Переключение активного провайдера

Базовая функциональность RouterOS
Аватара пользователя
Chupaka
Сообщения: 1800
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Переключение активного провайдера

Сообщение Chupaka » 05 мар 2019, 15:38

mrWayer писал(а):
05 мар 2019, 13:15
Попробовал отдельный пул для VPN, но при выключенном параметре (который выше), клиенты не могут влезть в 192.168.2.0/24, оно и понятно, сидят то они на 192.168.3.0/24 (VPN pool).
Поэтому более правильный вариант - выбрать нормальные подсети, например 172.16.2.0/24 для локалки и 172.16.3.0/24 для VPN, или 10.0.2.0/24 и 10.0.3.0/24; в этому случае будут добавляться маршруты на бОльшие подсети: viewtopic.php?f=2&t=2639
mrWayer писал(а):
05 мар 2019, 13:15
Я так думаю, если оставить общий пул, решение из серии:
1) Запретить доступ ко всем ресурсам
2) Разрешить доступ ко всем ресурсам интерфейсам ether3 - wlan2
3) Разрешить доступ к ресурсам 192.168.2.0/24 всем
Можно в PPP-профиле указать Address List (после этого адреса подключенных клиентов окажутся в данном адрес-листе), и потом всем из этого листа запретить chain=forward out-interface=WAN.
mrWayer писал(а):
05 мар 2019, 13:15
К тому же, если выключить из ether1 соединение с сетью (на момент когда подключены оба и используется ether1), то с ether2 есть только доступ к коробке провайдера, а дальше пусто, как будто таблица маршрутов подвисла на первом маршруте. В Routes, маршрут 0.0.0.0/0 gateway_2 при этом reachable на ether2, на ether1 unreachable. Может нужно как-то релоаднуть таблицу маршрутов?
Покажите хотя бы скриншот или /ip route print detail, когда ether1 выключен. Там ещё важно, какие маршруты Active.

mrWayer
Сообщения: 11
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer » 05 мар 2019, 16:57

Chupaka писал(а):
05 мар 2019, 15:38
Можно в PPP-профиле указать Address List (после этого адреса подключенных клиентов окажутся в данном адрес-листе), и потом всем из этого листа запретить chain=forward out-interface=WAN.
А разве, в таком случае, я не запрещу всем доступ к WAN? Просто в графе Address в Firewall -> Address List мне же нужно по умолчанию что-то поставить.

Аватара пользователя
Chupaka
Сообщения: 1800
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Переключение активного провайдера

Сообщение Chupaka » 05 мар 2019, 17:44

Не всем, а только тем, чьи адреса в данном адрес-листе. Т.е. указываем, например, в Profile, что Address List = "VPN_users", потом в Firewall -> Filter добавляем правило chain=forward, src-address-list=VPN_users, out-interface=WAN, action=reject

mrWayer
Сообщения: 11
Зарегистрирован: 01 мар 2019, 17:03

Re: Переключение активного провайдера

Сообщение mrWayer » 06 мар 2019, 10:18

Chupaka писал(а):
05 мар 2019, 17:44
Не всем, а только тем, чьи адреса в данном адрес-листе. Т.е. указываем, например, в Profile, что Address List = "VPN_users", потом в Firewall -> Filter добавляем правило chain=forward, src-address-list=VPN_users, out-interface=WAN, action=reject
А, понял, а я решил, по глупости, что нужно создать лист, а он оказывается Dynamic.)

Ответить