Zdravím,
tak jsem si pořídil router bord 1100 a chci na něm rozchodit tři linky což znamená tři wan vstupy a tři lan výstupy. Nakonfiguroval jsem tedy tři linky které sami osobě běží bez problému pokud ale zapnu další jednu nebo dvě linky, přesměrovává se konektivita na jiné IP(jiný wan). Pokud jsem tam nechal masqueradu na každý vstup stávalo se že se tok přeskočil a běžel internet proto jsem udělal nat-src a teď už se ty pakety aspoň zařezávají, ale nejde internet vůbec. Koukal jsem se po internetu a nenašel jsem nic co by mi pomohlo tak se zeptal technika který mi poradil využít tzv. source routing a značkovat packety při vstupu do zařízení na WAN rozhraních nebo nějaký jiný nápad?!KAždopádně jsem ani jeho radu nenašel.pokud by mi někdo napsal pravidlo aspoň pro jednu linku tak bych byl vděčný. Prostě aby se ty toky kompletně oddělili. Díky
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
dvě linky na jednom router
Maskaradu tam dej jen jednu a nenastavuj tam výstup ani vstup.
Ty jednotlivé toky si odděl pomocí Mangle kde si každej Ethernet oznacis a pak jen v routes nastavis jednotlivá pravidla pro jednotlivé označené toky. Mám to takhle doma na 2x WAN a funguje bez problémů. Až přijedu domů hodím ti sem i ty pravidla.
Ty jednotlivé toky si odděl pomocí Mangle kde si každej Ethernet oznacis a pak jen v routes nastavis jednotlivá pravidla pro jednotlivé označené toky. Mám to takhle doma na 2x WAN a funguje bez problémů. Až přijedu domů hodím ti sem i ty pravidla.
0 x
Pokud to potrebujes opravdu samostatne, tak VRF je to co hledas...
0 x
Já to mám teda udělané takto:
V Routes si pak jen nastavíš tvůj gateway a k tomu si nastavíš routing mark.
Já si to v mangle iznačuji podle address listu tak ten si vyhod a nastav si tam interfaces.
Kód: Vybrat vše
/ip firewall mangle
chain=prerouting action=mark-routing new-routing-mark=Wan2 passthrough=yes src-address-list=Wan2 log=no log-prefix=""
V Routes si pak jen nastavíš tvůj gateway a k tomu si nastavíš routing mark.
Já si to v mangle iznačuji podle address listu tak ten si vyhod a nastav si tam interfaces.
0 x
zdravím tak jsem to nastavil a nějak mě to nechce pouštět ven, nemusí se označovat příchozí i odchozí pakety a pak prerouting těch dvouch?! to co doporučoval radik je vyšší dívčí a příjde mi to spíš jako řešení VPN sítě než to co já potřebuju. Pokud by byl ještě nějaký návrh jsem na příjmu. Omlouvám se za reakci poněkud pomalou, ale jsem v práci a než jsem to vyzkoušel tak to trochu trvalo...Díky a zatím
0 x
Jenže jsi nenapsal, co je vlastně cílem.
Pokud situce, že mám 3 WAN linky a k tomu 3 LAN linky a má to fungovt tak, že WAN1 je jen pro LAN1, WAN2 pro LAN2 a WAN3 pro LAN3, tak opravdu je řešení to VRF, kterým jeden fyzický router rozložím na 3 nezávislé samostané virtuální routery, které posíljí provoz jen mezi přiděleným LAN a WAN.
Pokud situce, že mám 3 WAN linky a k tomu 3 LAN linky a má to fungovt tak, že WAN1 je jen pro LAN1, WAN2 pro LAN2 a WAN3 pro LAN3, tak opravdu je řešení to VRF, kterým jeden fyzický router rozložím na 3 nezávislé samostané virtuální routery, které posíljí provoz jen mezi přiděleným LAN a WAN.
0 x
ještě přihodím konfiguraci pro jedno označení:
ip firewall - mangle
chain=prerouting action=mark-routing new-routing-mark=ISP1_Route passthrough=yes in-interface=ether6 log=yes log-prefix=""
- nat
chain=srcnat action=masquerade log=no log-prefix=""
plus v ip routes jsem samozřejmě vytvořil bránu s routing mark ISP1_Route a nic
ip firewall - mangle
chain=prerouting action=mark-routing new-routing-mark=ISP1_Route passthrough=yes in-interface=ether6 log=yes log-prefix=""
- nat
chain=srcnat action=masquerade log=no log-prefix=""
plus v ip routes jsem samozřejmě vytvořil bránu s routing mark ISP1_Route a nic
0 x
Virtual routing and forvarding mi příjde jako routování mezi více fizyckýma routrama a ne vytvoření virtuílních routerů a pak bych mohl udělat rovnou metarouter. ano cílem je wan1-lan1 wan2-lan2 a wan3-lan3
0 x
Nejsem expert, ale 3x maškaráda a nastavení in i out interface nefunguje?
0 x
Petr Krist
Marty23 píše:Virtual routing and forvarding mi příjde jako routování mezi více fizyckýma routrama a ne vytvoření virtuílních routerů a pak bych mohl udělat rovnou metarouter. ano cílem je wan1-lan1 wan2-lan2 a wan3-lan3
Ano, to je už je vyšší level, že různé VRF instance z různých routerů mezi sebu kooperují, což chce přimíchat BGP a MPLS k tomu. Tobě stačí prznit jen jeden router lokálně. Předpokládejme, že ether1 až ether3 jsou LAN1-LAN3, ether4-ether6 je WAN1 až WAN3, na těch WANech je IP 1.1.1.10 (brána .1) až 3.3.3.30 (brána .3).
/ip route vrf
add routing-mark=router2 interfaces=ether2,ether5
add routing-mark=router3 interfaces=ether3,ether6
/ip address
add interface=ether1 address=192.68.1.1/24
add interface=ether2 address=192.68.2.1/24
add interface=ether3 address=192.68.3.1/24
add interface=ether4 address=1.1.1.10/24
add interface=ether5 address=2.2.2.20/24
add interface=ether6 address=3.3.3.30/24
/ip route
add dst-address=0.0.0.0/0 gateway=1.1.1.1
add dst-address=0.0.0.0/0 gateway=2.2.2.2 vrf-interface=ether5 routing-mark=router2
add dst-address=0.0.0.0/0 gateway=3.3.3.3 vrf-interface=ether6 routing-mark=router3
/ip route rule
add action=lookup-only-in-table src-address=2.2.2.20 table=router2
add action=lookup-only-in-table src-address=192.168.2.1 table=router2
add action=lookup-only-in-table src-address=3.3.3.30 table=router3
add action=lookup-only-in-table src-address=192.168.3.1 table=router3
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether5
add action=masquerade chain=srcnat out-interface=ether6
DHCP na ether1 až 3 si vyrobíš obvyklým způsobem, firewall také. To by tak od boku mohlo být komplet. ether1 a ether4 (plus všechny další nevyjmenované porty v route vrf tvoří main hlavní router k tomu jsou ty další dva routery router2 a router3 po těch dvou ifacech. S tímto nastavením se ani ty routery mezi sebou vnitřkem nevidí. VRF v ROSu nefunguje pro IPv6.
0 x
Dovolim si oživit toto téma s podobnym dotazem. Nedari se mi vyresit toto. Na RB952UiGS-5HacT2HnT mam dve site (na eth1 a eth5) a ty potrebuji 'prodlouzit' tak, aby jedna druhou nevidela. Rozdil oproti prikladu vyse je ten, ze potrebuji
ke kazde siti bridge na další eth port a na virtualni WiFi. Tedy eth1 na eth2 a WlanSit1. Eth5 pak na Eth4 a WlanSit2. Propojeni fyzickych eth portu jsem vyresil vztahem master-slave. Ale u wlan to nejde:-( Poradite prosim někdo jak na to?
Diky!
ke kazde siti bridge na další eth port a na virtualni WiFi. Tedy eth1 na eth2 a WlanSit1. Eth5 pak na Eth4 a WlanSit2. Propojeni fyzickych eth portu jsem vyresil vztahem master-slave. Ale u wlan to nejde:-( Poradite prosim někdo jak na to?
Diky!
0 x
22frets píše:Dovolim si oživit toto téma s podobnym dotazem. Nedari se mi vyresit toto. Na RB952UiGS-5HacT2HnT mam dve site (na eth1 a eth5) a ty potrebuji 'prodlouzit' tak, aby jedna druhou nevidela. Rozdil oproti prikladu vyse je ten, ze potrebuji
ke kazde siti bridge na další eth port a na virtualni WiFi. Tedy eth1 na eth2 a WlanSit1. Eth5 pak na Eth4 a WlanSit2. Propojeni fyzickych eth portu jsem vyresil vztahem master-slave. Ale u wlan to nejde:-( Poradite prosim někdo jak na to?
Diky!
Odpoveď na tvoju otázku je funkcia BRIDGE
Bridge 1 ETH1, ETH2, WIFI1
Bridge 2 ETH5, ETH4, WIFI2
http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Bridge jsem zkousel. Potiz byla v tom, ze po nejake dobe mi rb zacal routovat pakety z bridge1 do bridge 2, coz zpusobilo neviditelnost site za Eth1:-( Nepodarilo se mi prijit na to proc to dela.
0 x