+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Доступ к подсетям за Mikrotik

Доступ к подсетям за Mikrotik, RouterOS

01101110110110

Guest

26.04.2012 22:03:00

Мой сервер MK имеет 3 интерфейса: LAN, WAN1, WAN2, и я делаю балансировку нагрузки на обоих WAN'ах, но при этом не могу получить доступ ни к одной из подсетей WAN, чтобы зайти на страницу настройки роутера.
LAN = 192.168.0.0/24
WAN1 = 192.168.1.0/24 (IP роутера 192.168.1.98, интерфейс MK — 192.168.1.99)
WAN2 = 192.168.2.0/24 (IP роутера 192.168.2.98, интерфейс MK — 192.168.2.99)

Оба роутера настроены в режиме моста (bridge mode). У меня также есть два дополнительных PPPoE-интерфейса TEdata1 от WAN1 и TEdata2 от WAN2.

Вот моя NAT-таблица, я пробовал маскарадинг для всего, но это не помогло. Может, кто-то подскажет, что нужно изменить, чтобы всё заработало?

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=TEdata1
add action=masquerade chain=srcnat comment="" disabled=no out-interface=TEdata2
add action=masquerade chain=srcnat comment="" disabled=no out-interface=WAN1
add action=masquerade chain=srcnat comment="" disabled=no out-interface=WAN2
add action=masquerade chain=srcnat comment="" disabled=no out-interface=LAN

01101110110110 Guest	#2 0 13.05.2012 14:01:00 Я обновил первый пост, чтобы отразить изменения в сети, помощь всё ещё нужна.

CelticComms

Guest

14.05.2012 15:56:00

Попробуй выложить текущую таблицу маршрутизации и правила файрвола. В одном из предыдущих портов была маскарадная (masquerade) запись с исходящим интерфейсом «wan» вместо «wan1» или «wan2», так что ясный обзор текущего состояния сильно бы помог. Тебе не нужно маскарадить трафик, исходящий из LAN, и делать это может быть опасно, поэтому советую убрать эту запись.

01101110110110

Guest

14.05.2012 22:05:00

Да, я публиковал это, когда у меня была только одна рабочая линия. Сейчас у меня 3 Ethernet-интерфейса: LAN, WAN1, WAN2. Два последних каждый подключены к отдельному роутеру в режиме моста. Есть ещё два PPPoE-интерфейса — TEdata1 (4 Мбит) и TEdata2 (2 Мбит). Я убрал правило маскарадинга для LAN, ниже вся информация, которую ты просил.

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=TEdata1
add action=masquerade chain=srcnat comment="" disabled=no out-interface=TEdata2
add action=masquerade chain=srcnat comment="" disabled=no out-interface=WAN1
add action=masquerade chain=srcnat comment="" disabled=no out-interface=WAN2

/ip route
add check-gateway=ping comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=TEdata2
add check-gateway=ping comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=TEdata2 routing-mark=to_WAN2
add check-gateway=ping comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=TEdata1
add check-gateway=ping comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=TEdata1 routing-mark=to_WAN1

/ip firewall mangle
add action=mark-connection chain=input comment="" disabled=no in-interface=WAN2 new-connection-mark=WAN1_conn passthrough=yes
add action=mark-connection chain=input comment="" disabled=no in-interface=WAN1 new-connection-mark=WAN2_conn passthrough=yes
add action=mark-routing chain=output comment="" connection-mark=WAN1_conn disabled=no new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=output comment="" connection-mark=WAN2_conn disabled=no new-routing-mark=to_WAN2 passthrough=yes
add action=mark-connection chain=prerouting comment="" disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=WAN1_conn passthrough=yes per-connection-classifier=both-addresses-and-ports:3/0
add action=mark-connection chain=prerouting comment="" disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=WAN1_conn passthrough=yes per-connection-classifier=both-addresses-and-ports:3/1
add action=mark-connection chain=prerouting comment="" disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=WAN2_conn passthrough=yes per-connection-classifier=both-addresses-and-ports:3/2
add action=mark-routing chain=prerouting comment="" connection-mark=WAN1_conn disabled=no in-interface=LAN new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=prerouting comment="" connection-mark=WAN2_conn disabled=no in-interface=LAN new-routing-mark=to_WAN2 passthrough=yes
add action=accept chain=prerouting comment="" disabled=no dst-address=192.168.1.0/24 in-interface=LAN
add action=accept chain=prerouting comment="" disabled=no dst-address=192.168.2.0/24 in-interface=LAN

/ip address
add address=192.168.0.99/24 broadcast=192.168.0.255 comment="" disabled=no interface=LAN network=192.168.0.0
add address=192.168.1.99/24 broadcast=192.168.1.255 comment="" disabled=no interface=WAN2 network=192.168.1.0
add address=192.168.2.99/24 broadcast=192.168.2.255 comment="" disabled=no interface=WAN1 network=192.168.2.0

nickshore

Guest

15.05.2012 10:37:00

Твой модем на 192.168.1.97 не сможет отправить ответные пакеты в сеть 192.168.0.x, потому что у него нет маршрута. Нужно настроить NAT для пакетов, идущих к модему. Добавь правило вроде такого: add action=src-nat chain=srcnat dst-address=192.168.1.97 out-interface=WAN1 to-addresses=192.168.1.99. Надеюсь, это поможет, Ник.

01101110110110

Guest

15.05.2012 16:13:00

Похоже, это не работает. Но разве IP-маршруты не должны быть достаточными? По идее, динамические маршруты не экспортируются, но вот они перед глазами. Каждый интерфейс создал одну из этих:

8 ADC 192.168.0.0/24 192.168.0.99 0 LAN
9 ADC 192.168.1.0/24 192.168.1.99 0 WAN2
10 ADC 192.168.2.0/24 192.168.2.99 0 WAN1

Правила NAT тоже, похоже, не работают. Надо перезагрузить или что-то в этом роде? Ниже две добавленные мною правила:

add action=src-nat chain=srcnat dst-address=192.168.1.98 out-interface=WAN2 to-addresses=192.168.1.99
add action=src-nat chain=srcnat dst-address=192.168.2.98 out-interface=WAN1 to-addresses=192.168.2.99

P.S. Оба роутера имеют адрес 192.168.x.98 в соответствующей подсети.

CelticComms

Guest

16.05.2012 18:58:00

Если вы маскируете трафик, выходящий через WAN-интерфейсы, то они должны иметь возможность общаться с модемами в режиме моста так же, как и любой другой внешний хост. Предлагаю сделать вот что: вставьте мост между одним из модемов и роутером. Подключите к нему ПК и назначьте ему другой адрес в соответствующей подсети. Проверьте, может ли ПК связаться и с модемом, и с роутером по ожидаемым адресам. Похоже, что какие-то исходные предположения неверны.

01101110110110

Guest

16.05.2012 23:30:00

Вот как мне сейчас приходится заходить на страницы настройки, но, к сожалению, из-за этого интернет отрубается от остальной сети, пока я не отключу мост. Не понимаю, почему это не работает: когда у меня была одна линия, такая же проблема возникала (когда я начал этот топик), только я не припоминаю, что тогда сделал, чтобы всё заработало. А теперь, когда я внедрил балансировку нагрузки с второй линией, ничего не получается. С сервера MK могу пропинговать обе подсети, и при мостовом соединении я могу зайти на роутеры, проблема, видимо, в части NAT или маршрутизации.

nickshore Guest	#9 0 17.05.2012 13:26:00 Ваши правила mangle перехватывают трафик и неправильно его маршрутизируют? Может, стоит добавить отдельные правила mangle, чтобы явно помечать маршруты для правильного интерфейса WAN, на всякий случай. Ник.

CelticComms Guest	#10 0 17.05.2012 13:40:00 Запусти трассировку маршрута с ПК в локальной сети до IP-адреса DSL-модема и посмотри, до какого узла она доходит. Последний IP, который отвечает, должен дать хорошее понимание того, где возникает проблема.

01101110110110

Guest

#11

18.05.2012 09:11:00

Не могу получить никакие IP-адреса, трассировка идет, но не отображает ни одного ответа на промежуточных узлах. Однако, если я делаю traceroute на сайт, первый узел неизвестен, а все остальные отображаются, начиная с моего провайдера со второго шага. Думаю, первый узел — это мой роутер, к которому я не могу получить доступ. Возможно, ваши mangle-правила перехватывают трафик и неправильно его маршрутизируют? Я пробовал отключать mangle-правила — ответа всё равно нет.

ConnectiviaSrl

Guest

#12

21.05.2012 21:46:00

Привет! Проблема в твоей конфигурации заключается в порядке обработки правил манглинга. Пожалуйста, перемести правила принятия (accept) в начало цепочки prerouting, чтобы они обрабатывались первыми:
add action=accept chain=prerouting comment="" disabled=no dst-address=192.168.1.0/24 in-interface=LAN
add action=accept chain=prerouting comment="" disabled=no dst-address=192.168.2.0/24 in-interface=LAN

Буду с нетерпением ждать от тебя хороших новостей!

01101110110110 Guest	#13 0 24.05.2012 13:42:00 Извиняюсь за поздний ответ, я внес изменения, как просили, но результата нет. Вот мои текущие таблицы mangle/nat. /ip firewall mangle add action=accept chain=prerouting comment="" disabled=no dst-address=192.168.1.0/24 in-interface=LAN add action=accept chain=prerouting comment="" disabled=no dst-address=192.168.2.0/24 in-interface=LAN add action=mark-connection chain=prerouting comment="" connection-state=new disabled=no in-interface=LAN new-connection-mark=payment_reminderM passthrough=no src-address-list=payment_reminder add action=mark-routing chain=prerouting comment="" disabled=no dst-address=192.168.1.99 new-routing-mark=test passthrough=no src-address=192.168.0.0/24 add action=mark-connection chain=input comment="" disabled=no in-interface=WAN2 new-connection-mark=WAN1_conn passthrough=yes add action=mark-connection chain=input comment="" disabled=no in-interface=WAN1 new-connection-mark=WAN2_conn passthrough=yes add action=mark-routing chain=output comment="" connection-mark=WAN1_conn disabled=no new-routing-mark=to_WAN1 passthrough=yes add action=mark-routing chain=output comment="" connection-mark=WAN2_conn disabled=no new-routing-mark=to_WAN2 passthrough=yes add action=mark-connection chain=prerouting comment="" disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=WAN1_conn passthrough=yes per-connection-classifier=both-addresses:3/0 add action=mark-connection chain=prerouting comment="" disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=WAN1_conn passthrough=yes per-connection-classifier=both-addresses:3/1 add action=mark-connection chain=prerouting comment="" disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=WAN2_conn passthrough=yes per-connection-classifier=both-addresses:3/2 add action=mark-routing chain=prerouting comment="" connection-mark=WAN1_conn disabled=no in-interface=LAN new-routing-mark=to_WAN1 passthrough=yes add action=mark-routing chain=prerouting comment="" connection-mark=WAN2_conn disabled=no in-interface=LAN new-routing-mark=to_WAN2 passthrough=yes /ip firewall nat add action=src-nat chain=srcnat comment="" disabled=no dst-address=192.168.2.98 out-interface=WAN1 to-addresses=192.168.2.99 add action=src-nat chain=srcnat comment="" disabled=no dst-address=192.168.1.98 out-interface=WAN2 to-addresses=192.168.1.99 add action=masquerade chain=srcnat comment="" disabled=no out-interface=WAN1 add action=masquerade chain=srcnat comment="" disabled=no out-interface=WAN2 add action=masquerade chain=srcnat comment="" disabled=no out-interface=TEdata1 add action=masquerade chain=srcnat comment="" disabled=no out-interface=TEdata2

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры