+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Проблема с Dual WAN и входящими соединениями

Проблема с Dual WAN и входящими соединениями, RouterOS

futrix

Guest

26.08.2010 09:42:00

Привет! У меня есть роутер rb1100. До вчерашнего дня была только одна DSL-подключение, и всё работало нормально. Роутер обслуживает PPTP-сервис и перенаправляет порты на внутренние серверы. Вчера появилось новое DSL-подключение, и оно должно обрабатывать весь NAT-трафик, кроме отправки и получения электронной почты. PPTP и все «проброшенные» сервисы должны остаться на «старом» DSL.

Я создал новый маршрут для нового DSL с distance 1 и изменил distance на 2 у старого DSL-маршрута. Также настроил правила prerouting для маркировки пакетов электронной почты с меткой «symetryk». Потом изменил поле Routing Mark у старого DSL-маршрута на «symetryk». Внутри сети всё работает нормально — почтовый трафик идёт через старый DSL, а остальной — через новый DSL, но PPTP и «проброшенные» сервисы перестали работать.

Когда я убираю маркировку маршрута и устанавливаю distance 1 на обоих дефолтных шлюзах, сервисы работают нормально, но весь трафик идёт через старый DSL, а этого я не хочу. Куда копать?

С уважением, Кшиштоф Кишевски

Tomislav

Guest

31.05.2011 00:15:00

Та же проблема у меня. Я новичок в Mikrotik, но слышал только хорошие отзывы. Использовал один из примеров скриптов для настройки балансировки нагрузки на двух WAN, но потерял доступ к внутреннему сайту и FTP с WAN. Если отключить второй WAN, серверы становятся доступны. Пробовал менять правила фаервола, но пока ничего не помогает… Любая помощь будет очень кстати!

Feklar

Guest

31.05.2011 17:08:00

Причина этого — таблица маршрутизации. Когда приходит соединение по определённому маршруту, например, через вашу новую DSL-линию, роутер смотрит в таблицу маршрутизации, чтобы определить, каким маршрутом отправить ответ. Если другой ваш интернет-канал имеет меньшую "стоимость" (distance), роутер выберет его для ответа, из-за чего связь станет некорректной.

Что нужно сделать — отметить входящие соединения, которые приходят через конкретный интерфейс, а затем использовать метки маршрутизации, чтобы ответ шёл обратно через тот же интерфейс. Например:

add action=mark-connection chain=input disabled=no in-interface=ether1 new-connection-mark=input1_connection passthrough=yes
add action=mark-connection chain=input disabled=no in-interface=ether2 new-connection-mark=input2_connection passthrough=yes
add action=mark-routing chain=output connection-mark=input1_connection disabled=no new-routing-mark=to_outside1 passthrough=no
add action=mark-routing chain=output connection-mark=input2_connection disabled=no new-routing-mark=to_outside2 passthrough=no

Если планируете пробрасывать трафик на серверы за файрволом, нужно сделать то же самое:

add action=mark-connection chain=forward connection-state=new disabled=no in-interface=ether1 new-connection-mark=outside1_connection passthrough=no
add action=mark-connection chain=forward connection-state=new disabled=no in-interface=ether2 new-connection-mark=outside2_connection passthrough=no
add action=mark-routing chain=prerouting connection-mark=outside1_connection disabled=no new-routing-mark=to_outside1 passthrough=no
add action=mark-routing chain=prerouting connection-mark=outside2_connection disabled=no new-routing-mark=to_outside2 passthrough=no

Учтите, что для корректной работы нужны также правильные маршруты с нужными метками маршрутизации.

duvi Guest	#4 0 01.06.2011 07:40:00 Зачем ты здесь используешь «passthrough=no»? Спасибо!

Feklar

Guest

01.06.2011 15:12:00

Это в первую очередь экономит ресурсы процессора, и это единственное правило такого типа в цепочке forward. Как только соединение получает метку, каждый пакет, относящийся к этому соединению, тоже получает такую же метку. После этого нет смысла обрабатывать этот пакет дальше. Нужно ставить метку в forward, потому что трафик перенаправляется через роутер к серверу за ним, иначе роутер не знает конечный пункт назначения. Затем необходимо ставить метку для маршрутизации в prerouting, потому что роутер решает, как отправлять ответные пакеты после prerouting, но до forward. http://wiki.mikrotik.com/wiki/Packet_Flow#Diagram

macxie2011 Guest	#6 0 11.06.2011 02:54:00 Просто сделай DDNS и зарегистрируй доменное имя на Changeip.net, используй скрипт для настройки DNS в ROS, тогда сможешь подключаться к VPN через доменное имя вместо IP-адреса.

klap Guest	#7 0 30.12.2016 19:33:00 Привет, у меня такая же проблема. У меня есть клиентский ПК со специальным ПО, и этому софту надо подключиться к FTP, чтобы загрузить файлы. Но это приложение выдает мне такую ошибку: Registros con errores graves: 0 30/12/2016 - 16:09:20 - M:2 - TFrmEnviarDatosCelular.SubirTxtServidorConnect timed out. 30/12/2016 - 16:22:18 - M:2 - TFrmEnviarDatosCelular.SubirTxtServidorNo transfer timeout (600 seconds): closing control connection Я сделал то, что ты сказал — отметил, но не работает. Вот мой /ip firewall mangle: [admin@MikroTik] /ip firewall mangle> print Flags: X - отключено, I - недействительно, D - динамическое 0 D chain=forward action=change-mss new-mss=1410 tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1411-65535 1 D chain=forward action=change-mss new-mss=1410 tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1411-65535 2 chain=input action=mark-connection new-connection-mark=WAN1_conn passthrough=yes in-interface=WAN1 log=no log-prefix="" 3 chain=input action=mark-connection new-connection-mark=WAN2_conn passthrough=yes in-interface=WAN2 log=no log-prefix="" 4 chain=output action=mark-routing new-routing-mark=to_WAN1 passthrough=yes connection-mark=WAN1_conn log=no log-prefix="" 5 chain=output action=mark-routing new-routing-mark=to_WAN2 passthrough=yes connection-mark=WAN2_conn log=no log-prefix="" 6 chain=prerouting action=accept dst-address=192.168.3.0/24 in-interface=Local log=no log-prefix="" 7 chain=prerouting action=accept dst-address=192.168.2.0/24 in-interface=Local log=no log-prefix="" 8 chain=prerouting action=mark-connection new-connection-mark=WAN1_conn passthrough=yes dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/0 log=no log-prefix="" 9 chain=prerouting action=mark-connection new-connection-mark=WAN2_conn passthrough=yes dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/1 log=no log-prefix="" 10 chain=prerouting action=mark-routing new-routing-mark=to_WAN1 passthrough=yes connection-mark=WAN1_conn in-interface=Local log=no log-prefix="" 11 chain=prerouting action=mark-routing new-routing-mark=to_WAN2 passthrough=yes connection-mark=WAN2_conn in-interface=Local log=no log-prefix="" 12 chain=prerouting action=mark-routing new-routing-mark=to_WAN2 passthrough=yes connection-mark=WAN2_conn in-interface=Local log=no log-prefix="" 13 chain=prerouting action=mark-routing new-routing-mark=to_WAN2 passthrough=yes connection-mark=WAN2_conn in-interface=Local log=no log-prefix="" 14 ;;; FTP_POSTROUTING chain=postrouting action=mark-connection new-connection-mark=FTP passthrough=yes protocol=tcp dst-port=21 log=no log-prefix="" 15 ;;; FTP_PRE_ROUTING chain=prerouting action=mark-connection new-connection-mark=FTP passthrough=yes protocol=tcp dst-port=21 log=no log-prefix="" 16 ;;; FTP_GENERAL chain=postrouting action=mark-packet new-packet-mark=FTP_GENERAL passthrough=no connection-mark=FTP log=no log-prefix="" 17 ;;; FTP_GENERAL chain=prerouting action=mark-packet new-packet-mark=FTP_GENERAL passthrough=no connection-mark=FTP log=no log-prefix="" 18 chain=output action=mark-routing new-routing-mark=to_WAN1 passthrough=yes connection-mark=FTP packet-mark=FTP_GENERAL log=no log-prefix="" 19 chain=input action=mark-connection new-connection-mark=input1_connection passthrough=yes in-interface=WAN1 20 chain=input action=mark-connection new-connection-mark=input2_connection passthrough=yes in-interface=WAN2 21 chain=output action=mark-routing new-routing-mark=to_outside1 passthrough=no connection-mark=input1_connection 22 chain=input action=mark-connection new-connection-mark=input2_connection passthrough=yes in-interface=WAN2 23 chain=output action=mark-routing new-routing-mark=to_outside2 passthrough=no connection-mark=input2_connection 24 chain=forward action=mark-connection new-connection-mark=outside1_connection passthrough=no connection-state=new in-interface=WAN1 25 chain=forward action=mark-connection new-connection-mark=outside2_connection passthrough=no connection-state=new in-interface=WAN2 26 chain=prerouting action=mark-routing new-routing-mark=to_outside1 passthrough=no connection-mark=outside1_connectio> 27 chain=prerouting action=mark-routing new-routing-mark=to_outside2 passthrough=no connection-mark=outside2_connectio> Спасибо и с наступившим Новым годом!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры