+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Несколько маршрутов по умолчанию в основной таблице маршрутизации

Несколько маршрутов по умолчанию в основной таблице маршрутизации, RouterOS

iCharlie

Guest

20.03.2023 17:06:00

Привет! У меня в основной таблице маршрутизации несколько маршрутов по умолчанию. Текущие маршруты: (предположим, что 10.10.10.0/24, 10.10.20.0/24 и 10.10.30.0/24 — это публичные IP)
Print # DST-ADDRESS GATEWAY DISTANCE
0 As+ 0.0.0.0/0 10.10.10.1 20
1 As+ 0.0.0.0/0 10.10.20.1 20
2 As+ 0.0.0.0/0 10.10.30.1 20

Хочу понять, какие действия или шаги нужно предпринять, чтобы конкретные IP-адреса использовали только свой уникальный шлюз. Например: все IP из 10.10.10.0/24 — только через шлюз 10.10.10.1, а все из 10.10.20.0/24 — только через 10.10.20.1.

Поскольку Zerotier не позволяет выбрать таблицу маршрутизации, хочу использовать только основную таблицу. Эти три маршрута автоматически включены с ECMP. Иногда трафик из 10.10.10.0/24 маршрутизируется через 10.10.20.1, поскольку ECMP работает как балансировка нагрузки.

Пробовал использовать правила mangle:
add action=route chain=prerouting disabled=yes passthrough=yes route-dst=10.10.10.1 src-address=10.10.10.0/24
add action=route chain=prerouting disabled=yes passthrough=yes route-dst=10.10.20.1 src-address=10.10.20.0/24

После включения этих правил маршруты по умолчанию с индексами 0 и 1 становятся недоступны при проверке шлюза — ping selected.

Похоже, что я что-то делаю не так или что-то упустил. Буду благодарен за советы по этой настройке, спасибо большое!

MikeKulls

Guest

25.04.2024 05:13:00

Я последовал твоему примеру, и у меня все отлично сработало. У меня 2 WAN-порта, и я настроил их всего с двумя маршрутами по умолчанию. В главной таблице у меня одна запись, вторая — во второй таблице маршрутизации. А почему у тебя целых 6 записей?

anav

Guest

25.04.2024 13:53:00

Это не пример для использования в какой-либо конфигурации, это общий шаблон. Например, в реальной конфигурации первые три основных маршрута должны быть разделены по расстоянию и так далее. Если у вас есть настоящая конфигурация с реальными вопросами, тогда выложите её, и мы сможем обсудить ваши конкретные требования: сколько WAN, основной резерв, балансировка нагрузки, любые VPN, любые LAN-серверы и так далее...

MikeKulls

Guest

27.04.2024 02:30:00

Обрати внимание, что моя текущая конфигурация работает у меня хорошо (спасибо тебе). Мне просто было интересно, почему у тебя 6 маршрутов по умолчанию, а не 3. Но если хочешь высказать своё мнение по моей настройке — я открыт к любым предложениям. Я не эксперт. У меня 3 WAN: обычный домашний интернет со статическим IP, LTE через Mikrotik SXT и интерфейс wireguard, который подключается к NordVPN через активный WAN. Автоматического переключения у меня нет и не нужно, я переключаюсь на SXT вручную, отключая маршрут по умолчанию, когда основной интернет падает (SXT подключаю только по необходимости). Так второй маршрут по умолчанию вступает в силу и начинает передавать трафик через SXT. Для Nord сейчас у меня настроено так, что весь трафик с LAN на vlan 9 идёт через Nord.

/routing rule
add action=lookup dst-address=192.168.9.0/24 table=main
add action=lookup dst-address=192.168.1.0/24 table=main
add action=lookup src-address=192.168.9.0/24 table=useNord

/ip route
add comment=“Отключить для использования 4G. Всё остальное оставлять без изменений. 4G роутер должен быть в порту 4 Netgear” disabled=no dst-address=0.0.0.0/0 gateway=x.x.x.x pref-src=“” routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=yes distance=2 dst-address=0.0.0.0/0 gateway=192.168.4.1 pref-src=“” routing-table=main scope=30 suppress-hw-offload=no target-scope=10
add disabled=no dst-address=0.0.0.0/0 gateway=Nord pref-src=“” routing-table=useNord scope=30 suppress-hw-offload=no target-scope=10

/ip firewall nat
add action=src-nat chain=srcnat comment=“Интернет через eth2” out-interface=ether2 to-addresses=x.x.x.x
add action=masquerade chain=srcnat comment=“Mikrotik 4G (порт 4 Netgear Switch)” out-interface=VLAN4
add action=masquerade chain=srcnat comment=“Nord” out-interface=Nord to-addresses=x.x.x.x

/ip firewall filter
add action=accept chain=input dst-port=13231 protocol=udp
add action=accept chain=forward dst-address=192.168.3.0/24 src-address=192.168.1.0/24
add action=accept chain=forward dst-address=192.168.1.0/24 src-address=192.168.3.0/24
add action=accept chain=input comment=“Разрешить SSH и Web из LAN” dst-address=192.168.1.100 dst-port=22,80 protocol=tcp src-address=192.168.1.0/24
add action=fasttrack-connection chain=forward comment=“defconf: fasttrack” connection-mark=!ipsec connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=“defconf: accept established, related, untracked” connection-state=established,related,untracked
add action=drop chain=forward comment=“defconf: drop invalid” connection-state=invalid
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface-list=!LAN
add action=drop chain=forward comment=“defconf: drop all from WAN not DSTNATed” connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.100 next-server=192.168.1.148
add address=192.168.9.0/24 dns-server=8.8.8.8 gateway=192.168.9.1

/interface wireguard peers
add allowed-address=0.0.0.0/0,10.x.x.x/24 comment=Nord endpoint-address=x.x.x.x endpoint-port=xxxx interface=Nord public-key=“xxxxxxxxxxxxxx”

/ip address
add address=x.x.x.x/30 interface=ether2 network=x.x.x.x
add address=192.168.1.100/24 interface=LAN_BRIDGE network=192.168.1.0
add address=192.168.4.10/24 interface=VLAN4 network=192.168.4.0
add address=192.168.100.1/24 interface=wireguard1 network=192.168.100.0
add address=x.x.x.x interface=Nord network=x.x.x.x
add address=192.168.9.1/24 interface=VLAN9 network=192.168.9.0

/ip pool
add name=POOL_LAN ranges=192.168.1.100-192.168.1.150
add name=POOL9 ranges=192.168.9.100-192.168.9.200

/ip dhcp-server
add address-pool=POOL_LAN interface=LAN_BRIDGE lease-time=4h name=server1
add address-pool=POOL9 interface=VLAN9 name=DHCP9

/interface vlan
add interface=LAN_BRIDGE name=VLAN4 vlan-id=4
add interface=LAN_BRIDGE name=VLAN9 vlan-id=9

anav

Guest

27.04.2024 14:21:00

Причина шести правил (на самом деле используется только 3 стандартных маршрута с таблицей main, остальные три — это маршруты, которые могут относиться к правилам манглинга или маршрутизации). В вашем случае у вас всего два WAN, и на самом деле в каждый момент времени активен только один WAN. VPN — это не совсем WAN, но вы принудительно направляете vlan9 через туннель, а не через локальный рабочий WAN. Абсурдно выглядит разрешённый IP-диапазон 10.x. 0.0.0.0/0 уже покрывает все возможные адреса, так что 10.x — излишне. Ещё нелепое правило в цепочке input… ваше устройство не получает handshake, оно отправляет его на сервер Nord.

/ip firewall filter add action=accept chain=input dst-port=13231 protocol=udp

+++++++++++++++++

Что касается правил маршрутизации — там всё нормально, можно немного упростить, используя такое классное правило, которое позволяет локальному трафику нормально идти:

/routing rule add action=lookup-only-in-table Min-Prefix=0 table=main
add action=lookup src-address=192.168.9.0/24 table=useNord

Совсем не нужно отключать основной маршрут WAN1. Если основной маршрут не работает — трафика не будет, вне зависимости от чего-либо. Когда вы подключаете SXT, роутер найдёт этот маршрут и начнёт отправлять через него трафик. Вопрос только в том, хотите ли вы, чтобы трафик автоматически возвращался через WAN1, когда он снова появится в сети?

Что касается sourcenat, пожалуй, я бы изменил только правило для Nord (убрав указание to-address, оно не нужно, достаточно просто указать выходной интерфейс — wireguard):

/ip firewall nat add action=src-nat chain=srcnat comment=“Интернет через eth2” out-interface=ether2 to-addresses=x.x.x.x
add action=masquerade chain=srcnat comment=“Mikrotik 4G (порт 4 Netgear Switch)” out-interface=VLAN4
add action=masquerade chain=srcnat comment=“Nord” out-interface=Nord

Ещё пару советов: установите DNS-серверы на сети .9 такими, какие должен был выдать Nord (например):

add address=192.168.9.0/24 dns-server=??? gateway=192.168.9.1

Также убедитесь, что установлен стандартный IP DNS:

/ip dns set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8

И напоследок, чтобы гарантировать оптимальную работу Nord для разных сайтов, добавьте правило манглинга:

/ip firewall mangle add action=change-mss chain=forward comment=“Clamp MSS to PMTU for Outgoing packets” new-mss=clamp-to-pmtu out-interface=Nord passthrough=yes protocol=tcp tcp-flags=syn

Если это не сработает — альтернативный вариант:

/ip firewall mangle add action=change-mss chain=forward new-mss=1380 out-interface=Nord protocol=tcp tcp-flags=syn tcp-mss=1381-65535

MikeKulls

Guest

12.05.2024 07:46:00

Спасибо за ответ. Правило FW для Wireguard относится к другим пирами, которые не показаны в конфиге, что я выложил. Что касается двух WAN, мне приходится настраивать их вручную, потому что иногда мой основной интернет работает, но очень медленно. У меня основной интернет — беспроводной NBN в Австралии, и в плохую погоду он может стать практически непригодным. Все остальное, что ты сказал, очень логично, я обязательно всё проверю. Информация про Nord полезна, у меня были проблемы с MTU, когда я пытался безуспешно заставить Nord работать с IP Sec.

anav Guest	#7 0 12.05.2024 16:08:00 Если у вас когда-нибудь возникнут проблемы с MTU при использовании Nord Wireguard, то на устройстве MT сначала попробуйте следующее: add action=change-mss chain=forward comment=“Clamp MSS to PMTU for Outgoing packets” new-mss=clamp-to-pmtu out-interface=Wireguard-Name passthrough=yes protocol=tcp tcp-flags=syn Если это не сработает, есть альтернативный вариант: add action=change-mss chain=forward new-mss=1380 out-interface=Wireguard-Name protocol=tcp tcp-flags=syn tcp-mss=1381-65535

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры