+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Маршрут по умолчанию препятствует использованию дополнительного LTE-подключения в режиме passthrough WAN.

Маршрут по умолчанию препятствует использованию дополнительного LTE-подключения в режиме passthrough WAN., RouterOS

Ferrograph

Guest

27.06.2021 02:10:00

У меня есть два WAN-подключения. Одно — оптоволокно через PPPoE (ether1), другое — DHCP (ether7) от Mikrotik LTE-тарелки, настроенной в режиме passthrough. Они настроены с add-default-route=yes и с приоритетами distance 1 и 2 соответственно для резервирования, и это работает. Также у меня есть несколько PPTP VPN-подключений, которые служат как «иностранные» WAN для тестирования и стриминга, а ещё настроены mangle и маршрутизационные правила, чтобы направлять трафик отдельных устройств через эти подключения — и всё отлично работает.

Однако если я пытаюсь направить трафик через LTE-соединение с правилами, похожими на те, что работают для VPN, ничего не получается. Если пытаюсь выполнить /tool ping, выбрав интерфейс LTE (ether7), получаю таймаут и «host unreachable». Только когда я удаляю дефолтный маршрут для PPPoE-подключения, LTE начинает что-то отвечать, но это уже бесполезно.

Хочу иметь возможность тестировать и стримить через LTE, как через VPN, при этом сохраняя его как резервное подключение. Я пробовал разные комбинации маршрутов и пометок, но пока не смог заставить LTE одновременно работать с PPPoE.

Что может мешать использованию LTE-соединения?

Ferrograph

Guest

16.07.2021 01:51:00

Итак, я снова возвращаюсь к этому вопросу. Мне удалось настроить скрипты DHCP, которые вставляют текущие шлюзы в помеченные маршруты, а также метки подключений и маршрутизации для входящих соединений — и всё это работает. Основной LTE1 выдает реальный WAN IP, поэтому я могу получить доступ к системе через него, а вот провайдер LTE2 выдает NAT-адрес, поэтому входящие соединения не работают, но это нормально. У меня есть исходящий VPN PPTP к домашней сети, и через него я получаю доступ к LAN.

Проблема, из-за которой я пытаюсь это сделать, — я хочу заставить исходящий PPTP VPN использовать соединение LTE2, чтобы если LTE1 пропадёт, я не потерял доступ. На самом деле мне это нужно, чтобы Mikrotik мог отлаживать устройство LTE1. У меня есть правила mangle, которые определяют трафик GRE и 1723 к моему домашнему IP (статическому) и ставят метку для маршрутизации через LTE2. Но это не работает. В таблице соединений фаервола я вижу, что соединение идет с адреса LTE1. Хотя странно, что в поле Reply Dst Address указан адрес LTE2, а Src Address — LTE1.

/ip firewall mangle
add action=mark-routing chain=output comment="Mark VPN Packets for routing over backup LTE2" dst-address=homeip dst-port=1723 new-routing-mark=to-WAN2 passthrough=no protocol=tcp
add action=mark-routing chain=output comment="Mark VPN Packets for routing over backup LTE2" dst-address=homeip new-routing-mark=to-WAN2 passthrough=no protocol=gre

Если я запускаю ping с разными метками маршрутизации, то получаю отклики с задержками, соответствующими двум разным LTE-соединениям (одна вышка значительно дальше). Но PPTP-соединение всегда уходит через LTE1. Значит, либо помеченные маршруты не работают, либо маркировка для VPN неверна.

Читал много обсуждений на форумах про dual WAN, балансировку нагрузки и даже смотрел несколько видео MUM по этой теме. Честно говоря, не понимаю, где я ошибаюсь. Складывается ощущение, что перенаправлять исходящий трафик с самого роутера — это не так просто, как делать это для клиентов LAN.

Zacharias

Guest

18.07.2021 18:19:00

В первом наборе правил у тебя должно быть passthrough=yes. К тому же, все, что приходит через первый WAN, должно уходить через первый WAN-интерфейс, а все, что приходит через второй WAN — через второй. Ты отмечаешь эти подключения в цепочке output? Например:

add chain=output connection-mark=ISP1_conn action=mark-routing new-routing-mark=to_ISP1
add chain=output connection-mark=ISP2_conn action=mark-routing new-routing-mark=to_ISP2

Источник: https://wiki.mikrotik.com/wiki/Manual:PCC

Еще посмотри здесь: https://help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS#PacketFlowinRouterOS-Output

Если ты неправильно укажешь цепочку output, то подключение (или ответ на него) уйдёт через основную таблицу маршрутизации...

Ferrograph

Guest

18.07.2021 22:20:00

Спасибо, у меня настроена маркировка входящих и исходящих WAN-соединений следующим образом, и всё работает.

add action=mark-connection chain=input comment="Маркировать входящие соединения WAN1" connection-mark=no-mark in-interface-list=WAN1 new-connection-mark=WAN1->ROS passthrough=yes
add action=mark-connection chain=input comment="Маркировать входящие соединения WAN2" connection-mark=no-mark in-interface-list=WAN2 new-connection-mark=WAN2->ROS passthrough=yes
add action=mark-routing chain=output comment="Маркировать соединения WAN1->ROS для возвращающегося роутинга" connection-mark=WAN1->ROS new-routing-mark=to-WAN1 passthrough=yes
add action=mark-routing chain=output comment="Маркировать соединения WAN2->ROS для возвращающегося роутинга" connection-mark=WAN2->ROS new-routing-mark=to-WAN2 passthrough=yes
add action=mark-routing chain=output comment="Маркировать VPN-пакеты для маршрутизации через резервный LTE2" dst-address=homeip dst-port=1723 log=yes log-prefix=PPTP-Mark new-routing-mark=to-WAN2 passthrough=yes protocol=tcp
add action=mark-routing chain=output comment="Маркировать VPN-пакеты для маршрутизации через резервный LTE2" dst-address=homeip log-prefix=GRE-Mark new-routing-mark=to-WAN2 passthrough=no protocol=gre

Также мои помеченные маршруты:
add distance=1 gateway=10.213.xx.17 pref-src=10.213.xx.18 routing-mark=to-WAN2
add distance=1 gateway=10.177.xx.6 pref-src=92.40.xx.126 routing-mark=to-WAN1

И итоговая таблица маршрутизации:
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.213.xx.18 10.213.xx.17 1
1 A S 0.0.0.0/0 92.40.xx.126 10.177.xx.6 1
2 ADS 0.0.0.0/0 10.177.xx.6 1
3 DS 0.0.0.0/0 10.213.xx.17 2
4 ADC 10.177.xx.6/32 92.40.xx.126 vlan-lte-wan1 0
5 ADC 10.213.xx.16/30 10.213.xx.18 vlan-lte-wan2 0
6 ADC 192.168.25.0/24 192.168.25.1 bridge 0

rextended

Guest

19.07.2021 02:56:00

Лучше делать маршрутизацию на маршрутизаторе, а не на фаерволе… Используйте маршруты и правила вместо маркировки маршрутов, когда это возможно. Знаете как? Например, /ip route rule

add action=lookup-only-in-table src-address=<WAN1-IP> table=to-WAN1
add action=lookup-only-in-table dst-address=<WAN1-IP> table=to-WAN1

add action=lookup-only-in-table src-address=<WAN2-IP> table=to-WAN2
add action=lookup-only-in-table dst-address=<WAN2-IP> table=to-WAN2

add action=lookup-only-in-table src-address=<LAN-POOL-IP-TO-WAN1> table=to-WAN1
add action=lookup-only-in-table dst-address=<LAN-POOL-IP-TO-WAN1> table=to-WAN1

add action=lookup-only-in-table src-address=<LAN-POOL-IP-TO-WAN2> table=to-WAN2
add action=lookup-only-in-table dst-address=<LAN-POOL-IP-TO-WAN2> table=to-WAN2

Ferrograph Guest	#6 0 19.07.2021 14:14:00 Спасибо, @rextended. Я видел, что ты упоминал это раньше, но я не понимаю, как это поможет мне заставить роутер направлять PPTP-подключения, исходящие с роутера, через конкретный IP из определённого WAN? Можешь объяснить подробнее? На других форумах люди неоднократно говорили, что использование правил /route вызывает проблемы. Не мог бы ты объяснить построчно, как работает конфигурация, которую ты выложил, и как я мог бы применить её под свою конкретную задачу? Я использовал mangle и route-mark, так как, судя по всему, это единственный способ идентифицировать исходящий PPTP с роутера. Кстати, моя текущая настройка отлично работает для клиентов LAN — я могу переключать отдельных клиентов LAN на любой WAN, просто включая или отключая правила Mangle.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры