dvě linky na jednom router

[Fíkus]

Ještě podotku, že si pomocí BGP propaguji i defalutní routu, kvůli kruhování. Potřeboval bych pro daný rozsah něco jako "vyjímku" z defaultní routy.

[johnyboi]

Ještě podotku, že si pomocí BGP propaguji i defalutní routu, kvůli kruhování. Potřeboval bych pro daný rozsah něco jako "vyjímku" z defaultní routy.

Ten upstream bych nechal bezet tama, kama ho skutecne posila aktivni Default routa. Slo by to omanglovat aby to jelo stejne jak download, no v pripade vypadku te wan 2 linky by se posilal upstream s toho subnetu na nefunkcni nexthop

[Fíkus]

Při nejhorším nechám tak. Hrál jsem si s Local preference a weight, ale to asi na definovaný subnet nechodí.

[johnyboi]

Při nejhorším nechám tak. Hrál jsem si s Local preference a weight, ale to asi na definovaný subnet nechodí.

Ano, LP je vhodny nastroj na kontrolu upstreamu. Vam ale predpokladam chodi od obou peeru jen DR. Takze bgp vam dovoli ridit pouze vsechen provoz, neumozni granularitu.

[stivki19]

Virtual routing and forvarding mi příjde jako routování mezi více fizyckýma routrama a ne vytvoření virtuílních routerů a pak bych mohl udělat rovnou metarouter. ano cílem je wan1-lan1 wan2-lan2 a wan3-lan3

Ano, to je už je vyšší level, že různé VRF instance z různých routerů mezi sebu kooperují, což chce přimíchat BGP a MPLS k tomu. Tobě stačí prznit jen jeden router lokálně. Předpokládejme, že ether1 až ether3 jsou LAN1-LAN3, ether4-ether6 je WAN1 až WAN3, na těch WANech je IP 1.1.1.10 (brána .1) až 3.3.3.30 (brána .3).

/ip route vrf
add routing-mark=router2 interfaces=ether2,ether5
add routing-mark=router3 interfaces=ether3,ether6
/ip address
add interface=ether1 address=192.68.1.1/24
add interface=ether2 address=192.68.2.1/24
add interface=ether3 address=192.68.3.1/24
add interface=ether4 address=1.1.1.10/24
add interface=ether5 address=2.2.2.20/24
add interface=ether6 address=3.3.3.30/24
/ip route
add dst-address=0.0.0.0/0 gateway=1.1.1.1
add dst-address=0.0.0.0/0 gateway=2.2.2.2 vrf-interface=ether5 routing-mark=router2
add dst-address=0.0.0.0/0 gateway=3.3.3.3 vrf-interface=ether6 routing-mark=router3
/ip route rule
add action=lookup-only-in-table src-address=2.2.2.20 table=router2
add action=lookup-only-in-table src-address=192.168.2.1 table=router2
add action=lookup-only-in-table src-address=3.3.3.30 table=router3
add action=lookup-only-in-table src-address=192.168.3.1 table=router3
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether5
add action=masquerade chain=srcnat out-interface=ether6

DHCP na ether1 až 3 si vyrobíš obvyklým způsobem, firewall také. To by tak od boku mohlo být komplet. ether1 a ether4 (plus všechny další nevyjmenované porty v route vrf tvoří main hlavní router k tomu jsou ty další dva routery router2 a router3 po těch dvou ifacech. S tímto nastavením se ani ty routery mezi sebou vnitřkem nevidí. VRF v ROSu nefunguje pro IPv6.

A keby som chcel riešiť situáciu že mám pridelený rozsah verejných IP adries a mám jednu vnútornú sieť ale chcel by som aby určitý rozsah lokálnych IP adries prechádzal cez jednu verejnú IP a druhý rozsah cez druhú IP.

Napríklad, napríklad eth 1 = ip adresy 10.0.0.1/28, eth 2 = 192.168.1.1/24,

[Fíkus]

Moc díky johnyboi za rady.

[johnyboi]

Virtual routing and forvarding mi příjde jako routování mezi více fizyckýma routrama a ne vytvoření virtuílních routerů a pak bych mohl udělat rovnou metarouter. ano cílem je wan1-lan1 wan2-lan2 a wan3-lan3

Ano, to je už je vyšší level, že různé VRF instance z různých routerů mezi sebu kooperují, což chce přimíchat BGP a MPLS k tomu. Tobě stačí prznit jen jeden router lokálně. Předpokládejme, že ether1 až ether3 jsou LAN1-LAN3, ether4-ether6 je WAN1 až WAN3, na těch WANech je IP 1.1.1.10 (brána .1) až 3.3.3.30 (brána .3).

/ip route vrf
add routing-mark=router2 interfaces=ether2,ether5
add routing-mark=router3 interfaces=ether3,ether6
/ip address
add interface=ether1 address=192.68.1.1/24
add interface=ether2 address=192.68.2.1/24
add interface=ether3 address=192.68.3.1/24
add interface=ether4 address=1.1.1.10/24
add interface=ether5 address=2.2.2.20/24
add interface=ether6 address=3.3.3.30/24
/ip route
add dst-address=0.0.0.0/0 gateway=1.1.1.1
add dst-address=0.0.0.0/0 gateway=2.2.2.2 vrf-interface=ether5 routing-mark=router2
add dst-address=0.0.0.0/0 gateway=3.3.3.3 vrf-interface=ether6 routing-mark=router3
/ip route rule
add action=lookup-only-in-table src-address=2.2.2.20 table=router2
add action=lookup-only-in-table src-address=192.168.2.1 table=router2
add action=lookup-only-in-table src-address=3.3.3.30 table=router3
add action=lookup-only-in-table src-address=192.168.3.1 table=router3
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether5
add action=masquerade chain=srcnat out-interface=ether6

DHCP na ether1 až 3 si vyrobíš obvyklým způsobem, firewall také. To by tak od boku mohlo být komplet. ether1 a ether4 (plus všechny další nevyjmenované porty v route vrf tvoří main hlavní router k tomu jsou ty další dva routery router2 a router3 po těch dvou ifacech. S tímto nastavením se ani ty routery mezi sebou vnitřkem nevidí. VRF v ROSu nefunguje pro IPv6.

A keby som chcel riešiť situáciu že mám pridelený rozsah verejných IP adries a mám jednu vnútornú sieť ale chcel by som aby určitý rozsah lokálnych IP adries prechádzal cez jednu verejnú IP a druhý rozsah cez druhú IP.

Napríklad, napríklad eth 1 = ip adresy 10.0.0.1/28, eth 2 = 192.168.1.1/24,

To pujde nastavit src-natem.

[stivki19]

Ano, to je už je vyšší level, že různé VRF instance z různých routerů mezi sebu kooperují, což chce přimíchat BGP a MPLS k tomu. Tobě stačí prznit jen jeden router lokálně. Předpokládejme, že ether1 až ether3 jsou LAN1-LAN3, ether4-ether6 je WAN1 až WAN3, na těch WANech je IP 1.1.1.10 (brána .1) až 3.3.3.30 (brána .3).

/ip route vrf
add routing-mark=router2 interfaces=ether2,ether5
add routing-mark=router3 interfaces=ether3,ether6
/ip address
add interface=ether1 address=192.68.1.1/24
add interface=ether2 address=192.68.2.1/24
add interface=ether3 address=192.68.3.1/24
add interface=ether4 address=1.1.1.10/24
add interface=ether5 address=2.2.2.20/24
add interface=ether6 address=3.3.3.30/24
/ip route
add dst-address=0.0.0.0/0 gateway=1.1.1.1
add dst-address=0.0.0.0/0 gateway=2.2.2.2 vrf-interface=ether5 routing-mark=router2
add dst-address=0.0.0.0/0 gateway=3.3.3.3 vrf-interface=ether6 routing-mark=router3
/ip route rule
add action=lookup-only-in-table src-address=2.2.2.20 table=router2
add action=lookup-only-in-table src-address=192.168.2.1 table=router2
add action=lookup-only-in-table src-address=3.3.3.30 table=router3
add action=lookup-only-in-table src-address=192.168.3.1 table=router3
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether5
add action=masquerade chain=srcnat out-interface=ether6

DHCP na ether1 až 3 si vyrobíš obvyklým způsobem, firewall také. To by tak od boku mohlo být komplet. ether1 a ether4 (plus všechny další nevyjmenované porty v route vrf tvoří main hlavní router k tomu jsou ty další dva routery router2 a router3 po těch dvou ifacech. S tímto nastavením se ani ty routery mezi sebou vnitřkem nevidí. VRF v ROSu nefunguje pro IPv6.

A keby som chcel riešiť situáciu že mám pridelený rozsah verejných IP adries a mám jednu vnútornú sieť ale chcel by som aby určitý rozsah lokálnych IP adries prechádzal cez jednu verejnú IP a druhý rozsah cez druhú IP.

Napríklad, napríklad eth 1 = ip adresy 10.0.0.1/28, eth 2 = 192.168.1.1/24,

To pujde nastavit src-natem.

No dobre ale ak chcem rozsahy IP adries rozdeliť tak stači tie IP adresy mať nadefinované v address liste ???

[johnyboi]

A keby som chcel riešiť situáciu že mám pridelený rozsah verejných IP adries a mám jednu vnútornú sieť ale chcel by som aby určitý rozsah lokálnych IP adries prechádzal cez jednu verejnú IP a druhý rozsah cez druhú IP.

Napríklad, napríklad eth 1 = ip adresy 10.0.0.1/28, eth 2 = 192.168.1.1/24,

To pujde nastavit src-natem.

No dobre ale ak chcem rozsahy IP adries rozdeliť tak stači tie IP adresy mať nadefinované v address liste ???

/ip firewall address-list
add address=10.0.0.0/28 list=To-PublicIP-1
add address=192.168.1.0/24 list=To-PublicIP-2
/ip firewall nat

add action=src-nat chain=srcnat src-address-list=To-PublicIP-1 to-addresses=x.x.x.x
add action=src-nat chain=srcnat src-address-list=To-PublicIP-2 to-addresses=y.y.y.y

[stivki19]

To pujde nastavit src-natem.

No dobre ale ak chcem rozsahy IP adries rozdeliť tak stači tie IP adresy mať nadefinované v address liste ???

/ip firewall address-list
add address=10.0.0.0/28 list=To-PublicIP-1
add address=192.168.1.0/24 list=To-PublicIP-2
/ip firewall nat

add action=src-nat chain=srcnat src-address-list=To-PublicIP-1 to-addresses=x.x.x.x
add action=src-nat chain=srcnat src-address-list=To-PublicIP-2 to-addresses=y.y.y.y

vyjadrím sa lepšie
verejná IP sú napríklad na eth1 je rozhas verených 10.0.0.0/28 ...... verejne IP príklad 10.0.0.2 a 10.0.0.3, na eth2 je druhá sieť lokálna ktorej potrebujem aby 192.168.1.2 - 192.168.1.100 preskočili cez 10.0.0.2,
a 192.168.1.101 - 192.168.1.254 preskočili cez 10.0.0.3 ..... ale trafik ide cez iba WAN - eth1 ... LAN - eth2.

[johnyboi]

No dobre ale ak chcem rozsahy IP adries rozdeliť tak stači tie IP adresy mať nadefinované v address liste ???

/ip firewall address-list
add address=10.0.0.0/28 list=To-PublicIP-1
add address=192.168.1.0/24 list=To-PublicIP-2
/ip firewall nat

add action=src-nat chain=srcnat src-address-list=To-PublicIP-1 to-addresses=x.x.x.x
add action=src-nat chain=srcnat src-address-list=To-PublicIP-2 to-addresses=y.y.y.y

vyjadrím sa lepšie
verejná IP sú napríklad na eth1 je rozhas verených 10.0.0.0/28 ...... verejne IP príklad 10.0.0.2 a 10.0.0.3, na eth2 je druhá sieť lokálna ktorej potrebujem aby 192.168.1.2 - 192.168.1.100 preskočili cez 10.0.0.2,
a 192.168.1.101 - 192.168.1.254 preskočili cez 10.0.0.3 ..... ale trafik ide cez iba WAN - eth1 ... LAN - eth2.

postup zustava stejny jak sem nacrtl vyse. Do adresslistu definuj IP, ktere maji byt natovane za kterou adresu. V ipfirewall nat pak nahrad x.x.x.x a y.y.y.y adresama, za ktere maji tebou zadefinovane rozsahy v adress listech "preskocit".