+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

RB параллельно wan-модему

RB параллельно wan-модему, RouterOS

muhlpaul

Guest

21.08.2020 09:46:00

Привет, я планирую свою новую настройку и хотел бы узнать, будет ли она работать так: обычно rb стоит за wan-модемом (ADSL, оптика или что-то подобное) и имеет IP в диапазоне wan-модема, а на портях моста для клиентов другой диапазон IP. Моя идея заключается в том, чтобы также поместить диапазон клиентов в этот диапазон IP wan-маршрутера. Идея заключается в том, чтобы все мои домашние устройства находились в одной сети, а только телевизоры и некоторые другие устройства использовали VPN через rb, и у них будет rb в качестве шлюза. Я планирую активировать только один DHCP-сервер - думаю, это будет сервер fritzbox… так что что-то вроде этого: Fritzbox 192.168.0.1 (подключен к lan порту 3 к ubnt переключателю) mikrotik rb 192.168.0.11 (с ether1 на lan порту 2 fritzbox и с bridge-of-rest-ether’s на моем ubnt переключателе) все обычные устройства используют 192.168.0.1 в качестве шлюза... устройства, использующие VPN, должны использовать 192.168.0.11 в качестве шлюза. Обычно это вызвало бы петлю в сети, но с активированным протоколом спаннинга должно быть в порядке, но я не знаю, будет ли rb делать маршрутизацию VPN из-за одинаковых диапазонов сети... есть у кого-то опыт, идеи, советы? С наилучшими пожеланиями, Олли.

sindy

Guest

13.09.2020 16:13:00

Оставим в стороне тот факт, что не все устройства в вашей конфигурации могут поддерживать STP. Нет причин, по которым вы должны соединять устройства в топологии кольца — физической топологии дерева вполне достаточно. Текущий "WAN" у Mikrotik может оставаться единственным интерфейсом, который действительно подключен к сети. Вам просто нужно перенастроить брандмауэр, чтобы он позволял пересылку трафика из подключенной подсети. Если вам нужно использовать другие порты Mikrotik, так как на другом коммутаторе закончились порты, вы можете удалить всю IP-конфигурацию с ether1, сделать ether1 ещё одним портом-членом LAN моста и установить статический IP 192.168.0.11 как ещё один IP на мосту, затем переподключиться к этому IP и удалить предыдущий.

muhlpaul

Guest

22.09.2020 17:26:00

Привет, Синди! Я понял! Все работает, но у меня все еще есть проблема: мне нужен пасс-трафик (не через VPN) для URL-адресов видео с Amazon... Я искал много адресов... Я собрал их в список адресов "no-vpn", так что теперь мне, кажется, нужно правило, чтобы исключить этот трафик из VPN... Я попробую немного, но у меня все еще нет идей... Что касается других портов RB: я сейчас подключил все порты к мосту, чтобы использовать их также как обычные коммутаторные порты, или это может быть не очень хорошее решение из-за проблем с производительностью? С наилучшими пожеланиями, Оливер

muhlpaul

Guest

16.09.2020 13:20:00

Привет, Синди, спасибо за ответ. Я тоже об этом думал, чтобы не менять IP-адреса устройств. На данный момент я изменил IP-адреса телевизоров на подсеть 192.168.1.0/24, чтобы использовать их через VPN, но теперь я больше не контролирую эти устройства через OpenHAB, и у меня также проблема, что Amazon Video не работает через VPN. Я должен отключать VPN-пир через Winbox или приложение MikroTik на своем телефоне... Я также искал правила для перенаправления/манглинга на основе IP-адресов потоковой службы Amazon, чтобы идентифицировать и управлять этим трафиком напрямую, а не через VPN. Поэтому, прежде всего, мне нужно создать правило, что весь трафик, coming от или идущий к IP телевизоров, проходит через VPN, кроме потокового трафика для Amazon... Это слишком сложно для моих знаний по скриптам и правилам! Если у тебя есть идея или пример, был бы очень благодарен! С наилучшими пожеланиями, Оливер

muhlpaul

Guest

19.09.2020 09:09:00

Привет еще раз, у меня по-прежнему нет решения, но я над этим подумал: прежде всего, не очень удобно, что телевизоры находятся в другой подсети, поэтому было бы лучше, чтобы они тоже были в диапазоне 192.168.0.0/4, как мой основной роутер и экземпляр openhab для умного дома, чтобы также использовать Samsung SmartThings. Так что мне «только» нужно создать правила, чтобы весь трафик с IP-адресов телевизоров проходил через VPN, кроме тех адресов назначения из адресного списка (Amazon Video, Netflix и т.д., которые должны идти напрямую через роутер). Но я не имею понятия, как это реализовать... Можешь помочь с примерами, пожалуйста? С уважением, Оливер

sindy

Guest

19.09.2020 13:39:00

Ищи маршрутизацию по политике (не политику IPsec), здесь десятки тем. Короче говоря, принцип заключается в том, что ты классифицируешь трафик, исходящий от устройств в твоей локальной сети, по его свойствам, известным еще до попытки маршрутизации (таким как исходный IP, исходный порт, целевой IP, целевой порт, исходный интерфейс), и выбираешь другую таблицу маршрутизации для каждого класса трафика. Так что ты можешь превратить DHCP-аренду, выданную телевизору Samsung, в статическую (используя make-static), затем по желанию изменить IP-адрес на более подходящий, чем выбранный автоматически, и использовать IP-адрес аренды как критерий (src-address) для правила /ip firewall mangle, присваивающего routing-mark, например, via-vpn; потом добавляешь маршрут по умолчанию через VPN-канал с тем же значением routing-mark. Или можешь настроить элемент адресных списков аренды с именем списока адресов, например use-vpn, убрать параметр адреса аренды и позволить правилу mangle ссылаться на src-address-list=use-vpn вместо конкретного адреса, если хочешь использовать всю гибкость RouterOS. Все вышеописанное работает с любым VPN, который использует виртуальный интерфейс на стороне Mikrotik; для чистого IPsec с политиками и селекторами трафика подход немного отличается.

muhlpaul

Guest

20.09.2020 10:35:00

Привет, Синди, спасибо за подсказки. Попробую разобраться. Но у меня VPN с IPSec. Может, будет гораздо проще идентифицировать трафик, который должен проходить через VPN — IP-стримы… и все действия браузера смарт-ТВ… (из-за использования иностранных медиатек…) а остальной трафик пускать напрямую. Я попробую это в ближайшие дни. Если у кого-то уже есть рабочий пример, было бы здорово. Спасибо, Олли.

sindy

Guest

20.09.2020 12:05:00

Если это так, то ваша строка идентификации /ip ipsec, используемая для установки VPN, ссылается на строку /ip ipsec mode-config с r_esponder=no, и, следовательно, ваш маршрутизатор получает назначение IP-адреса от удалённого узла, а политика IPsec создаётся динамически с этим адресом в качестве src-address и 0.0.0.0/0 в качестве dst-address. Всё, что вам нужно сделать, это установить в этой строке /ip ipsec mode-config значение параметра src-address-list, например, «via-vpn». Если этот параметр установлен, то каждый раз, когда SA активно, RouterOS динамически создаёт правило /ip firewall nat, которое будет проводить src-nat для любого соединения, чёй исходный адрес соответствует этому адресному списку, на адрес, назначенный удалённым узлом, так что селектор трафика политики совпадёт с пакетами этого соединения и отправит их через SA. Таким образом, любой адрес в локальной сети, который вы добавите в адресный список «via-vpn», будет обрабатываться именно таким образом. Конечно, эти хосты в подсети LAN должны иметь Mikrotik в качестве шлюза, а не другой маршрутизатор в той же подсети. Если вышеописанного недостаточно, опубликуйте экспорт вашей текущей конфигурации, я дам вам те несколько команд, которые нужны для добавления этого в неё.

sindy

Guest

22.09.2020 18:22:00

На самом деле, реализация этого имеет несколько осложнений: вам нужно, чтобы телевизор находился в той же подсети, что и шлюз ISP, и Mikrotik, поэтому обычно именно телевизор должен использовать специальный маршрут через шлюз ISP для IP-адресов назначения Amazon. Но я предполагаю, что вы не можете настроить таблицу маршрутизации телевизора из его конфигурационного меню; единственный способ установить больше маршрутов, чем просто по умолчанию, в самом телевизоре — это отправить ему список маршрутов с помощью DHCP. Проблема в том, что немногие потребительские электронные продукты поддерживают этот метод. Другой способ заключается в том, что Mikrotik будет отправлять сообщения "лучший шлюз" с использованием ICMP всякий раз, когда он решит, что пакет должен обойти VPN, но, опять же, телевизор может сработать на них или нет (и что еще хуже — возможно, что Mikrotik будет отправлять эти пакеты "доступный лучший шлюз" даже для пакетов, которые должны обрабатываться VPN, я никогда не пробовал такую необычную конфигурацию). Единственное решение — разместить Mikrotik между телевизором и остальным миром, что полностью устраняет эту проблему. Классифицировать пакеты по адресу назначения несложно, но гораздо сложнее классифицировать их по доменному имени, и еще сложнее выяснить, какие дополнительные доменные имена связаны с тем, что вы знаете — например, YouTube транслирует видео из домена akamai.net (если я правильно помню). Так что, если компания не опубликует их на каких-то поддерживающих страницах, вам придется использовать анализатор пакетов, чтобы их идентифицировать, и вы не можете быть уверены, что они не изменятся на следующей неделе. Наименее сложная часть — изменить конфигурацию IPsec. Вместо того чтобы указывать src-address-list в строке /ip ipsec mode-config, вы указываете connection-mark; динамически созданное правило NAT затем будет соответствовать connection-mark, и вы можете использовать сложные условия совпадения в правилах mangle, чтобы назначить этот connection-mark только трафику, который должен передаваться через VPN.

muhlpaul

Guest

#10

22.09.2020 19:42:00

Спасибо за быстрый ответ… звучит сложно… у меня есть список IP-адресов от Netflix и Amazon-серверов… немного устаревший - не знаю, работают ли они на самом деле… но это более 300 IP-адресов. Этот список называется “no-vpn”, так что если я смогу направить трафик на эти адреса с устройств из списка “via-vpn” (моих телевизоров) напрямую в мой WAN, без использования VPN… это должно сработать! Я постараюсь почитать о настройке роутера, правилах NAT и т.д.… но если у вас есть какие-то подсказки, было бы здорово! Думаю, многие другие люди ищут такие решения… оливер

sindy

Guest

#11

22.09.2020 20:12:00

Правило NAT предоставляется движком IPsec, не стоит беспокоиться об этом. Просто замените src-address-list=via-vpn в элементе /ip ipsec mode-config на connection-mark=via-vpn (и, возможно, отключите и снова включите идентификацию, хотя я думаю, что изменение автоматически перезапустит соединение). Затем используйте правило mangle: /ip firewall mangle add chain=prerouting src-address-list=via-vpn dst-address-list=**!**no-vpn action=mark-connection new-connection-mark=via-vpn. Таким образом, только соединения, которые приходят из правильного адреса (телевизор) и подключаются куда угодно, кроме адресов из вашего списка исключений, получат отметку соединения, с которой будет совпадать динамически созданное правило NAT. Но, как уже упоминалось, эти пакеты (которые избегают присвоения connection-mark и таким образом совпадения правила src-nat с ним) будут обрабатываться только обычной маршрутизацией, а в обычной маршрутизации IP-адрес шлюза Mikrotik к интернету находится в той же подсети, что и телевизор, поэтому Mikrotik перенаправит пакет, но отправит обратно сообщение ICMP "существует более лучший шлюз для этого адреса назначения" отправителю (это можно отключить, если телевизор игнорирует эти сообщения); wan-модем отправит ответ напрямую на телевизор, обходя Mikrotik. Так что можете попробовать, возможностей всего две: либо это сработает, либо нет...

muhlpaul

Guest

#12

23.09.2020 07:59:00

Большое спасибо! Похоже, это работает… Мне пришлось добавить несколько IP-адресов / доменов в список, который я нашел здесь (более год назад). Я проверил кэш DNS, и все доменные имена Amazon, которые появляются при запуске приложения Amazon Video, я тоже добавил в список novpn. Оно работает так: когда добавляешь доменное имя в адресный список, IP создается автоматически, так что я буду проверять это долго сегодня вечером! И когда это будет работать, я здесь всё опубликую. Пока, Оливер

muhlpaul Guest	#13 0 23.09.2020 16:48:00 Снова я... похоже, что иногда новые IP-адреса Amazon начинают работать! Например, домен aiv-delivery.net перенаправляется на несколько разных других доменов, таких как ns-1542.awsdns-00.co.uk и ns-275.awsdns-34.com и другие... маршрутизатор находит все эти домены/IP-адреса, но иногда появляются совершенно новые. Так что мне нужно найти способ добавить эти новые адреса в список, но это сложно идентифицировать... буду проверять дальше... Оливер

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры