dvě linky na jednom router

[ludvik]

Ač můžeme na hrb mikrotiku hodit skoro cokoliv, tak za vymírání velryb nemůže a sám od sebe po nějaké době routovat nezačne, pokud mu tak neřekneme konfigurací.

Bez toho, aby někdo viděl tvoji konfiguraci ti nikdo neporadí.

Bridge je softwarový switch. Tedy tam, kde to nejde vyřešit hardwarově (slave porty), tam se použije bridge. Samozřejmě lze kombinovat (aneb proč to dělat softwarově, když to jde hardwarově). Ale hw switch v těchto malých RB bude asi jenom jeden. Čili tu druhou část musíš dát do bridge jako samostatné porty.

A pokud potřebuješ omezovat provoz, musíš se naučit firewall. V tomto případě zakázat všechny pakety, co jdou z bridge1 do bridge2 (a naopak). Dva řádky, pár kliknutí.

[Noxus28]

Pokiaľ potrebuješ mat bridge oddelené tak použi firewall.
len tak z hlavy:
/interface bridge filter add action=drop in-bridge=bridge1 out-bridge=bridge2 chain=forward

edit. Ludvik ma už predbehol

[22frets]

Dekuji za tipy. Vyzkousel jsem, ale bohužel se stejnym výsledkem. RB routuje v bridgi bb na gateway v bridgi cc, pripadne zahazuje pakety. Taktez ping z jiné site nez 10.20.32.0/22 se nevraci:-(
Nize je export RB. Neumim RB naucit, ze vse co se objevi na portech bridge bb patri jen tam a odesle se na interface jen v bb.
Za pomoc dekuji.
edit: cestu /ip route add distance=1 dst-address=172.27.220.0/23 gateway=10.20.32.1 jsem pridal pro overeni routingu. Pote mi pingy z 172.27.220.100 na 10.20.32.199 zacaly fungovat. Ne však z dalších siti za 10.20.32.0:-(

# jan/11/2017 12:38:19 by RouterOS 6.38
# software id = ZF1A-3ADS
#
/interface bridge
add name=bb
add admin-mac=6C:3B:6B:24:FC:AA auto-mac=no comment=defconf name=bridge
add name=cc
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
MikroTik-24FCB0 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
20/40/80mhz-Ceee disabled=no distance=indoors frequency=auto mode=\
ap-bridge ssid=MikroTik-24FCAF wireless-protocol=802.11
/ip neighbor discovery
set ether1 discover=no
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=6E:3B:6B:24:FC:B1 \
master-interface=wlan1 mode=ap-bridge multicast-buffering=disabled name=\
cc24 ssid=cc24 wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=6E:3B:6B:24:FC:B0 \
master-interface=wlan1 mode=ap-bridge multicast-buffering=disabled name=\
m24 ssid=m24 wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=Aa12345678
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge filter
add action=drop chain=forward in-bridge=bb out-bridge=cc
add action=drop chain=forward in-bridge=cc out-bridge=bb
/interface bridge port
add bridge=bb comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bb interface=ether1
add bridge=bb interface=ether3
add bridge=cc interface=ether5
add bridge=cc interface=ether4
add bridge=bb interface=m24
add bridge=cc interface=cc24
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=cc
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=bb
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" disabled=yes \
in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related

[ludvik]

Chceš zakázat provoz mezi dvěma interfaci. Dej to do normálního filteru.

Možná to bude fungovat i takto, ale ten filtering musí být povolený.

Každé pravidlo má počítadlo. Tedy je vidět kolik paketů jeho podmínky splnilo. Na tom poznáš, jestli funguje ...

[22frets]

Když udelam zmeny v routovani, projevi se s zpozdenim, nebo az po rebootu.
Prichozi pakety z jinych siti (tedy ne ze site bridge bb) do bridge bb mi tento bridge nevracel. Netusim kam sly, protože pravidlo mezi bridgi nic nepocitalo. Vyresil jsem to v Mangle, kde jsem oznacil všechny pakety v bridge bb a ty pak routuju na kyzene rozhrani v bridgi bb odkud prisly. Je to spravne reseni? diky.

/interface bridge port
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bb interface=ether2-master
add bridge=bb interface=ether1
add bridge=bb interface=bbwlan
add bridge=cc interface=ether5
add bridge=cc interface=ether4
add bridge=cc interface=ccwlan


/ip firewall mangle
add action=mark-routing chain=prerouting in-interface=bb new-routing-mark=bbmark \
passthrough=yes
add action=mark-routing chain=output new-routing-mark=bbmark out-interface=bb \
passthrough=yes

[ludvik]

Nevím. Já už ti nerozumím. Snad ti poradí někdo jiný.

[Majklik]

Nu, dle toho exportu pouštíš nd bridgem BB i CC klienta pro DHCP , co ti může přidělit default routu, oboje s distnce 0. Pak se ti sandno může stát, že paket, co se zaroutují o routeru přes bridge BB, tka budou poslán pryč přes bránu na CC.
Bidge smaozřejmě bridguje pakety jen mezi porty k němu náležijící, le pokud je nějký paket doručen na router, protože cílová MC dresa míří na něj, tak pak je routován dál na základ cílové IP adresy a tk e ti dostane do jiného bridge. Pokud chceš, ab pakety, co jsou doručeny na rouer skrz bridge BB, tk pokud mjí jít pryč, tjk jen dle dafault routy mířící někm v tom bridge BB a popodbě i s tím CC, tak musíš oddělit to pomocí VRF nebo policy routingu.

[22frets]

Dekuji! Tohle jsem se nikde nedocetl:-( Ted uz to je jede. Ještě jednou diky!

[Fíkus]

Dobrý den,

rád bych poprosil o radu v BGP se považuji za začátečníka. Máme na jednom vysílači velkého klienta který bere nyní cca 150M a hodně vytěžuje primární spoj. Máme na daný bod i zálohu o kapacitě 200M, kterou bych pro něj rád využil. Obě cesty pak vedou na centrálu kde je nat. Pro ilustraci obrázek pro přirovnání :

VRF.png (14.83 KiB) Zobrazeno 4098 x

Potřeboval bych tedy všechny rozsahy směrovat přes primární GW na WAN1 a pouze jeden rozsah přes WAN2. Myslím, že cestou by mohlo být asi použití VRF - https://wiki.mikrotik.com/wiki/Manual:V ... Forwarding , ale nevím přesně jak to uchopit. Samozřejmě pokud vypadne jeden nebo druhý WAN všechen provoz pojede pro tom funkčním.

[johnyboi]

Dobrý den,

rád bych poprosil o radu v BGP se považuji za začátečníka. Máme na jednom vysílači velkého klienta který bere nyní cca 150M a hodně vytěžuje primární spoj. Máme na daný bod i zálohu o kapacitě 200M, kterou bych pro něj rád využil. Obě cesty pak vedou na centrálu kde je nat. Pro ilustraci obrázek pro přirovnání :

VRF.png

Potřeboval bych tedy všechny rozsahy směrovat přes primární GW na WAN1 a pouze jeden rozsah přes WAN2. Myslím, že cestou by mohlo být asi použití VRF - https://wiki.mikrotik.com/wiki/Manual:V ... Forwarding , ale nevím přesně jak to uchopit. Samozřejmě pokud vypadne jeden nebo druhý WAN všechen provoz pojede pro tom funkčním.

navazes bgp skrze obe WAN linky na centralu. Nahodis tam prependy v routing filtrech tak, aby byl jeden s tech prefixu vyhodnejsi skrze WAN2. Nepotrebujes VRF.

[Fíkus]

Dobrý den,
děkuji za radu, tomu takto rozumím. Takhle mám udělanou zálohu té centrály. Ale potřeboval bych určit, aby nějaký subnet co ten router propaguje jel přes určitý link a zbytek jinudy.

[johnyboi]

Dobrý den,
děkuji za radu, tomu takto rozumím. Takhle mám udělanou zálohu té centrály. Ale potřeboval bych určit, aby nějaký subnet co ten router propaguje jel přes určitý link a zbytek jinudy.

Ve filtrech si nastavite jednotlive subnety. Pro ten, ktery chcete posilat skrze WAN2 nastavite vyssi prepend pres WAN1. Pochopitelne i IN i OUT smer.

[Fíkus]

Dobrý den,

něco takovéhoto prosím :

Kód: Vybrat vše

chain=pretizeni prefix=xxx.xxx.xxx.xxx/29 prefix-length=29 invert-match=no action=accept set-bgp-prepend=12 set-bgp-prepend-path=""

To ni bohužel nejde. Filtr přetížení jsem dal jako IN i OUT na daný peer, kudy nechci, aby tento prefix tekl.

[johnyboi]

Dobrý den,

něco takovéhoto prosím :

Kód: Vybrat vše

chain=pretizeni prefix=xxx.xxx.xxx.xxx/29 prefix-length=29 invert-match=no action=accept set-bgp-prepend=12 set-bgp-prepend-path=""

To ni bohužel nejde. Filtr přetížení jsem dal jako IN i OUT na daný peer, kudy nechci, aby tento prefix tekl.

A vidite na centrale obe routy pro ten prefix? I tu bez prependu i tu z 12 prependama?

[Fíkus]

Dobrý den,

už jsem na to přišel, měl jsem tam úklep. Download mi jede před druhý spoj, ale upload jde stále pro tom hlavním, tedy pomocí výchozí GW. Můžu prosím ještě nějak upravit to? Nevadí nějak hodně takováto asymetrie, přeci jen každá cesta je jinak dlouhá atd. atd.