюзом для абонента, то он тоже пингуется, т.е. проблема где то на микротике, уже второй день сравниваю icmp пакеты, не могу понять, где косяк.
    пните в какую нибудь сторону.
    с уважением.

    ОтветитьУдалить
  14. > пните в какую нибудь сторону.

    В свое время, когда я настраивал маршрутизацию между офисами, причем задача была отдавать разные протоколы по разным провайдерам в зависимости от того к какому провайдеру подключен офис-получатель, мне сильно помог Packet sniffer, через фильтр можно ограничить что ты хочешь промониторить, на каком интерфейсе, куда и кто посылает и по какому интерфейсу уходит ответ.

    ОтветитьУдалить
  15. packet sniffer не противоречит wireshark на тестовом компьютере. т.е. видно, что реквест прилетает на внешний интерфейс и улетает через внутренний, а в ответ тишина(хотя сам комп в своей сети на ping отвечает, даже тому же МТ, через который он выходит во внешний мир).
    сейчас вот сравнил показания с двух МТ, через один пытаемся дать белые адреса, через другой идёт опрос мониторингом коммутаторов из другой сети.
    в итоге, на том, через которые связаны несколько сетей(172.31.0.0\16 - промежуточная сеть - 172.30.0.0\16):
    http://s46.radikal.ru/i111/1009/c5/59f09ea6ce4b.jpg

    на том, через которые пытаемся смаршрутизировать белые адреса:
    http://s56.radikal.ru/i151/1009/c1/c75e5888a056.jpg

    видим, что в одном случае у нас 3 паета на одну сторону, а в другом 5, а ответа нет.
    почему такая разница может возникнуть?

    ОтветитьУдалить
  16. > почему такая разница может возникнуть?

    а как для клиента сделан nat?

    ОтветитьУдалить
  17. Сергей, открыл ветку на Вашем форуме:
    http://slagovskiy.49.forumer.com/viewtopic.php?f=3&t=21

    ОтветитьУдалить
  18. Сергей, здравствуйте, подскажите пожалуйста, в случае работы через прокси МТ, как правильно отмаркировать пакеты идущие с самого МТ, с целью балансировки прокси или списки адресов через нужный WAN ?

    ОтветитьУдалить
  19. Приветствую
    подскажите, а как быть с 3-мя провайдерами?
    то же самое что и с 2-мя или есть какие то тонкости?

    ОтветитьУдалить
  20. > как правильно отмаркировать пакеты идущие с самого МТ

    я бы сказал как удобнее Вам, сработает и тот и другой вариант

    ОтветитьУдалить
  21. > подскажите, а как быть с 3-мя провайдерами?
    > то же самое что и с 2-мя или есть какие то тонкости?

    Нет, ровно тоже самое.

    ОтветитьУдалить
  22. >сработает и тот и другой вариант

    спросил как правильно, потому что цепочка output предназначенная вроде как для этого дела, не работает, верней работает, пакеты уходят c WAN2 (Tx)но не возвращаются - фаирвол выключен, интерфейс и шлюз рабочие...

    /ip firewall mangle
    chain=output action=mark-routing new-routing-mark=WAN2 passthrough=yes dst-port=80

    маркировал совместно с этим и конэкшены и пакеты, ни в какую...

    правило в маршрутизации соответственно тоже есть с указанием шлюза и марк-а

    какие могут быть варианты ?
    с уважением, Леонид

    ОтветитьУдалить
  23. Здравствуйте, очень хорошие статьи, но хотелось бы знать а пример с 2 провайдерами, когда 2 выступает в качестве резервного канала(если исп-1 отваливается, то переключается на исп-2, а когда появляется исп-1, исп-2 отключается) будут? если нет то может подскажите где подобное можно посмотреть?

    ОтветитьУдалить
  24. > если исп-1 отваливается, то переключается на исп-2

    нет, в данной конфигурации будет теряться половина запросов, если придумывать автоматическое резервное переключение, то имеет смысл смотреть на /tool netwatch, а там уже писать скрипты, которые будут переключаться с одного канала на другой в случае потери связи.

    ОтветитьУдалить
  25. а что насчет предыдущего вопроса, почему игнорируем, или нет ответа ?

    Леонид.

    ОтветитьУдалить
  26. > а что насчет предыдущего вопроса, почему игнорируем, или нет ответа ?

    не всегда можно полностью представить картину в голове, что бы что то конкретное советовать, да я не всегда бываю прав, порой комментарий в две строчки оборачивается общением на 3-и дня в почте и удаленным подключением к микротику, что бы помочь.

    > /ip firewall mangle
    chain=output action=mark-routing new-routing-mark=WAN2 passthrough=yes dst-port=80

    > маркировал совместно с этим и конэкшены и пакеты, ни в какую...

    Вообще есть такая цепочка как prerouting, т.е. то, что до маршрутизации и именно тогда можно приклеить новый маркер, по которому потом будет отрабатывать таблица маршрутизации.

    Если попробуете по подробнее описать Вашу проблему, можно на почту, то я постараюсь свой взгляд на возможное решение.

    ОтветитьУдалить
  27. Сергей
    у меня проблема
    балансировка работает
    настраивал по Вашей статье
    а вот проблема в следующем
    имеем
    2 провайдера
    балансировка нагрузки сделана по вашему примеру
    на каждом провайдере слушается один и тот же порт и натом отправляется во внутреннюю сеть
    затык в том, что если к примеру зашли через одного провайдера к примеру по сшш
    то то же самое не получается сделать через второго
    те получается что ответы с внутреннего адреса уходят не туда, от куда идёт запрос
    из этой статьи не совсем понял как сделать
    чтобы всё что пришло с прова 1 к нему и возвращалось?
    и можно ли это сделать со всем трафиком, а не с конкретным как в примере http?

    ОтветитьУдалить
  28. > чтобы всё что пришло с прова 1 к нему и возвращалось?

    я такие вещи закрепляю за одним провайдером, т.е. если открыт пор, то он отрут на определенном белом адресе, все заходят на него, ответы насильно передаются на этого провайдера.

    делает очень просто, считаем что на первом провайдере у нас уже открыт nat и запросы приходят с сети первого провайдера.

    1 шаг, надо пометить ответы маркером для последующего роутинга.

    /ip firewall mangle add chain=prerouting src-address=192.168.1.1 protocol=tcp src-port=80 action=mark-routing new-routing-mark=route-to-isp1

    в результате этого все ответы с 80-го порта машины 192.168.1.1 будут помечаться маркером route-to-isp1

    2 шаг, передавать пакеты с маркером route-to-isp1 на определенный шлюз

    /ip route add dst-address=0.0.0.0 gateway=81.82.83.84 routing-mark=route-to-isp1

    у меня некоторые сервисы работают наружу для всех по одному каналу, а по другому эти сервисы доступны только для наших филиалов (аля подсеть внутри сети провайдера), в таком варианте я вывожу nat-ом порт на двух каналах, первый для всех и для него пакеты помечаются как описано выше, для второго канала, который обслуживает филиалы, первое правило чуть "уточняется":

    /ip firewall mangle add chain=prerouting src-address=192.168.1.1 dst-address=195.195.195.195 protocol=tcp src-port=80 action=mark-routing new-routing-mark=route-to-isp2

    т.е. добавляется dst-address=195.195.195.195 что означает, что маркером route-to-isp2 будут помечены только те пакеты, которые предназначены конкретному филиалу (можно указать сразу подсеть), а дальше еще одно правило для таблицы маршрутизации, что бы передавать пакеты с маркером route-to-isp2 на шлюз второго провайдера.

    ОтветитьУдалить
  29. зачем мне нужно слушать 2-х провайдеров
    бывают ситуации, когда один пров отвалился
    приходится переключаться на 2-ого
    а портов слушается много и все они работают

    так наверное и сделаю, повешаю на одного прова прослушку

    а вот ещё один не понятный мне момент
    балансировка работает, но вот почему то аська к примеру отваливается минут через 5 и снова потом всё ок. и так туда сюда пере подключается
    по канекшинам видно как пакеты уходят по разным маршрутам, может таким же способом надо их метить
    или в чём может быть затык?

    ОтветитьУдалить
  30. Сергей, спасиб за ответ!

    ОтветитьУдалить
  31. > но вот почему то аська к примеру отваливается минут через 5

    это побочное действие от подобной балансировки, будут слетать сеансы, где авторизация основана на ip т.к. запросы приходят то с одного адреса, то с другого.

    ОтветитьУдалить
  32. такой вопрос, имеется 2 lan и 1 wan, проблема в том что из каждой локальной сети есть доступ в другую локальную, как сделать чтоб они друг с другом не контачили вообще, но при этом выходили в инет?

    ОтветитьУдалить
  33. > как сделать чтоб они друг с другом не контачили вообще, но при этом выходили в инет?

    Разделить по подсетям и ограничить глубиной маски, на пример первый локальный интерфейс имеет адрес 192.168.1.1/24 а второй 192.168.2.1/24, ну и клиентские адреса в каждой подсети должны иметь соответствующие маски и адреса.

    ОтветитьУдалить
  34. >Разделить по подсетям и ограничить глубиной маски, на пример первый локальный интерфейс имеет адрес 192.168.1.1/24 а второй 192.168.2.1/24, ну и клиентские адреса в каждой подсети должны иметь соответствующие маски и адрес

    Так и есть вот только почему-то я могу с 192.168.1.* зайти на 192.168.2.* и наоборот

    ОтветитьУдалить
  35. все сети я разделил, просто добавил правило:
    > ip firewall filter chain=forward add arc-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=drop

    теперь в идеале надо чтоб с 192.168.1.* можно было зайти на 192.168.2.*, но с 192.168.2.* на 192.168.1.* нельзя, можете что-нибудь посоветовать?

    ОтветитьУдалить
  36. Возможно глупый вопрос но ограничение скорости в Queue trees для группы применяется к каждому ИП в группе или для всех ИП в этой группе?

    ОтветитьУдалить
  37. > Возможно глупый вопрос но ограничение скорости в
    > Queue trees для группы применяется к каждому ИП
    > в группе или для всех ИП в этой группе?

    для каждого ip в группе.

    ОтветитьУдалить
  38. Сергей, можете пояснить такой момент:

    если у нас два провайдера wan1 и wan2 и пакеты приходят с любых адресов, в отличие от:
    >=================================
    делает очень просто, считаем что на первом провайдере у нас уже открыт nat и запросы приходят с сети первого провайдера.

    1 шаг, надо пометить ответы маркером для последующего роутинга.

    /ip firewall mangle add chai.....
    >========================

    как тогда их маркировать, чтоб они уходили по тому же интерфейсу? по какому признаку?

    пробовал по наименованию входящего интерфейса - не работает.

    ОтветитьУдалить
  39. у меня работа с двумя провайдерами и ответом тому провайдеру от которого пришел запрос, т.е. сервис одновременно работает с двумя провайдерами и отвечает на запросы с любых адресов, работает только в RouterOS 2.8, как сделать это в более новых версиях RouterOS непонятно :(

    ОтветитьУдалить
  40. Кому интересно, динамическая маршрутизация для MikroTik 3.20 http://папа-админ.рф/

    ОтветитьУдалить
  41. Как сделать Балансировку 2-х PPPOE от разных провайдеров с динамическими IP но приэтом нужно чтобы Аська, Агент, Скай и Контакт не разрывало сессий

    ОтветитьУдалить
  42. Народ помогите и объясните как настроить два канала на mikrotik 750.
    Задача следующая, есть два подключения к интернету по IP шлюз и DNS. как сделать так, чтоб один компьютер ишёл в интернет через одно соединение, а другой через другое. тоесть привязать по IP адресам. Помогите я заплачу пожалуйста.
    Мой skype: igorstas0312

    ОтветитьУдалить
  43. Сергей, помогите настроить на RB493 доступ к интернет для двух провайдеров: через ADSL-модем и серую сеть. Сам я совсем новичок, объясните, пожалуйста, популярно, что да как.

    Собственно, имеем:

    WAN: (ether1)
    ADSL-модем ZyXEL (сам поднимает PPPoE, раздает DHCP, он же выступает в качестве DNS, имеет IP 192.168.1.1). wan IP 192.168.1.34.

    Провайдер с серой IP-адресацией в сети: (ether2)
    IP: 192.168.240.13
    Шлюз: 192.168.240.100
    Primary DNS: 192.168.10.101
    Secondary DNS: 192.168.10.102

    LAN (внутренняя сеть организации): (ether3)
    IP: 192.168.0.0/24
    На сервере сети подняты DHCP, DNS.

    Удалось настроить выход из LAN в интернет через ether2 вот так:

    /ip address add interface="ether2" address="192.168.240.13/24"
    /ip route add gateway="192.168.240.100"
    /ip dns set servers="192.168.10.101"
    /ip dns set servers="192.168.10.102"

    /ip address add interface="ether3" address="192.168.0.5/24"

    /ip firewall nat add out-interface="ether2" chain="srcnat" action="masquerade"

    Для доступа в интернет на клиентских машинах указываем шлюз 192.168.0.5 и все довольны.

    Вопрос: как, что, куда надо прописать, чтобы настроить выход в интернет еще и через ADSL, через него пойдут только ограниченное число юзеров (остальные через ether2), но в случае отказа первого канала нужно будет пустить тех, кто не на ADSL, через это ADSL-подключение.

    ОтветитьУдалить

  44. Доброго времени суток всем Добрым и Отзывчим людям!
    Да простят меня админы форума за этот отчаянный крик души.Помогите настроить роутер: Microtik RouterBoard 493G,
    За взаимную МАТЕРИАЛЬНУЮ помощь с моей стороны,
    для компенсации ваших титанических усилий и затраченного времени.

    Необходимо реализовать следующую конфигурацию:

    1.) Настроить 2 разных интернет соединения.
    a.) ISP1 проводной интернет - имеет выделенный ip.
    b.) ISP2 usb модем Yota LTE - имеет выделенный ip. ( Роутер имеет usb порт )
    причем пытался подключить по этой статье http://mikrotik.ru/forum/viewtopic.php?f=11&t=1371
    но ничего не получилось выдает ( no such item .. ) Если вдруг так и не получиться подключить
    совместными усилиями то как вариант Yota модем воткну в ноут а из него ISP2 (провод)

    2.) Организовать резервную балансировку интернет канала в случае падения основного ,
    для всех периферийных устройств находящихся в сети Lan, по одноименной повести
    легендарного человека: http://mikrotik.axiom-pro.ru/scripts/balancerv1.php
    а именно:
    a.) 2 Сервера RDP имеют Основной Канал ISP2 ( usb модем Yota LTE) - Резерв ISP 1 ( провод ).
    b.) 2 IP телефона имеют Основной Канал ISP1 (проводной интернет ) - Резерв ISP 2 ( usb Yota LTE)

    3.) Дать доступ к 2-ум серверам RDP (radmin) с обоих внешних IP ( isp 1 и isp 2 )
    по мотивам того же всем нам хорошего известного человека легенды :)
    http://mikrotik.axiom-pro.ru/scripts/balancerv1.php

    Мои Контакты
    Skype: euazimut
    ICQ: 617712138
    E-mail: EuroTrusts@Gmail.com



    ОтветитьУдалить
  45. Спасибо большое, очень помогла ваша статья, я никак сам не мог додуматься как разделить пользователей по каналу. Теперь у меня пользователи из adr_list1 ходят через wan1, а из adr_list2 соответственно через wan2. Wan1 для меня "главнее", через него вывешены сайт и почта. Шлюз на Wan1 прописан и без "маркера" для доступа к самому микротику. Все замечательно, но...
    Подключаясь по VPN не могу получить доступ к внутренней сети. Пробовал PPTP и OVPN. Подключаюсь, соединяюсь, но дальше роутера доступа нет. По torch видно что пакеты только в одну сторону ходят.
    Конфиг был взят с рабочего роутера. На нем pptp работало. Подозреваю, что проблема именно в маркировке пакетов и vpn-пакеты надо либо как то по особенному маркировать, либо никак не маркировать. Помогите плз, моего скудоумия не хватает... Файрвол пробовал вообще отключать...

    ОтветитьУдалить
  46. Сергей, помогите пожалуйста с настройкой. Я в winbox полный чайник, а мне поставлена задача настроить роутер вот по этому принципу http://radikal.ru/fp/29213030245349a5998fcdfe26f8b7e9 Разбираясь в течении некоторого времени я понял, что дело на самом деле не сложное, но у меня все же возникли с этим проблемы.

    ОтветитьУдалить
  47. Этот комментарий был удален автором.

    ОтветитьУдалить
  48. Почему, когда я добавляю маркировку пакетов, у меня пропадает интернет. И как тогда раздавать пользователям одновременно каналы обоих провайдеров, если с маркировкой такой тупняк?

    ОтветитьУдалить