MikroTik - problém s 2 WAN a routováním

[nosek.tomas2004]

Dobrý den, řeším takovouto situaci:
Mám MikroTika, kterém jsou 2 WAN porty, každý od jiného ISP a na každém je veřejná IP. Veškerý provoz do internetu (0.0.0.0/0) routuji na WAN2(=eth2), přes WAN1(=eth1) routuji jen specifické komunikace, které potřebuji, aby šly pouze přes WAN1. Zkrátka vše co chce jít do internetu jde přes WAN2.

Ve vnitřní síti mám VPN server, ke kterému se připojuji z veřejné IP náležící WAN2 (je nastaven dst-nat, firewall atd.) a vše běhá v pohodě.
Problém nastavá, když se chci připojit přes veřjnou IP náležící WAN1 ---> komunikace přes NAT a Firewall projde, ale VPN se nenaváže. Moje teorie proč to tak je je takováto:
Komunikace na WAN1 ---> projde v pořádku NATem i Firewallem ---> v záznamu VPN serveru je vidět požadavek o připojení (což opravdu je), ALE odpověď VPN serveru Mikrotik poté přeroutuje dle výchozí routy na WAN2.

Je má teorie správná?
Nevíte někdo prosím, jak zajistit, aby se šlo připojit z obou WAN (=asi aby Mikrotik poznal, odkud co přišlo a dokázal to routovat jako odpověď na ten interface, ze kterého komunikace přišla)?


Díky moc za pomoc!
S pozdravem Tomáš Nosek.

[mirek.k]

Nevím, o jaký typ vpn se jedna. Většinou je to ale tak, ze vpn server poslouchá na konkrétní ip adrese. Resenim by mohlo byt vytvoření podobne vpn i na wan1.
mirek

[nosek.tomas2004]

Nevím, o jaký typ vpn se jedna. Většinou je to ale tak, ze vpn server poslouchá na konkrétní ip adrese. Resenim by mohlo byt vytvoření podobne vpn i na wan1.
mirek

Jedná se o OpenVPN, který běží na vnitřní LAN IP adrese např. 192.168.5.10 na QNAP serveru

[mirek.k]

Takže je tam port forward.
Pro obe wan nastav dst-nat port forward.
Pro wan1 pak ještě src-nat, který změní zdrojovou adresu na vnitřní ip adresu routeru.

[rsaf]

ALE odpověď VPN serveru Mikrotik poté přeroutuje dle výchozí routy na WAN2.
Je má teorie správná?

Pravděpodobně to tak bude. Je potřeba nastavit policy routing a říct mu, co má kudy chodit. Mám podobnou aplikaci (po jedné WAN chodí vše, po druhé jen kamerový systém) a konfigurace je nějak takto:

Omarkují spojení, která ještě nemají mark a přišla z wan2

Kód: Vybrat vše

/ip firewall mangle add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ether9-WAN2 new-connection-mark=conmark_wan2 passthrough=no

Pakety, které mají tento mark ale nepřišly z wan2 (tzn. odpovědi) se označí routing-mark "wan2"

Kód: Vybrat vše

/ip firewall mangle add action=mark-routing chain=prerouting connection-mark=conmark_WAN2 in-interface=!ether9-WAN2 new-routing-mark=wan2 passthrough=no

Přidá se defaultroute na WAN2 s routing-mark wan2 (co má routing-mark wan2 se pošle přes tuhle gw)

Kód: Vybrat vše

/ip route add distance=1 gateway=_WAN2GW_ routing-mark=wan2

Samozřejmě je potřeba pořešit firewallová a NAT pravidla a tuším že to mělo problémy s fasttrack...

[nosek.tomas2004]

ALE odpověď VPN serveru Mikrotik poté přeroutuje dle výchozí routy na WAN2.
Je má teorie správná?

Pravděpodobně to tak bude. Je potřeba nastavit policy routing a říct mu, co má kudy chodit. Mám podobnou aplikaci (po jedné WAN chodí vše, po druhé jen kamerový systém) a konfigurace je nějak takto:

Omarkují spojení, která ještě nemají mark a přišla z wan2

Kód: Vybrat vše

/ip firewall mangle add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ether9-WAN2 new-connection-mark=conmark_wan2 passthrough=no

Pakety, které mají tento mark ale nepřišly z wan2 (tzn. odpovědi) se označí routing-mark "wan2"

Kód: Vybrat vše

/ip firewall mangle add action=mark-routing chain=prerouting connection-mark=conmark_WAN2 in-interface=!ether9-WAN2 new-routing-mark=wan2 passthrough=no

Přidá se defaultroute na WAN2 s routing-mark wan2 (co má routing-mark wan2 se pošle přes tuhle gw)

Kód: Vybrat vše

/ip route add distance=1 gateway=_WAN2GW_ routing-mark=wan2

Samozřejmě je potřeba pořešit firewallová a NAT pravidla a tuším že to mělo problémy s fasttrack...

Toto bude ono!!! Dějuji moc. Večer vyzkouším.

[rsaf]

Takže je tam port forward.
Pro obe wan nastav dst-nat port forward.
Pro wan1 pak ještě src-nat, který změní zdrojovou adresu na vnitřní ip adresu routeru.

Neraď už lidem takové voloviny! Pokud tam nemá žádnou routu do wan2 tak vše bude odcházet přes wan1 bez ohledu na to, co vymastíš v NATu. Je to router, chová se podle routovací tabulky.

[rsaf]

Toto bude ono!!! Dějuji moc. Večer vyzkouším.

Pokud to máš kvůli VPN (spojení končící na routeru) budeš muset přidat ještě něco jako

Kód: Vybrat vše

/ip firewall mangle add action=mark-routing chain=output log=yes new-routing-mark=wan2 passthrough=no src-address=_WAN2GW_


To co jsem psal výše mi funguje pro portforwardy dovnitř (externí připojení na kamery přes wan2), abych se na samotný router dostal přes wan2, je ještě potřeba to pravidlo v mangle/output.

[nosek.tomas2004]

ALE odpověď VPN serveru Mikrotik poté přeroutuje dle výchozí routy na WAN2.
Je má teorie správná?

Pravděpodobně to tak bude. Je potřeba nastavit policy routing a říct mu, co má kudy chodit. Mám podobnou aplikaci (po jedné WAN chodí vše, po druhé jen kamerový systém) a konfigurace je nějak takto:

Omarkují spojení, která ještě nemají mark a přišla z wan2

Kód: Vybrat vše

/ip firewall mangle add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ether9-WAN2 new-connection-mark=conmark_wan2 passthrough=no

Pakety, které mají tento mark ale nepřišly z wan2 (tzn. odpovědi) se označí routing-mark "wan2"

Kód: Vybrat vše

/ip firewall mangle add action=mark-routing chain=prerouting connection-mark=conmark_WAN2 in-interface=!ether9-WAN2 new-routing-mark=wan2 passthrough=no

Přidá se defaultroute na WAN2 s routing-mark wan2 (co má routing-mark wan2 se pošle přes tuhle gw)

Kód: Vybrat vše

/ip route add distance=1 gateway=_WAN2GW_ routing-mark=wan2

Samozřejmě je potřeba pořešit firewallová a NAT pravidla a tuším že to mělo problémy s fasttrack...

Děkuji moc toto zafungoval více než skvěle. Akorát ten fasttrack to trochu jakoby brzdí, musel jsem ho také předělat. Děkuji moc.
Pěkný večer
Tomáš Nosek