❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

dvakrat wan

Návody a problémy s konfigurací.
Tazok
Příspěvky: 4
Registrován: 7 years ago

dvakrat wan

Příspěvekod Tazok » 7 years ago

Zdravim, mam router Mikrotik RB951G-2HnD, v soucasnosti je pouzivan jako brana do internetu, to znamena ze v portu 1, ktery je jako wan, je kabel od poskytovatele a nastavena fixni IP (napriklad 213.155.43.1), ostatni porty a wifi jsou NAT, kde je zapnut dhcp (rozsah 192.168.2.0-254). Potreboval bych aby napriklad z portu 2 se stal dalsi wan a na nem bude dalsi ip (napriklad 192.168.125.100) prirazena od dhcp (tento dhcp nelze vypnout). Na wan2 neni pristup k internetu, veskery provoz by mel porad byt smerovany na wan1, jen adresy z rozsahu 192.168.125.XXX by byli smerovany na wan2. Lze s timto routrem neco takoveho realizovat? Zkoumal jsem ruzna reseni, ale vetsinou se dve wan pouzivaly jako brany do internetu a delil se mezi ne provoz. Predem dekuji za kazdou radu :)
0 x

mirek.k
Příspěvky: 796
Registrován: 17 years ago

Příspěvekod mirek.k » 7 years ago

Pokud správně rozumím, mělo by stačit vyjmout port 2 z bridge a nastavit na něm dhcp klienta.
0 x

CrazyApe
Příspěvky: 790
Registrován: 10 years ago

Příspěvekod CrazyApe » 7 years ago

A místo masquarade použit src nat pro jednu podsít a src nat pro tu druhou s definovaným těch dvou IP "wanovych"
0 x

rsaf
Příspěvky: 1669
Registrován: 18 years ago

Příspěvekod rsaf » 7 years ago

Řešení se dvěma WAN jsou většinou pro dvě internetové přípojky, protože to WAN tak trochu znamená "směr do světa". Ty se chceš asi připojit ještě k jiné privátní síti, takže:
- jeden z portů (ether2) vyhoď z LAN switche/bridge
- v IP, DHCP Client přidej na ether2 DHCP klienta, vyškrtni use peer DNS, use peer NTP a Add default route dej na No (anebo na ether2 přidej nějakou pevnou IP adresu ze sítě 192.168.125)
- v IP, Firewall, NAT přidej pravidlo kde bude chain:srcnat, out interface:ether2 a action:masquerade
- teoreticky to bude vyžadovat, v závislosti na tom co vše máš ve firewallu nastaveno, ještě přidat nebo upravit nějaká další firewallová pravidla.

Při tomto řešení se ty ze sítě 192.168.2.x dostaneš na zařízení ze sítě 192.168.125.x (můžeš se připojit na NAS, tisknout na síťové tiskárně...) ale naopak to nepůjde. Ale když jsi to chtěl jako druhý WAN, tak je to takto asi správně.
1 x

rsaf
Příspěvky: 1669
Registrován: 18 years ago

Příspěvekod rsaf » 7 years ago

mirek.k píše:Pokud správně rozumím, mělo by stačit vyjmout port 2 z bridge a nastavit na něm dhcp klienta.

Čímž si to rozbije, protože si z dané sítě natáhne DHCP a defaultroute a fungovat to stejně nebude, protože buďto to musí odNATovat nebo udělat routu na tom druhém routeru... Rada nad zlato!
0 x

Uživatelský avatar
Myghael
Příspěvky: 1309
Registrován: 13 years ago

Příspěvekod Myghael » 7 years ago

Nemusí, pokud tedy ovšem v DHCP klientu bude mít "Add Default Route" na no a nezapomene mít nezaškrtnuto (prázdno) v políčku "Use Peer DNS". V tom případě si nerozbije vůbec nic.
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

Tazok
Příspěvky: 4
Registrován: 7 years ago

Příspěvekod Tazok » 7 years ago

Dekuju za odpovedi, snazim se zatim vyjmout port 2 z bridge, ale v mam tam jen ether2-master a wlan1. Screen je v priloze
Přílohy
bridge.jpg
bridge.jpg (114.21 KiB) Zobrazeno 2276 x
0 x

Uživatelský avatar
Myghael
Příspěvky: 1309
Registrován: 13 years ago

Příspěvekod Myghael » 7 years ago

Nejprve musíš u portů 3, 4 a 5 v nastavení nastavit master-port na none (teď tam máš nastaveno ether2-master), pak je můžeš přidat do bridge a ether2 vyjmout (a klidně rovnou přejmenovat na ether2 nebo něco jiného, ať je to přehledné). Doporučuji to dělat přes Wi-Fi, rozhraní wlan1 si tím šachováním neodpojíš. Při nastavování přes kabel tě to dvakrát vykopne a není to chyba.
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

Tazok
Příspěvky: 4
Registrován: 7 years ago

Příspěvekod Tazok » 7 years ago

Tak jsem to dal dokupy, reseni od rsaf funguje. Mel jsem jen problem s tim parametrem master-port, v poslednich verzich fw parametr zmizel a je to uplne jinak, viz: https://forum.mikrotik.com/viewtopic.php?t=130403

Dekuji vsem zucastnenym
0 x

rsaf
Příspěvky: 1669
Registrován: 18 years ago

Příspěvekod rsaf » 7 years ago

Já vím, že to je v posledních verzích jinak, navíc tam byly nějaké chyby, takže se na produkčních věcech zatím držím starší verze. I proto jsem psal tak neurčitě, že je třeba ten port vyhodit ze switche/bridge.
Mohl jsi si to zjednodušit a jako "druhý wan" použít ether5 - nemusel by jsi předělávat ten master.
1 x

rsaf
Příspěvky: 1669
Registrován: 18 years ago

Příspěvekod rsaf » 7 years ago

Myghael píše:Nemusí, pokud tedy ovšem v DHCP klientu bude mít "Add Default Route" na no a nezapomene mít nezaškrtnuto (prázdno) v políčku "Use Peer DNS". V tom případě si nerozbije vůbec nic.

Jak že nerozbije? Přidá si defaultroute do sítě, před kterou NECHCE jít do internetu, to je OK? Přidá si do resolveru DNS servery z nějaké "pochybné" sítě, to je OK?
U sebe v sítí má 192.168.2.x, v té "vedlejší" síti je 192.168.125.x. Jak, prosím, budou stroje ve vedlejší síti vědět, kam poslat odpovědi na požadavky z 192.168.2.x?
0 x

Uživatelský avatar
Myghael
Příspěvky: 1309
Registrován: 13 years ago

Příspěvekod Myghael » 7 years ago

Píšu, že to má mít na "no" a to samé s DNS, takže si nepřidá vůbec nic.
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

Tazok
Příspěvky: 4
Registrován: 7 years ago

Příspěvekod Tazok » 7 years ago

To aby se neco ze site 192.168.125.x dostalo do 192.168.2.x nepotrebuju. Je to zarizeni, ktere se standartne do site nepripojuje, spravne ppripojeni k nemu by se melo delat naprimo jen kabelem (PC<->zarizeni), proto v nem je aktivni ten dhcp, co nelze vypnout.
0 x