Zdravím,
nevím si rady s následujícím problémem. Mám u zákazníka 3x WAN (přes ADSL, přes Radiokomunikace a přes místního bezdrátového providera) a podařilo se mi zkonfigurovat RB750, aby to chodil internet směrem ven. Pro připojení ven se využívá to rozhraní, které má nejnižší metriku v routovací tabulce. Pokud nefunguje, přepíná se na další v pořadí. Problém nastává s přístupem z internetu do firmy - pokud využiji aktuální připojení k internetu, tak to funguje, ale pokud se připojím na z venku na záložní IP, tak ne - jako by se Mikrotik snažil odchozí pakety posílat přes aktuální rozhraní a nikoliv přes to, přes které posílám požadavek. Používá se na toto Mangle? Jak správně nakonfigurovat?
Díky.
(Omlouvám se, za původně nevhodné umístění do jiného fóra.)
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
RB750 a 3x WAN
Ahoj,
od koho máš přivedenou veřejnou IP adresu? Protože pokud ji máš například od ADSL a v momentě, kdy ti od ADSL nepůjde internet, nedostaneš se tam ani přes veřejnou IP adresu. Tj. řešením by bylo mít od každého ISP veřejnou IP adresu.
PS: Otázečka na konec, proč si ta firma platí 3 konektivity ?
Většinou i hodně velké firmy mají max 2..
od koho máš přivedenou veřejnou IP adresu? Protože pokud ji máš například od ADSL a v momentě, kdy ti od ADSL nepůjde internet, nedostaneš se tam ani přes veřejnou IP adresu. Tj. řešením by bylo mít od každého ISP veřejnou IP adresu.
PS: Otázečka na konec, proč si ta firma platí 3 konektivity ?
Většinou i hodně velké firmy mají max 2..
0 x
Musíš zkombinovat connection marking s routingem.
Uděláš si 4 routovací tabulky, jednu základní, která ti bude fungovat jak dosud, dále další tři doplňkové (třeba isp1, isp2 a isp3), těch tabulkách bude natvrdo default routa vždy daným wan portem.
Dále novému příchozí spojení z jednotlivých wan linek přidáš connectin mark dle daného ISP. A na odchozím provozu budeš testovat, zda spojení nemá nastavneu connection mark, pokud ne, tak ti padne do defualt routování tabulky a odejde tvým aktuálním defualtem (takže jde o spojení, které vzniklo u tebe), pokud connection mark má, tak mu dle toho nastavíš routing mark a pošlelš to tím do příslušné routovací tabulky a linkou ven tou, kterou ti to přišlo.
Násilnil bych to v mangle tabulce, něco jako (psáno zpaměti):
chain=prerouting action=accept connection-state=new in-interface=wan1 connection-mark=101
chain=prerouting action=accept connection-state=new in-interface=wan2 connection-mark=102
chain=prerouting action=accept connection-state=new in-interface=wan3 connection-mark=103
chain=output action=mark-routing new-routing-mark=isp1 passthrough=yes connection-mark=101
chain=output action=mark-routing new-routing-mark=isp2 passthrough=yes connection-mark=102
chain=output action=mark-routing new-routing-mark=isp3 passthrough=yes connection-mark=103
chain=forward action=mark-routing new-routing-mark=isp1 passthrough=yes connection-mark=101
chain=forward action=mark-routing new-routing-mark=isp2 passthrough=yes connection-mark=102
chain=forward action=mark-routing new-routing-mark=isp3 passthrough=yes connection-mark=103
Uděláš si 4 routovací tabulky, jednu základní, která ti bude fungovat jak dosud, dále další tři doplňkové (třeba isp1, isp2 a isp3), těch tabulkách bude natvrdo default routa vždy daným wan portem.
Dále novému příchozí spojení z jednotlivých wan linek přidáš connectin mark dle daného ISP. A na odchozím provozu budeš testovat, zda spojení nemá nastavneu connection mark, pokud ne, tak ti padne do defualt routování tabulky a odejde tvým aktuálním defualtem (takže jde o spojení, které vzniklo u tebe), pokud connection mark má, tak mu dle toho nastavíš routing mark a pošlelš to tím do příslušné routovací tabulky a linkou ven tou, kterou ti to přišlo.
Násilnil bych to v mangle tabulce, něco jako (psáno zpaměti):
chain=prerouting action=accept connection-state=new in-interface=wan1 connection-mark=101
chain=prerouting action=accept connection-state=new in-interface=wan2 connection-mark=102
chain=prerouting action=accept connection-state=new in-interface=wan3 connection-mark=103
chain=output action=mark-routing new-routing-mark=isp1 passthrough=yes connection-mark=101
chain=output action=mark-routing new-routing-mark=isp2 passthrough=yes connection-mark=102
chain=output action=mark-routing new-routing-mark=isp3 passthrough=yes connection-mark=103
chain=forward action=mark-routing new-routing-mark=isp1 passthrough=yes connection-mark=101
chain=forward action=mark-routing new-routing-mark=isp2 passthrough=yes connection-mark=102
chain=forward action=mark-routing new-routing-mark=isp3 passthrough=yes connection-mark=103
0 x
Je nutné nastavovat i "prerouting"?
V tomto návodu http://wiki.mikrotik.com/wiki/ECMP_load ... masquerade to mají bez něj. Jinak zbytek je podobný.
Firma má 2 stálé ISP. Nyní ADSL od O2 jako hlavní a České Radiokomunikace jako spolehlivá, ale pomalá a drahá záloha. Nyní zkoušíme místního bezdrátového ISP a jeden z původních (zřejmě asi ADSL, na který začínám být alergický, a který vyžaduje modem, který v síti dělá další podsíť) bude zrušen.
Veřejné IP máme u všech.
V tomto návodu http://wiki.mikrotik.com/wiki/ECMP_load ... masquerade to mají bez něj. Jinak zbytek je podobný.
Firma má 2 stálé ISP. Nyní ADSL od O2 jako hlavní a České Radiokomunikace jako spolehlivá, ale pomalá a drahá záloha. Nyní zkoušíme místního bezdrátového ISP a jeden z původních (zřejmě asi ADSL, na který začínám být alergický, a který vyžaduje modem, který v síti dělá další podsíť) bude zrušen.
Veřejné IP máme u všech.
0 x
Protože ten příklad řeší rozkládání odchozího provozu vznikajícího uvnitř sítě mezi 2 konektivity směrem ven.
Ty řešíš něco jiného, ty potřebuješ provoz navázaný zvnějšku, aby odpověď odešla ven stejnou trasou, kteoru přišla žádost. O to se snaží ten conn marking v preroutingu na vstupní straně.
Ty řešíš něco jiného, ty potřebuješ provoz navázaný zvnějšku, aby odpověď odešla ven stejnou trasou, kteoru přišla žádost. O to se snaží ten conn marking v preroutingu na vstupní straně.
0 x
Zkoušel jsem to teď, ale Mikrotik mi nedovolí na "forward" nastavit "routing-mark".
Couldn't add New Mangle Rule - routing-mark allowed only in output and prerouting chains (6).
Couldn't add New Mangle Rule - routing-mark allowed only in output and prerouting chains (6).
0 x
to, co potrebujes, se jmenuje policy routing, dobre to je popsano na ROS wiki napr. u PCC, coz je mimochodem vec, kterou bys mozna chtel pouzit.
0 x
Nakonec jsem to udělal takto a funguje to:
Těm prvním třem pravidlům moc nerozumím. Funguje to s nimi i bez nich.
Kód: Vybrat vše
add action=accept chain=prerouting disabled=no dst-address=10.42.99.64/29 in-interface="eth5 LAN"
add action=accept chain=prerouting disabled=no dst-address=192.168.1.0/24 in-interface="eth5 LAN"
add action=accept chain=prerouting disabled=no dst-address=10.232.48.72/29 in-interface="eth5 LAN"
add action=mark-connection chain=prerouting connection-state=new disabled=no in-interface="eth1 Micropolis" new-connection-mark=Micropolis passthrough=no
add action=mark-connection chain=prerouting connection-state=new disabled=no in-interface="eth2 ADSL" new-connection-mark=ADSL passthrough=no
add action=mark-connection chain=prerouting connection-state=new disabled=no in-interface="eth3 Bluetone" new-connection-mark=Bluetone passthrough=no
add action=mark-routing chain=prerouting connection-mark=Micropolis disabled=no in-interface="eth5 LAN" new-routing-mark=Micropolis passthrough=no
add action=mark-routing chain=prerouting connection-mark=ADSL disabled=no in-interface="eth5 LAN" new-routing-mark=ADSL passthrough=no
add action=mark-routing chain=prerouting connection-mark=Bluetone disabled=no in-interface="eth5 LAN" new-routing-mark=Bluetone passthrough=no
add action=mark-routing chain=output connection-mark=Micropolis disabled=no new-routing-mark=Micropolis passthrough=no
add action=mark-routing chain=output connection-mark=ADSL disabled=no new-routing-mark=ADSL passthrough=no
add action=mark-routing chain=output connection-mark=Bluetone disabled=no new-routing-mark=Bluetone passthrough=noTěm prvním třem pravidlům moc nerozumím. Funguje to s nimi i bez nich.
0 x