+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Нужна помощь с роутингом.

Нужна помощь с роутингом., RouterOS

turbo

Guest

28.06.2023 11:53:00

У меня следующая конфигурация: 2 ISP, 2 моста. Один мост — для WiFi и LAN, второй — для LAN с IPTV.

Сейчас я делаю балансировку нагрузки двух ISP через первый мост для WiFi и LAN. Но для второго моста (телевизоров) хочу настроить так, чтобы он использовал только один WAN (ISP1).

Балансировка нагрузки сделана через правила mangle, но не могу настроить правила для второго моста.

/interface bridge
add name=TV-only
add name=WiFi+LAN

/interface ethernet
set [ find default-name=ether1 ] mac-address= name=ether1-ISP1
set [ find default-name=ether2 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full,2500M-full disabled=yes name=ether2-ISP2
set [ find default-name=ether3 ] name=ether3-TV
set [ find default-name=ether4 ] name=ether4-TV
set [ find default-name=ether5 ] name=ether5-LAN

/interface list
add name=WAN
add name=LAN

/ip pool
add name=dhcp_pool2 ranges=10.10.20.2-10.10.20.254
add name=dhcp_pool_TV-bridge ranges=10.10.80.2-10.10.80.254

/ip dhcp-server
add address-pool=dhcp_pool2 interface=WiFi+LAN name=dhcp1
add address-pool=dhcp_pool_TV-bridge interface=TV-only name=dhcp2

/routing table
add disabled=no fib name=to-ISP1
add disabled=no fib name=to-ISP2
add disabled=no fib name=TV_only

/interface bridge port
add bridge=TV-only interface=ether3-TV
add bridge=TV-only interface=ether4-TV
add bridge=WiFi+LAN interface=wifi2
add bridge=WiFi+LAN interface=ether5-LAN
add bridge=WiFi+LAN interface=wifi1

/ip neighbor discovery-settings
set discover-interface-list=!dynamic

/interface list member
add interface=ether1-ISP1 list=WAN
add interface=WiFi+LAN list=LAN
add interface=ether2-ISP2 list=WAN

/ip address
add address=10.10.20.1/24 interface=WiFi+LAN network=10.10.20.0
add address=10.10.80.1/24 interface=TV-only network=10.10.80.0

/ip dhcp-client
add add-default-route=no interface=ether1-ISP1 use-peer-dns=no use-peer-ntp=no
add add-default-route=no interface=ether2-ISP2 use-peer-dns=no use-peer-ntp=no

/ip dhcp-server network
add address=10.10.20.0/24 gateway=10.10.20.1
add address=10.10.80.0/24 gateway=10.10.80.1

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface-list=!LAN
add action=drop chain=forward connection-state=invalid
add action=accept chain=input dst-port=22 protocol=tcp src-address-list=management
add action=accept chain=input dst-port=23 protocol=tcp src-address-list=management
add action=accept chain=input dst-port=2000 protocol=tcp src-address-list=management
add action=accept chain=input dst-port=8291 protocol=tcp src-address-list=management
add action=reject chain=input dst-port=21 protocol=tcp reject-with=tcp-reset
add action=reject chain=input dst-port=8728 protocol=tcp reject-with=tcp-reset
add action=reject chain=input dst-port=8291 protocol=tcp reject-with=tcp-reset
add action=reject chain=input dst-port=2000 protocol=tcp reject-with=tcp-reset
add action=reject chain=input dst-port=443 protocol=tcp reject-with=tcp-reset
add action=reject chain=input dst-port=80 protocol=tcp reject-with=tcp-reset
add action=reject chain=input dst-port=23 protocol=tcp reject-with=tcp-reset
add action=reject chain=input dst-port=22 protocol=tcp reject-with=tcp-reset
add action=drop chain=input dst-port=53 in-interface=ether1-ISP1 protocol=udp
add action=drop chain=input dst-port=53 in-interface=ether2-ISP2 protocol=udp
add action=drop chain=output out-interface=ether2-ISP2 routing-mark=TV_only

/ip firewall mangle
add action=accept chain=prerouting comment=Accept dst-address=91.148.152.0/24
add action=accept chain=prerouting dst-address=10.10.20.0/24
add action=accept chain=prerouting dst-address=10.10.80.0/24
add action=accept chain=prerouting dst-address=85.130.112.0/24
add action=mark-connection chain=input comment=Input in-interface=ether1-ISP1 new-connection-mark=ISP1 passthrough=yes
add action=mark-connection chain=input in-interface=ether2-ISP2 new-connection-mark=ISP2 passthrough=yes
add action=mark-connection chain=prerouting comment=Mark in-interface=ether1-ISP1 new-connection-mark=ISP1 passthrough=yes
add action=mark-connection chain=prerouting in-interface=ether2-ISP2 new-connection-mark=ISP2 passthrough=yes
add action=mark-connection chain=prerouting comment=PCC dst-address-type=local in-interface=WiFi+LAN new-connection-mark=ISP1 passthrough=yes per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting dst-address-type=local in-interface=WiFi+LAN new-connection-mark=ISP2 passthrough=yes per-connection-classifier=both-addresses:2/1
add action=mark-connection chain=prerouting dst-address-type=local in-interface=TV-only new-connection-mark=ISP1 passthrough=yes per-connection-classifier=both-addresses:2/1
add action=mark-routing chain=output comment=Output connection-mark=ISP1 new-routing-mark=to-ISP1 passthrough=yes
add action=mark-routing chain=output connection-mark=ISP2 new-routing-mark=to-ISP2 passthrough=yes
add action=mark-routing chain=output connection-mark=ISP1 new-routing-mark=TV_only passthrough=yes
add action=mark-routing chain=prerouting comment=Mark-route connection-mark=ISP1 in-interface=WiFi+LAN new-routing-mark=to-ISP1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ISP2 in-interface=WiFi+LAN new-routing-mark=to-ISP2 passthrough=yes
add action=mark-routing chain=prerouting comment=TV-route connection-mark=ISP1 in-interface=TV-only new-routing-mark=to-ISP1 passthrough=yes

/ip firewall nat
add action=masquerade chain=srcnat
add action=masquerade chain=srcnat out-interface=ether1-ISP1
add action=masquerade chain=srcnat out-interface=ether2-ISP2

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP2 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP1 pref-src="" routing-table=to-ISP1 scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP2 pref-src="" routing-table=to-ISP2 scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP1 pref-src="" routing-table=TV_only scope=30 suppress-hw-offload=no target-scope=10

/ip upnp
set enabled=yes

/ip upnp interfaces
add interface=WiFi+LAN type=internal
add interface=ether1-ISP1 type=external

/tool mac-server
set allowed-interface-list=LAN

/tool mac-server mac-winbox
set allowed-interface-list=LAN

turbo

Guest

05.10.2023 20:39:00

Наконец-то нашёл время снова поработать с конфигурацией и удалось кое-что отладить. Она не работала в RouterOS 7.11.2, пока я не включил VLAN filtering=ON на мосту, но теперь я не уверен, работают ли правила mangle. В /ip/firewall/connection нет ни одного помеченного соединения. Кроме того, похоже, что весь трафик идёт через ISP1, балансировка нагрузки не происходит. Правила mangle вообще применяются? Нужно ли маскировать оба исходящих интерфейса?

/interface bridge
add name=bridge-LAN vlan-filtering=yes

/interface ethernet
set [ find default-name=ether1 ] name=ether1-ISP1
set [ find default-name=ether2 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full,2500M-full name=ether2-ISP2
set [ find default-name=ether3 ] name=ether3-TV
set [ find default-name=ether4 ] name=ether4-TV
set [ find default-name=ether5 ] name=ether5-LAN

/interface vlan
add interface=bridge-LAN name=vlanTV20 vlan-id=20
add interface=bridge-LAN name=vlanhome10 vlan-id=10

/interface list
add name=WAN
add name=LAN

/ip pool
add name=dhcp_pool_LAN ranges=10.10.20.2-10.10.20.254
add name=dhcp_pool_TV ranges=10.10.80.2-10.10.80.254

/ip dhcp-server
add address-pool=dhcp_pool_LAN interface=vlanhome10 name=dhcp1
add address-pool=dhcp_pool_TV interface=vlanTV20 name=dhcp2

/routing table
add disabled=no fib name=preferISP1
add disabled=no fib name=preferISP2
add disabled=no fib name=TV_only

/interface bridge port
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged interface=ether3-TV pvid=20
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged interface=ether4-TV pvid=20
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged interface=ether5-LAN pvid=10
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged interface=wifi1 pvid=10
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged interface=wifi2 pvid=10

/ip neighbor discovery-settings
set discover-interface-list=!LAN

/interface bridge vlan
add bridge=bridge-LAN tagged=bridge-LAN untagged=ether3-TV,ether4-TV vlan-ids=20
add bridge=bridge-LAN tagged=bridge-LAN untagged=ether5-LAN,wifi1,wifi2 vlan-ids=10

/interface list member
add interface=ether1-ISP1 list=WAN
add interface=ether2-ISP2 list=WAN
add interface=vlanhome10 list=LAN
add interface=vlanTV20 list=LAN

/ip address
add address=10.10.20.1/24 interface=vlanhome10 network=10.10.20.0
add address=10.10.80.1/24 interface=vlanTV20 network=10.10.80.0

/ip dhcp-client
add add-default-route=no interface=ether1-ISP1 use-peer-dns=no use-peer-ntp=no
add add-default-route=no interface=ether2-ISP2 use-peer-dns=no use-peer-ntp=no

/ip dhcp-server network
add address=10.10.20.0/24 dns-server=10.10.20.1 gateway=10.10.20.1
add address=10.10.80.0/24 dns-server=10.10.80.1 gateway=10.10.80.1

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input in-interface-list=LAN src-address-list=management
add action=accept chain=input comment="udp DNS traffic" dst-port=53 in-interface-list=LAN protocol=udp
add action=accept chain=input comment="tcp DNS traffic" dst-port=53 in-interface-list=LAN protocol=tcp
add action=drop chain=input comment="drop all else"
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-mark=no-mark connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=forward comment="allow internet traffic" in-interface-list=LAN out-interface-list=WAN
add action=drop chain=forward comment="drop all else"
add action=accept chain=forward comment="allow port forwarding" connection-nat-state=dstnat

/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new in-interface=ether1-ISP1 new-connection-mark=ISP1_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new in-interface=ether2-ISP2 new-connection-mark=ISP2_conn passthrough=yes
add action=mark-routing chain=output connection-mark=ISP1_conn new-routing-mark=preferISP1 passthrough=yes
add action=mark-routing chain=output connection-mark=ISP2_conn new-routing-mark=preferISP2 passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new dst-address-type=!local in-interface=bridge-LAN new-connection-mark=ISP1_conn passthrough=yes per-connection-classifier=src-address-and-port:3/0
add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new dst-address-type=!local in-interface=bridge-LAN new-connection-mark=ISP2_conn passthrough=yes per-connection-classifier=src-address-and-port:3/1
add action=mark-connection chain=prerouting connection-mark=no-mark connection-state=new dst-address-type=!local in-interface=bridge-LAN new-connection-mark=ISP2_conn passthrough=yes per-connection-classifier=src-address-and-port:3/2
add action=mark-routing chain=prerouting connection-mark=ISP1_conn in-interface=bridge-LAN new-routing-mark=preferISP1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ISP2_conn in-interface=bridge-LAN new-routing-mark=preferISP2 passthrough=yes

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-ISP1
add action=masquerade chain=srcnat out-interface=ether2-ISP2

/ip route
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP2_gate pref-src="" routing-table=preferISP2 scope=30 suppress-hw-offload=no target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP1_gate pref-src="" routing-table=preferISP1 scope=30 suppress-hw-offload=no target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP1_gate routing-table=main suppress-hw-offload=no
add check-gateway=ping disabled=no distance=2 dst-address=0.0.0.0/0 gateway=ISP2_gate pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no dst-address=0.0.0.0/0 gateway=ISP2_gate routing-table=TV_only suppress-hw-offload=no

/routing rule
add action=lookup disabled=no src-address=10.10.80.0/24 table=TV_only

AceVentura922 Guest	#3 0 16.10.2023 14:44:00 Всё дело в предварительной маршрутизации.

anav

Guest

17.10.2023 12:28:00

(1) Почему в этом правиле ты исключил LAN? /ip neighbor discovery-settings set discover-interface-list=**!**LAN
(2) Проблема с порядком правил… Правило "отбросить всё остальное" должно быть последним, потому что правило переадресации портов в его нынешнем месте вообще не увидит никакой трафик! Замечу, что у тебя нет правил DST NAT, поэтому это правило не так уж важно, но для правильной настройки его стоит переместить, а потом либо отключить, либо совсем удалить.
add action=drop chain=forward comment=“drop all else”
add action=accept chain=forward comment=“allow port forwarding” connection-nat-state=dstnat
(3) Так что ситуация у тебя ясна — тебе не нужны никакие соединения между vlan10 и vlan20. VLAN20 должен использовать только WAN1, а VLAN10 — оба, в схеме PCC.
Что ты не уточнил — что должно происходить, если:
a. WAN1 становится недоступен?
b. WAN2 становится недоступен?

anav

Guest

17.10.2023 12:34:00

Немного подправлено, первые четыре правила, насколько я вижу, не нужны.
Поменял интерфейс — мы же не пытаемся захватить vlan20, поэтому нет нужды в bridge или LAN-интерфейсе. Просто чтобы было понятно: ты хочешь, чтобы больше трафика шло через WAN2 согласно твоим правилам PCC.

Подключение с состоянием new не нужно, так как у тебя есть квалификатор no mark, хотя в некоторых сложных случаях может понадобиться и то, и другое.

/ip mangle add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=vlanhome10 new-connection-mark=ISP1_conn passthrough=yes per-connection-classifier=src-address-and-port:3/0
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=vlanhome10 new-connection-mark=ISP2_conn passthrough=yes per-connection-classifier=src-address-and-port:3/1
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=vlanhome10 new-connection-mark=ISP2_conn passthrough=yes per-connection-classifier=src-address-and-port:3/2
add action=mark-routing chain=prerouting connection-mark=ISP1_conn new-routing-mark=preferISP1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ISP2_conn new-routing-mark=preferISP2 passthrough=yes

anav

Guest

17.10.2023 12:38:00

Я не вижу ничего плохого в этом правиле, кроме того, что нет необходимости создавать ещё одну таблицу. У вас уже есть таблица для WAN1… /routing rule add action=lookup disabled=no src-address=10.10.80.0/24 table=preferISP1. Это правило полезно ещё и тем, что действие — «lookup», то есть если WAN1 недоступен, роутеру разрешено обратиться к основной таблице и найти альтернативный маршрут, а значит, при наличии WAN2 он будет использовать именно его для трафика ТВ.

anav

Guest

17.10.2023 12:45:00

Здесь я не вижу ничего особо странного, кроме того, что последнее дополнительное правило больше не нужно, поэтому его убрали. Также проверка ping шлюза на маршрутах для PCC не требуется.

/ip route add check-gateway=ping distance=1 dst-address=0.0.0.0/0 gateway=ISP1_gate routing-table=main suppress-hw-offload=no
add check-gateway=ping distance=2 dst-address=0.0.0.0/0 gateway=ISP2_gate pref-src=“” routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add distance=1 dst-address=0.0.0.0/0 gateway=ISP2_gate pref-src=“” routing-table=preferISP2
add distance=1 dst-address=0.0.0.0/0 gateway=ISP1_gate pref-src=“” routing-table=preferISP1

ПРИМЕЧАНИЕ: Вроде бы все нормально, но учти, что если WAN1 пропадёт, весь трафик из-за PCC просто "уйдёт в никуда", некуда будет маршрутизировать, и с WAN2 по PCC ситуация такая же. Так что после того, как ты поправишь всё вышеописанное, можем заняться резервированием (failover) для PCC.

turbo

Guest

17.10.2023 17:22:00

По соображениям безопасности устройство доступно только через LAN-порт, ведь иногда посторонние могут подключаться к Wi-Fi. Я понимаю, что должен был бы создать гостевую сеть, но не хочу, чтобы она была постоянно доступна для всех соседей.

turbo Guest	#9 0 17.10.2023 17:54:00 connection-state=new — я проведу дополнительные тесты и проверю, действительно ли это не нужно.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры