+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Доступ к Mikrotik через вторичное интернет-соединение

Доступ к Mikrotik через вторичное интернет-соединение, RouterOS

rbuserdl

Guest

22.03.2018 12:25:00

Привет! Я работаю в компании, которая предоставляет поддержку многим клиентам. У нас есть разные Mikrotik у разных клиентов — некоторые в роли роутера, некоторые как точка доступа. Я знаю о Mikrotik только базовые настройки. Я заметил у нескольких клиентов, у которых больше одного Mikrotik (в роли роутера), одну и ту же проблему:

- У Mikrotik несколько интернет-подключений.
- Допустим, у меня есть 1 интернет-соединение на ether1 и второе на ether2, при этом ether1 с меньшим значением distance.
- Я могу подключиться к Mikrotik через Winbox с другого сайта по публичному IP на ether1, но не могу по публичному IP на ether2.
- Если я ставлю меньшее значение distance для ether2, весь трафик начинает идти через ether2.
- Тогда я могу подключиться к Mikrotik через Winbox с другого сайта по публичному IP на ether2, но не могу через публичный IP на ether1.

В чем может быть проблема? Что мне проверить, чтобы найти причину? Заранее спасибо. С уважением.

anav

Guest

11.06.2018 14:26:00

Даже если IP остается одинаковым, похоже, что это сценарий с динамическим IP-адресом, так как провайдер может изменить его в любой момент. Во втором случае вам дали IP для использования, и вы вводите его вручную (статический). Поэтому в первом случае используйте masquerade (делаете это правильно сейчас), во втором — используйте srcnat для действия (нужно исправить) и в поле to-addresses указывайте статический WAN-IP, который становится доступен.

rbuserdl

Guest

11.06.2018 14:48:00

Спасибо, Анав. Теперь мне нужно что-то менять в роутере с динамическим IP и маскарадингом, потому что именно этот роутер пострадал. Другой роутер работает без проблем, мне всё равно, используется ли там маскарадинг или src-nat, главное, что всё работает отлично.

anav Guest	#4 0 11.06.2018 14:51:00 Ну, можешь попробовать использовать правило srcnat для первого случая и посмотреть, будет ли работать лучше. Проблем не должно возникнуть, ведь ты говоришь, что IP никогда не меняется. Попробуй.

rbuserdl

Guest

11.06.2018 15:05:00

Anav, похоже, мы говорим на разных языках.
Случай 1: 1 роутер, статический IP, masquerade: я должен заменить на src-nat, но в этом нет необходимости, потому что этот роутер работает отлично, я могу подключиться к нему через любой интерфейс.
Случай 2: 1 роутер, динамический IP, masquerade. Что мне нужно изменить, чтобы можно было подключаться через вторичный WAN?

anav

Guest

11.06.2018 16:50:00

Ха-ха, точно, ты прав! Я подумал, что в предыдущем сообщении наоборот было: 1-й интерфейс не работает, а 2-й работает отлично. Хорошо, для WAN2 предположим, что шлюз — 172.145.66.1, а фиксированный IP, который тебе дали — 172.145.66.10. Тогда твое правило будет выглядеть так: /ip firewall nat add chain=srcnat in-interface-list=LAN out-interface=ether2 action=srcnat to-addresses=172.145.66.10.

В общем, мы говорим, что для любых пакетов из локальной сети (LAN), которые идут в интернет, им надо выдавать публичный IP роутера. У меня два динамических WANIP, поэтому у меня два правила, оба делают masquerade, как в примере выше (не используй srcnat), с указанием out-interface=ISPX по ситуации.

То есть в этом правиле мы говорим: для любых пакетов, идущих из LAN в интернет через ether2, дать им публичный IP 172.145.66.10.

rbuserdl Guest	#7 0 11.06.2018 19:31:00 Спасибо, Анаф, сейчас я занят другим вопросом. Постараюсь сделать это как можно скорее и обязательно сообщу тебе.

CZFan

Guest

11.06.2018 22:16:00

Это один роутер с двумя WAN-портами, одним статическим IP и другим динамическим? Если да, то нужно использовать mangle для установки меток маршрутизации, чтобы пакеты выходили через тот же WAN, через который пришли. Проблема в том, что пакет выходит из роутера с другим IP или через другой интерфейс, а ваш компьютер не распознаёт это «соединение» и сбрасывает пакет.

rbuserdl

Guest

28.06.2018 16:05:00

Спасибо всем. Извиняюсь за задержку, раньше не замечал, но поскольку проблема возникла между внешним устройством и Mikrotik (цепочка input для Mikrotik), NAT здесь не при чём. Я проверил то, что вы запрашивали, и это верно: когда я пытаюсь подключиться через второе соединение, ответ приходит через первое — вот в чём суть проблемы. Я смог пометить пакеты, и это сработало нормально.

Следующий вопрос: почему это работает на других роутерах без каких-либо правил mangle? Ниже копирую правила mangle:
/ip firewall mangle
add action=accept chain=prerouting dst-address=190.19.63.0/24 src-address=192.168.0.0/24
add action=accept chain=prerouting dst-address=181.46.108.0/22 src-address=192.168.0.0/24
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ether1-wan new-connection-mark=ISP1_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ether2-wan new-connection-mark=ISP2_conn passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ISP2_conn new-routing-mark=To_ISP2 passthrough=no
add action=mark-routing chain=output connection-mark=ISP2_conn new-routing-mark=To_ISP2 passthrough=no

rbuserdl

Guest

#10

24.04.2018 15:22:00

Большое спасибо, Solar77 и Anav. Извиняюсь за задержку, у меня много работы, и обычно я оставляю не срочные задачи на потом. Я знаю, что в первую очередь рассматриваются более конкретные маршруты, но не знал, что трафик всегда уходит через соединение с меньшим расстоянием. Я думал, что когда трафик приходит через один WAN, он возвращается через тот же WAN. Я сделаю эти правила и протестирую. Ещё раз спасибо. С уважением, Дамиан.

rbuserdl

Guest

#11

11.06.2018 13:26:00

Извините, не хотел оживлять старую тему, но меня беспокоит следующее: почему у меня такое поведение на некоторых роутерах, а на других нет? Я сравнил все настройки на двух роутерах с разным поведением и не нашёл ничего, кроме того, что у роутера с таким поведением IP в основном WAN получил динамически, а у роутера, через который я могу получить доступ с любого интерфейса, в основном WAN много статических IP. Оба роутера, которые я использовал для сравнения, имеют одинаковое железо и одну версию RouterOS. Кто-нибудь знает, в чём дело? Заранее спасибо. С уважением.

anav

Guest

#12

11.06.2018 13:40:00

Тип IP-адресов (статический или динамический) зависит от того, что предоставляет провайдер, и мы на это не влияем. Насколько я понимаю, разница в следующем:
а. для динамических WAN IP используйте action=masquerade в цепочке srcnat;
б. для статических WAN IP используйте action=srcnat в цепочке srcnat.

В поле to-addresses, которое показывается при выборе action=srcnat, указываете статический IP вашего WAN.

rbuserdl Guest	#13 0 11.06.2018 13:55:00 В обоих случаях у меня статический IP. В одном роутере я всегда получаю один и тот же IP через DHCP-клиент. В другом роутере я сразу задал статический IP через «/ip address». В обоих случаях использую masquerade. Это единственное отличие, которое я заметил у обоих роутеров. Кто-нибудь знает, почему на одинаковых роутерах такое разное поведение?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры