+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Двойной WAN и двойной LAN на одном роутере Mikrotik, при этом LAN-сети должны иметь доступ друг к другу, чтобы обеспечить доступ к серверу в одной из LAN.

Двойной WAN и двойной LAN на одном роутере Mikrotik, при этом LAN-сети должны иметь доступ друг к другу, чтобы обеспечить доступ к серверу в одной из LAN., RouterOS

kiddy

Guest

05.07.2022 12:18:00

Привет, инженеры! У меня ситуация: два разных бизнеса работают в одном офисе, у каждого свой интернет. Они используют разное ПО, но хотят одновременно обмениваться данными между этими программами по своим отдельным LAN-сетям. Я порекомендовал им роутер Mikrotik, конкретно RB2011. У меня два разных интернет-подключения к одному Mikrotik (RB2011). WAN1 подключён к ether1, WAN2 — к ether6. При этом ether2–ether5 объединены в bridge1, а ether7–ether10 — в bridge2. Таким образом, у меня два разных LAN-сегмента с разными IP-адресами — на bridge1 и на bridge2.

Я настроил роутер так, что LAN1 использует WAN1 как свой интернет-шлюз, а LAN2 — WAN2. Всё работает без проблем. Моя цель — чтобы LAN1 и LAN2 выходили в интернет через свои шлюзы, но при этом могли обмениваться данными между собой внутри роутера. Проблема в том, что если я отключаю mangle-правило, две LAN-сети начинают видеть друг друга, но теряют доступ в интернет. Помогите, пожалуйста, сделать так, чтобы сети общались между собой и при этом использовали разные интернет-шлюзы.

Я очень хочу настроить такой вариант, чтобы две LAN-сети на одном роутере могли «достучаться» друг до друга.

/ip address
add address=192.168.10.10/24 comment=LAB-Net-WAN interface=ether1 network=192.168.10.0
add address=192.168.20.10/24 comment=Clinic-Net-WAN interface=ether7 network=192.168.20.0
add address=192.168.1.1/24 comment=LAB-Net interface=Lab-br0 network=192.168.1.0
add address=192.168.100.1/24 comment=Clinic-Net interface=Clinic-br0 network=192.168.100.0

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=Lab-Net src-address=192.168.1.0/24
add action=mark-routing chain=prerouting new-routing-mark=Clinic-Net src-address=192.168.100.0/24

/ip route
add comment=Clinic distance=1 gateway=192.168.20.1 routing-mark=Clinic-Net
add comment=Lab distance=1 gateway=192.168.10.1 routing-mark=Lab-Net
add distance=1 gateway=192.168.10.1
add distance=1 gateway=192.168.20.1

/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=accept chain=input packet-size=0-128 protocol=icmp

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether7 src-address=192.168.100.0/24

k6ccc

Guest

28.07.2022 23:02:00

Согласен, что автору стоило бы чуть подробнее описать свои требования к соединению LAN с LAN, но вот то, что LAN-1 подключен к WAN-1, а LAN-2 — к WAN-2, — именно так я и делаю, и всё отлично работает. Обратите внимание, что все примеры, которые я приведу, будут в терминологии версии 6. И, Anav, пока остальные пытаются понять, есть ли у нас вообще вода, я на связи, чтобы обеспечить связь для тех, кто тушит пожары, а на моей выгаревшей лужайке ровно столько же следов, сколько их оставляют дворовые коты и собаки.

anav Guest	#3 0 29.07.2022 01:52:00 Да, это сказано с иронией, но нехватка воды — дело очень серьёзное, надеюсь, ситуация не ухудшится.

kiddy

Guest

28.07.2022 16:26:00

Большое спасибо всем за ваши предложения. Мой ноутбук сломался, и я не мог вовремя проверить ваши ответы. Я очень признателен. Я просмотрел ваши ответы и еще предстоит попробовать все варианты по очереди, чтобы найти лучший, который подойдет для решения, которое я ищу.

@anav: Ты упомянул, что моя тема вводит в заблуждение. Да, в некотором смысле это так, потому что в момент публикации я был очень запутан и не знал, как правильно оформить пост. Суть в следующем: на одном и том же роутере есть 2 отдельные WAN и 2 LAN. Я ищу решение, при котором LAN1 получает интернет только через WAN1, а LAN2 — только через WAN2. При этом LAN1 должна иметь возможность свободно обмениваться данными с LAN2, чтобы обе локальные сети могли выполнять такие задачи, как простая передача файлов, пинг друг друга и одновременный доступ к разным серверам в обеих LAN.

Кроме того, если интернет на WAN1 пропадет, LAN1 не должна иметь доступ в интернет, а LAN2 — иметь, и наоборот.

Я хочу попробовать вариант, который ты предложил, @anav, но некоторые параметры, кажется, отсутствуют в командах, которые ты указал. Например:

(route rules)
add src-address=192.168.1.0/24 action=lookup-only-in-table table=useISP1sr
add src-address=192.168.100.0/24 action=lookup-only-in-table table=useIPS2

Я не могу найти параметры "action" и "table" в правилах маршрутизации, которые ты указал. Пожалуйста, буду очень признателен, если ты уточнишь, что именно имел в виду, включив их в свои правила. Надеюсь скоро получить от тебя разъяснения. Спасибо!

anav

Guest

28.07.2022 17:23:00

Привет! Да, пожалуйста, пришли полный экспорт конфига /export. Похоже, что в версии 7 правила маршрутизации нужно настраивать вручную, но с этим можно помочь, когда я увижу конфиг. Снова — тебе нужно точнее объяснить, что ты хочешь по связке LAN к LAN. Всем пользователям/устройствам из LANA нужен доступ ко всем пользователям/устройствам из LANB или наоборот — всем из LANB нужен доступ ко всем из LANA? (Обрати внимание, это две совершенно разные задачи). Или один пользователь из LANA должен иметь доступ ко всем устройствам в LANB, или один пользователь из LANA — к одному устройству в LANB и так далее. Сейчас слишком расплывчато. Уровень интеграции не ясен, звучит почти так, будто они должны быть в одной LAN, но почему-то не хотят делить интернет, что немного странно, ха-ха. Почему бы просто не использовать оба подключения и делать балансировку нагрузки, если между LAN-ами нет проблем с безопасностью? Кроме того, помимо увеличения общей пропускной способности обеих LAN, интернет можно настроить так, чтобы при падении одного канала другой автоматически подключался, обеспечивая резервное WAN-соединение. Если это один и тот же провайдер — тогда, конечно, резерва нет, ха-ха.

k6ccc

Guest

28.07.2022 19:03:00

То, что хочет сделать Kiddy, очень похоже на то, что я организовал у себя дома. У меня есть два интернет-подключения и несколько разных локальных сетей. Трафик в сетях 192.168.1xx выходит в интернет через мой кабельный интернет, а трафик в 192.168.2xx — через оптоволоконный. По большому счёту, устройства из сети 192.168.1xx не могут попасть в сети 192.168.2xx — если только я специально не открыл для этого «прорехи» в фаерволе. Некоторые из этих отверстий очень конкретные — с определённым источником или адресом назначения, а некоторые общие. Например, все могут достучаться до моего сервера времени NTP. Весь интернет-трафик у меня настроен через правила маршрутизации. Могу привести примеры…

anav

Guest

28.07.2022 19:22:00

Это хорошо, но не помогает подробно прояснить требования пользователя из первого сообщения. Может, тебе стоит заняться поиском воды, тушением пожаров или раздачей воды людям в палатках, которые справляют нужду на твоем газоне?

kiddy

Guest

29.07.2022 14:16:00

Ладно, @anav, сформулирую свой вопрос иначе, чтобы посмотреть, поймёшь ли ты теперь:

У меня есть WAN1 и WAN2, подключённые к одному и тому же роутеру.
IP WAN1 — 192.168.10.10/24 с шлюзом 192.168.10.1
IP WAN2 — 192.168.20.10/24 с шлюзом 192.168.20.1

Также у меня на том же роутере настроены шлюзы LAN1 и LAN2:
LAN1 — IP 192.168.1.1/24, шлюз для ПК пользователей (LAB сеть)
LAN2 — IP 192.168.100.1/24, шлюз для ПК пользователей (Clinic сеть)

Предположим, у меня такая базовая конфигурация на роутере:
/ip address
add address=192.168.10.10/24 comment=WAN1 interface=ether1 network=192.168.10.0
add address=192.168.20.10/24 comment=WAN2 interface=ether2 network=192.168.20.0
add address=192.168.1.1/24 comment=LAN1 interface=ether3 network=192.168.1.0
add address=192.168.100.1/24 comment=LAN2 interface=ether4 network=192.168.100.0

/ip route
add distance=1 gateway=192.168.10.1
add distance=1 gateway=192.168.20.1

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether2 src-address=192.168.100.0/24

Теперь я хочу, чтобы каждый пользователь или устройство из LAN1 имел доступ к веб-серверу в LAN2. IP сервера: 192.168.100.6/24.

И чтобы каждый пользователь или устройство из LAN2 имел доступ к веб-серверу в LAN1. IP сервера: 192.168.1.10/24.

Кроме того, я хочу, чтобы пользователи LAN1 выходили в интернет только через WAN1, а пользователи LAN2 — только через WAN2. Балансировка нагрузки не нужна.

Почему? Несмотря на то, что LAB и Clinic находятся в одном офисе, они не хотят использовать один и тот же интернет-провайдер. Каждый хочет оплачивать интернет отдельно. И при этом они хотят иметь свои независимые локальные сети.

В каждой из двух LAN сетей есть по одному веб-серверу, к которому необходимо обеспечить доступ из обеих сетей.

В моей предыдущей конфигурации интернет работал нормально: LAN1 выходила в интернет через WAN1, LAN2 — через WAN2. Если интернет на WAN1 падал, LAN1 теряла доступ, а LAN2 оставалась онлайн (часть решения).

Но из-за правил mangle, которые я настроил, LAN1 не могла общаться с LAN2 и наоборот (вот тут нужна помощь).

Предыдущая конфигурация:
RouterOS Version 6.47.10

/ip address
add address=192.168.10.10/24 comment=LAB-Net-WAN interface=ether1 network=192.168.10.0
add address=192.168.20.10/24 comment=Clinic-Net-WAN interface=ether7 network=192.168.20.0
add address=192.168.1.1/24 comment=LAB-Net interface=Lab-br0 network=192.168.1.0
add address=192.168.100.1/24 comment=Clinic-Net interface=Clinic-br0 network=192.168.100.0

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=Lab-Net src-address=192.168.1.0/24
add action=mark-routing chain=prerouting new-routing-mark=Clinic-Net src-address=192.168.100.0/24

/ip route
add comment=Clinit distance=1 gateway=192.168.20.1 routing-mark=Clinic-Net
add comment=Lab distance=1 gateway=192.168.10.1 routing-mark=Lab-Net
add distance=1 gateway=192.168.10.1
add distance=1 gateway=192.168.20.1

/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=accept chain=input packet-size=0-128 protocol=icmp

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether7 src-address=192.168.100.0/24

Буду признателен за ваши замечательные предложения. Спасибо!

anav

Guest

29.07.2022 14:51:00

(1) Цепочка forward, кроме стандартных правил… кстати, IP-адрес сервера — это /32, а не /24.
/ip firewall filter {forward chain}
add action=fasttrack-connection chain=forward comment=“defconf: fasttrack” connection-state=established,related
add action=accept chain=forward comment=“defconf: accept established,related, untracked” connection-state=established,related,untracked
add action=drop chain=forward comment=“defconf: drop invalid” connection-state=invalid
add action=accept chain=forward comment=“allow internet traffic” in-interface-list=LAN out-interface-list=WAN
add action=accept chain=forward comment=“allow port forwarding” connection-nat-state=dstnat
add action=accept chain=forward src-address=192.168.1.0/24 dst-address=192.168.100.6/32
add action=accept chain=forward src-address=192.168.100.0/24 dst-address=192.168.1.10/32
add action=drop chain=forward

(3) Удалите часть конфигурации с mangling, она не нужна и нежелательна.

(4) Предполагается использование прошивки vers6… например, долгосрочная 6.48.6
Добавьте несколько правил маршрутизации для правильного направления трафика.
/ip route rule add action=lookup-only-in-table src-address=192.168.1.0/24 table=Lab-Net
add action=lookup-only-in-table src-address=192.168.100.0/24 table=Clinic-Net

Где у вас есть маршруты, как описано:
add distance=1 gateway=192.168.10.1
add distance=1 gateway=192.168.20.1
add comment=Lab distance=1 gateway=192.168.10.1 routing-mark=Lab-Net
add comment=Clinic distance=1 gateway=192.168.20.1 routing-mark=Clinic-Net

++++++++++++++++++++++++++++

В версии 7 немного по-другому:
add distance=1 gateway=192.168.10.1
add distance=1 gateway=192.168.20.1
add comment=Lab distance=1 gateway=192.168.10.1 table=Lab-Net
add comment=Clinic distance=1 gateway=192.168.20.1 table=Clinic-Net

Потребуется использовать New Terminal и команды CLI для добавления таблиц и правил маршрутизации.
/routing rule add src-address=192.168.1.0/24 action=lookup-only-in-table table=Lab-Net
/routing rule add src-address=192.168.100.0/24 action=lookup-only-in-table table=Clinic-Net

Добавьте таблицы:
/routing table add name=Lab-Net fib
/routing table add name=Clinic-Net fib

kiddy Guest	#10 0 29.07.2022 19:37:00 Большое спасибо ещё раз за вашу идею, @anav. Я применил ваши рекомендации по конфигурации к своему роутеру, и вот как всё теперь выглядит: После запуска ваших скриптов я решил проверить, работает ли всё на этот раз, но, похоже, нет. Пожалуйста, посмотрите, всё ли я сделал правильно. Спасибо. [admin@MikroTik] > ip address export jul/29/2022 19:20:39 by RouterOS 6.47.10 software id = NKS0-DZRH model = RB2011UiAS-2HnD serial number = C44F0FF9C02D /ip address add address=192.168.10.10/24 comment=LAB-Net-WAN interface=ether1 network=192.168.10.0 add address=192.168.20.10/24 comment=Clinic-Net-WAN interface=ether7 network=192.168.20.0 add address=192.168.1.1/24 comment=LAB-Net interface=Lab-br0 network=192.168.1.0 add address=192.168.100.1/24 comment=Clinic-Net interface=Clinic-br0 network=192.168.100.0 [admin@MikroTik] > ip route export jul/29/2022 19:20:53 by RouterOS 6.47.10 software id = NKS0-DZRH model = RB2011UiAS-2HnD serial number = C44F0FF9C02D /ip route add comment=Lab distance=1 gateway=192.168.10.1 routing-mark=Lab-Net add comment=Clinic distance=1 gateway=192.168.20.1 routing-mark=Clinic-Net add comment=Lab-Main distance=1 gateway=192.168.10.1 add comment=Clinic-Main distance=1 gateway=192.168.20.1 /ip route rule add action=lookup-only-in-table src-address=192.168.1.0/24 table=Lab-Net add action=lookup-only-in-table src-address=192.168.100.0/24 table=Clinic-Net add dst-address=192.168.1.10/32 table=main add dst-address=192.168.100.6/32 table=main [admin@MikroTik] > ip firewall export jul/29/2022 19:21:06 by RouterOS 6.47.10 software id = NKS0-DZRH model = RB2011UiAS-2HnD serial number = C44F0FF9C02D /ip firewall filter add action=accept chain=forward connection-state=established,related disabled=yes add action=accept chain=input connection-state=established,related disabled=yes add action=accept chain=input disabled=yes packet-size=0-128 protocol=icmp add action=fasttrack-connection chain=forward comment=“defconf: fasttrack” connection-state=established,related add action=accept chain=forward comment=“defconf: accept established,related, untracked” connection-state=established,related,untracked add action=drop chain=forward comment=“defconf: drop invalid” connection-state=invalid add action=accept chain=forward comment=“allow port forwarding” connection-nat-state=dstnat add action=accept chain=forward dst-address=192.168.100.6 src-address=192.168.1.0/24 add action=accept chain=forward dst-address=192.168.1.10 src-address=192.168.100.0/24 add action=drop chain=forward /ip firewall mangle add action=mark-routing chain=prerouting disabled=yes new-routing-mark=Lab-Net src-address=192.168.1.0/24 add action=mark-routing chain=prerouting disabled=yes new-routing-mark=Clinic-Net src-address=192.168.100.0/24 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.1.0/24 add action=masquerade chain=srcnat out-interface=ether7 src-address=192.168.100.0/24 [admin@MikroTik] > ip dns export jul/29/2022 19:21:21 by RouterOS 6.47.10 software id = NKS0-DZRH model = RB2011UiAS-2HnD serial number = C44F0FF9C02D /ip dns set allow-remote-requests=yes servers=80.87.78.11,80.87.78.4

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры