Zdravím Vás,
jsem nováček v Mikroticích, vše nastavuji dle manuálů na internetu a současný stav je takový. Mám Mikrotika kde jsem na ETH1 udělal WAN a na ETH2 také. Na Dalších Ethernetech ETH3,4,5 mám Bridge1 a na 6,7,8 mám Bridge 2. Obě sítě na sebe vidí, problém, ale nastane, když zapnu WAN2 v Interface, pak se mi lokální síť odmlčí. Rád bych znal návod na to, jak mám nastavit, aby Bridge1 šel přes WAN1 a bridge2 přes WAN2. Někde jsem četl o pravidlu prerouting, ale nejsem si až tak jistý. Všude na internetu jsou jen Load Balancingy a další, ale to pro mě není priorita. Potřebuji mít WAN1 pro jednu síť (včetně NATu); to mi teď funguje a k tomu WAN2 (včetně NATu); to mi nyní nejde (zároveň s WAN1). Děkuji za váš čas
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Dva WANy a dva Bridge
Možná napsat, co to je za model RBčka a export konfigurace. S tím ether2 může být blbě to, že jej máš nastaven jako součást hardwarového bridge a jak se zapne/vypne, tak zblbne tne softwarový bridge, jiná možnost je, že se ti pobije defualt brána přes ten port ether2 s pravidly pro ether1 atd.
Ty dvě LAN sítě se mají nebo nemají normálně vidět?
Tohle jde řešit pomocí "/ip route vrf", pomocí toho lze ten jeden fyzický rotuer rozdělit na dva nezávislé logické routery, kde si každý nastavuješ samostatně, jak se ti hodí a neovlivňují se ti vzájemně:
/ip route vrf
add interfaces=ether2,bridge2 routing-mark=router2
Toto ti oddělí ether2 a bridge2 do samostatného routeru. Jediné, co je třeba si ohlídat, tak nastavit default bránu pro router2 korektně (pokud je brána třeba X.X.X.X a WAN2 IP X.X.X.Y/Z):
/ip route add distance=1 gateway=X.X.X.X routing-mark=router2
/ip route rule add action=lookup-only-in-table src-address=X.X.X.Y/32 table=router2
Ty dvě LAN sítě se mají nebo nemají normálně vidět?
Tohle jde řešit pomocí "/ip route vrf", pomocí toho lze ten jeden fyzický rotuer rozdělit na dva nezávislé logické routery, kde si každý nastavuješ samostatně, jak se ti hodí a neovlivňují se ti vzájemně:
/ip route vrf
add interfaces=ether2,bridge2 routing-mark=router2
Toto ti oddělí ether2 a bridge2 do samostatného routeru. Jediné, co je třeba si ohlídat, tak nastavit default bránu pro router2 korektně (pokud je brána třeba X.X.X.X a WAN2 IP X.X.X.Y/Z):
/ip route add distance=1 gateway=X.X.X.X routing-mark=router2
/ip route rule add action=lookup-only-in-table src-address=X.X.X.Y/32 table=router2
0 x
Jedná se o model CCR1036-8G-2S+
Klidně mohou být dva bridge mezi sebou viditelné. Jediné co potřebuji je to, aby tedy ten jeden bridge-data1 šel přes WAN2 a bridge-app1 přes WAN1(směrem ven)
Klidně mohou být dva bridge mezi sebou viditelné. Jediné co potřebuji je to, aby tedy ten jeden bridge-data1 šel přes WAN2 a bridge-app1 přes WAN1(směrem ven)
Kód: Vybrat vše
# dec/08/2015 11:29:34 by RouterOS 6.33.3
# software id = YYIL-WV08
#
/interface bridge
add name=bridge-app1
add name=bridge-data1
/interface ethernet
set [ find default-name=ether1 ] name=WAN1
set [ find default-name=ether2 ] disabled=yes name=WAN2
set [ find default-name=sfp-sfpplus1 ] disabled=yes
set [ find default-name=sfp-sfpplus2 ] disabled=yes
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.1.100-192.168.1.150
add name=dhcp-pool-data1 ranges=192.168.2.100-192.168.2.150
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-app1 lease-time=8h name=\
dhcp1
add address-pool=dhcp-pool-data1 disabled=no interface=bridge-data1 \
lease-time=8h name=dhcp-data1
/snmp community
add addresses=0.0.0.0/0 authentication-password=XXXXXX \
authentication-protocol=SHA1 encryption-password=XXXXX name=\
Xaro
/interface bridge port
add bridge=bridge-app1 interface=ether3
add bridge=bridge-app1 interface=ether4
add bridge=bridge-app1 interface=ether5
add bridge=bridge-data1 interface=ether6
add bridge=bridge-data1 interface=ether7
add bridge=bridge-data1 interface=ether8
/ip address
add address=192.168.1.1/24 comment=XAPP1 interface=bridge-app1 network=\
192.168.1.0
add address=1.2.3.161/28 interface=WAN1 network=1.2.3.160
add address=192.168.2.1/24 comment=XDATA1 interface=bridge-data1 network=\
192.168.2.0
add address=1.2.3.162/28 interface=WAN1 network=1.2.3.160
add address=1.2.3.163/28 interface=WAN1 network=1.2.3.160
add address=1.2.3.168/28 interface=WAN2 network=1.2.3.160
/ip dhcp-client
add dhcp-options=hostname,clientid interface=sfp-sfpplus2
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24
add address=192.168.2.0/24 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes servers=2.3.4.5,2.3.4.6
/ip firewall filter
add chain=input comment="Povol p\F8\EDstup Winboxem na Mikrotik" dst-port=\
8291 protocol=tcp src-address=XXX.XXX.XX.110-XXX.XXX.XX.115
add chain=input comment="Povol Management Mikrotiku" dst-port=61001 protocol=\
tcp src-address=XXX.XXX.XX.110-XXX.XXX.XX.115
add chain=input comment="SNMP na Mikrotik" dst-port=161 protocol=udp \
src-address=XXX.XXX.XX.110-XXX.XXX.XX.115
add chain=input comment="accept established connection packets" \
connection-state=established
add chain=forward connection-state=established
add chain=input comment="accept related connection packets" connection-state=\
related
add chain=forward connection-state=related
add chain=input comment="Allow limited pings" limit=50/5s,2 protocol=icmp
add action=drop chain=input comment="Drop excess pings" protocol=icmp
add action=drop chain=input comment="drop invalid packets" connection-state=\
invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input in-interface=WAN1
add action=drop chain=input in-interface=WAN2
add action=tarpit chain=input connection-limit=3,32 in-interface=WAN1 \
protocol=tcp src-address-list=blocked-addr
add action=jump chain=forward comment="SYN Flood protect" connection-state=\
new disabled=yes jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add chain=SYN-Protect connection-state=new limit=400,5 protocol=tcp \
tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
tcp-flags=syn
add action=add-src-to-address-list address-list=blocked-addr \
address-list-timeout=1m chain=input connection-limit=50,32 in-interface=\
WAN1 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1 src-address=\
192.168.1.0/24
add action=masquerade chain=srcnat out-interface=WAN2 src-address=\
192.168.2.0/24
add action=dst-nat chain=dstnat dst-address=1.2.3.161 dst-port=80 \
protocol=tcp to-addresses=192.168.1.3 to-ports=80
add action=dst-nat chain=dstnat dst-address=1.2.3.161 dst-port=443 \
protocol=tcp to-addresses=192.168.1.3 to-ports=443
add action=dst-nat chain=dstnat dst-address=1.2.3.168 dst-port=443 \
protocol=tcp to-addresses=192.168.2.3 to-ports=443
add action=dst-nat chain=dstnat comment="ILO APP1 server" dst-address=\
1.2.3.162 dst-port=443 protocol=tcp src-address=\
XXX.XXX.XX.110-XXX.XXX.XX.115 to-addresses=192.168.1.2 to-ports=443
add action=dst-nat chain=dstnat dst-address=1.2.3.162 dst-port=17990 \
protocol=tcp src-address=XXX.XXX.XX.110-XXX.XXX.XX.115 to-addresses=\
192.168.1.2 to-ports=17990
/ip route
add distance=1 gateway=1.2.3.174
/ip service
set www port=61001
set www-ssl disabled=no port=61443
/lcd
set enabled=no
/lcd pin
set pin-number=5716
/snmp
set contact=XaroFW enabled=yes location="Praha" \
trap-community=Xaro
/system clock
set time-zone-name=Europe/Prague
/system identity
set name=XaroFW
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR protected-routerboot=\
disabled
0 x
Dle té konfigurace se ti po aktivaci ether2 asi stalo to, že všechen provoz odcházel přes ether2, akorát se data od prvního bridge nenatovala, takže se to fakticky znefunkčnilo.
Tak jak jsem npsal v tom předchozím postu, tak bez dalších rout se vzájemně ty dva bridge nevidí (neví o sobě), takže je možno mít i takovou volovinu, že obě ty LAN sítě mohou používat shodný IP prefix (např 192.168.1.0/24) a bude to fungovat OK (ale nedělal bych to, pokud k tomu není vážný důvod, slabší jedince z takové konfigurace bolí pak hlava).
Tak jak jsem npsal v tom předchozím postu, tak bez dalších rout se vzájemně ty dva bridge nevidí (neví o sobě), takže je možno mít i takovou volovinu, že obě ty LAN sítě mohou používat shodný IP prefix (např 192.168.1.0/24) a bude to fungovat OK (ale nedělal bych to, pokud k tomu není vážný důvod, slabší jedince z takové konfigurace bolí pak hlava).
0 x
Ale ten subjnet 192.168.1.0 a 2.0 se mezi sebou vzájemně vidí a internet přes WAN1 funguje. Prostuduju to k večeru, teď to píšu a řeším ve spěchu. Děkuju
0 x
Ano, teĎ se ti to vidí, až ten příkaz "/ip route vrf add interfaces=ether2,bridge-data1 routing-mark=router2" ti odtřihne tyhle dva inerfejsy do routeru zvlášť a přestane se to se zbytkem vidět.
0 x
Tak to doufám, že se tím vzdáleně neodstřihnu. Potřebuji se dostat aspoň přes Winbox do Mikrotiku 
0 x
Tak to testuju, jen poprosím, jak naroutovat, aby šlo vidět bridge1 a bridge2 mezi sebou? Chtěl bych mít možnost z LAN 192.168.1.0 přístup na 192.168.2.0 a opačně.
0 x
Ano, jde nastavit routing mezi dvěmi VRF instancemi. Cca:
/ip route
add dst-address=192.168.2.0/24 gateway=bridge2 routing-mark=main
add dst-address=192.168.1.0/24 gateway=bridge1 routing-mark=router2
/ip route
add dst-address=192.168.2.0/24 gateway=bridge2 routing-mark=main
add dst-address=192.168.1.0/24 gateway=bridge1 routing-mark=router2
0 x