+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Двойное WAN-соединение из Winbox

Двойное WAN-соединение из Winbox, RouterOS

Madolink

Guest

24.09.2024 14:55:00

Привет, у меня проблема с подключением к MikroTik через Winbox по второму WAN IP. Сейчас у меня есть два интернет-провайдера, которые подключены к MikroTik RB2011UiAS. Модем1 имеет статический публичный IP 1.1.1.1 и LAN IP 192.168.1.1/24. 4G роутер имеет статический публичный IP 2.2.2.2 и LAN IP 192.168.69.1/24.

В данный момент оба устройства подключены к MikroTik с помощью статических IP: ether1 — wan1, ether10 — wan2. На обоих интернет-модемах настроена DMZ, чтобы делать проброс (не спрашивайте, почему не использовать мост — на этих модемах такой опции нет).

Проблема в том, что я не могу подключиться к MikroTik через Winbox по публичному IP 2.2.2.2, хотя пакеты через эту связь проходят, и у ПК есть интернет. Зато к публичному IP 1.1.1.1 подключаюсь без проблем. Ни одного правила для доступа в Winbox не создавал, просто включил службу Winbox.

Нужно ли создавать правило NAT для этого? Извините за мой плохой английский.

Madolink

Guest

18.04.2025 12:06:00

Привет, извиняюсь за поздний ответ. Да, я хочу подключиться, используя свой внешний IP. Чтобы объяснить подробнее: у моего роутера Mikrotik два WAN-порта, а остальные LAN-порты объединены в один мост (LAN). На обоих WAN-интерфейсах у меня статические IP-адреса: WAN1 — 1.1.1.1, шлюз 1.1.1.254, и WAN2 — 2.2.2.2, шлюз 2.2.2.254. WAN1 подключён к роутеру провайдера через DMZ, WAN2 — к 4G-роутеру тоже через DMZ. Расстояние маршрута на WAN1 — 1, а на WAN2 — 100. Проблема в том, что когда оба WAN-интерфейса подключены, я не могу получить доступ к Mikrotik снаружи через WAN2, но могу через WAN1. Если же отключить WAN1, то доступ снаружи через WAN2 работает, и у ПК появляется внешний IP 2.2.2.2. Вопрос такой: нужно ли настроить правило в фаерволе, чтобы подключаться через WAN2? У меня есть другие роутеры (не Mikrotik) с точно такой же конфигурацией на WAN, и с обоих внешних IP к ним можно подключаться нормально.

anav

Guest

18.04.2025 14:00:00

Проблема в том, что ваше требование сформулировано неясно. Вы хотите получить доступ к роутеру из удалённого места? Или вы имеете в виду, что хотите получить доступ к роутеру, находясь в локальной сети модема/роутера провайдера ISP1 или в локальной сети модема/роутера провайдера ISP2? (подсказка: это не совсем модемы, если у них статический IP, и они делают NAT, выдавая вам другой IP). Если речь о первом варианте — тогда ответ прост: перестаньте пытаться делать что-то, связанное с риском для безопасности. Убедитесь, что вы подключаетесь к роутеру через VLAN, а потом заходите в winbox. Если речь о втором варианте, то доступ к роутеру должен быть возможен с любого из этих мест, поэтому нужно посмотреть конфигурацию: /export file=любое_имя (без серийного номера роутера, публичных WAN IP и ключей). Важно: DMZ вовсе не обязателен, если вы можете пробросить порты на модеме/роутере провайдера, то лучше так и сделать для нескольких нужных вам портов — DMZ — это ленивая и менее безопасная схема.

gotsprings

Guest

09.06.2025 10:29:00

Похоже, ему нужно настроить маркировку пакетов и их изменение, чтобы при подключении через вторичного провайдера маршрутизатор отправлял пакеты обратно через тот же порт, через который они пришли, а не через порт по умолчанию.

anav Guest	#5 0 10.06.2025 17:44:00 Зачем советовать кому-то заходить на роутер в открытом тексте для управления? Мне кажется, ты просто обезвожен (или у тебя ушла вся энергия).

panisk0 Guest	#6 0 08.07.2025 11:14:00 @Madolink policy routing — вот решение в моём исследовании.

BartoszP Guest	#7 0 08.07.2025 11:45:00 Проще говоря, почему panisk0 указал на policy routing: когда у тебя одновременно активны оба WAN, и трафик приходит через WAN2, роутер отправляет его обратно через WAN1, потому что у него ниже «distance», поэтому трафик возвращается через другое соединение. Накопливается маскарадинг, разные внешние IP… В итоге получается «атака «человек посередине». Нужно сообщить роутеру (отметить пакеты), что пришли они с WAN#N и должны возвращаться тем же интерфейсом. Другие бренды делают это автоматически, и ты даже не замечаешь, что происходит. Это лучше? Хуже? Тут каждый вариант — выигрышный, потому что MT (MikroTik) даёт тебе полный контроль над всеми аспектами маршрутизации, но требует больше настроек.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры