2 интернета и 2 сети (RB2011)

Базовая функциональность RouterOS
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Открытие:

Код: Выделить всё

/ip firewall filter
add chain=input action=accept protocol=tcp in-interface=Ether10-WAN-E dst-port=8291
Закрыть всё:

Код: Выделить всё

/ip firewall filter
add chain=input action=drop in-interface=Ether10-WAN-E
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Спасибо.
А какой мне нужно открыть порт для работы PPTP что у меня есть, та как после ввода команды именно он перестал работать.
Скрины
https://imgur.com/a/0XDgADf
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Для PPTP нужны "protocol=tcp dst-port=1723" и "protocol=gre"
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Во так? (не работает)
https://imgur.com/a/dNiFf8Y
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Конечно не работает. У вас же выше запрещающие правила — они первыми ловят пакеты, поэтому до разрешающих дело не доходит. Перетащите запрещающие вниз.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Я догадывался о таком и делал (сделал повторно) вот так
https://imgur.com/a/s6GVQZn
таже ситуация, возможно что-то неправильно с разрешающим правилом?!
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Возможно. На imgur поганое качество картинок почему-то. И лучше таки смотреть на /ip firewall filter export в Терминале — там сразу всё видно.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

export в Терминале
https://prnt.sc/l2qlx7
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Так, стоп. У вас перестал работать PPTP-сервер или PPTP-клиент? Я думал, сервер :)

Добавьте в самом верху правило /ip firewall filter add chain=input connection-type=established,related
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Сделал вот так, это правильно? Все заработало.
https://prnt.sc/l2ujc9
Спасибо Вам.

Другой вопрос. Что на микротике может резать скорость, по провайдеру ether10-WAN-E скороть напрямую в пк 97Mb из 100 а через роутер до 35Mb все соеденения по кабелю.
По второму провайдеру ether1-WAN-V скорость соотвествует норме 180Mb +/- из 200 через роутрер.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Да, так правильно.

Вы так и не рассказали, где у вас используется PPTP. Но в целом, при скачивании смотрите Tools -> Profile, покажет, что и какую нагрузку создаёт на процессор.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Я не завсем понял что Вы имеете ввиду "где у вас используется PPTP"
Тест Tools -> Profile при нагрузке (тест на спидест) на ether10-WAN-E через WIFI
https://youtu.be/Bz3VBNSSY0I

на ether10-WAN-E через кабель
https://youtu.be/_uUvPd-Ss5o

****

Разобрался, вопрос снят.
Спасибо Вам.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

И что было, если не секрет? :)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Соединение было через WiFi a не через кабель. Через кабель все хорошо 80-90мб +/-
А вот через WiFi до 35мб с этим можно что-то сделать (карта же поддерживает 100мб соединение)?
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Sir_Prikol »

WiFi - поддерживает одновременную скорость, реальная = скорость wifi делим на 2 (при одном клиенте, если их много, то делим на количество клиентов) и вычитаем процент, который гасит скорость при шифровании, а это уже зависит от типа шифрования и какой ключ используется, на практике ещё процентов 30 от скорости
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Где настройки вайфая? Канальная скорость выше 100 Мбит/с только на каналах шириной 40 МГц, как помню. Фактическая скорость передачи полезных данных — надо канальную делить на 2, как говорят
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Sir_Prikol »

WiFi - ещё та штука, в магистральной сети PtP - я гигабит вытягиваю, а вот в PtMP - на 1300 мегабитах - масимум я получил 800 мегабит, а так постоянно 527-640 мегабит
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Относительно доступности устройств.
Если устройство - cap ac подключено по ethernet к примеру в bridge1-NET-V то через windox c ПК который также находится в bridge1-NET-V я вижу оба устройства rb2011 и cap ac.

Но если я подключаю cap ac в другой bridge2-NET-E то устройство cap ac перестает быть доступно (видимо) с ПК который находится в bridge1-NET-V.

А если зайти в windox с ПК который находится в bridge2-NET-E то там видно все 2 устройства rb2011 и cap ac. Почему так получается?
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

Чтобы ответить на вопрос, необходимо знать, что вы имеете в виду под "перестает быть доступно" и "видно". По IP доступа нет, или просто в Neighbors не видно при поиске? Если второе - то там всё работает на широковещательных пакетах, которые, естественно, между бриджами не перескакивают. Вот обнаружение и работает только в "своём" бридже.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Да, второе, в Window в Neighbors cap не видно при поиске если подключен к другой сети. А вот cap видет rb2011 и cap ac в другой сети.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Добрый день. Перенастроил полностью сеть с 0, чтобы убрать постороннее вмешательство после взлома. На данном этапе отказался от PPTP и родительского контроля.
Задача. Настройка двоих независимых провайдеров интернета на две независимых сети.
После всех нижеперечисленных действий нет интернета в обеих сетях, подозреваю что проблема в DNSтак-как Chrome пишет именно об этом.
Ping 8.8.8.8 в обеих сетей проходит (в командной строке через ПК)
https://prnt.sc/mj4je7
Моя последовательность действий
1. Сделал сброс настроек роутера (без стандартной конфигурации и создании резервной копии)
2. Создал два бриджа и объединил в них порты
3. Сделал настройку статического IP для обеих бриджей
https://prnt.sc/mj4xy7
4. Произвел настройку интернета в IP -> DHCP Client
https://prnt.sc/mj4xiv
5. Создал две новых таблицы маршрутизации с дефолтными маршрутами через каждый из каналов:

Код: Выделить всё

/ip route
add routing-mark=WAN-V gateway=192.168.77.1
add routing-mark=WAN-E gateway=192.168.88.1
6. Направил трафик от каждого сегмента в нужный аплинк

Код: Выделить всё

/ip firewall mangle
add chain=prerouting in-interface=bridge1-NET-V dst-address-type=!local action=mark-routing new-routing-mark=WAN-V
add chain=prerouting in-interface=bridge2-NET-E dst-address-type=!local action=mark-routing new-routing-mark=WAN-E
 
7. Прописал скрипты в DHCP Clint

Код: Выделить всё

:local rmark "WAN-V"
:local count [ /ip route print count-only where dst-address=0.0.0.0/0 routing-mark=$rmark ]
:if ($bound=1) do={
    :local iface $interface
    :local gw [ /ip dhcp-client get [ find interface=$"iface" ] gateway ]
    :set gw "$gw%$iface"
    :if ($count=0) do={
        /ip route add gateway=$gw routing-mark=$rmark
    } else={
        if ($rmark="main") do={
            /ip route set [ find dst-address=0.0.0.0/0 !routing-mark gateway!=$gw ] gateway=$gw
        } else={
            /ip route set [ find dst-address=0.0.0.0/0 routing-mark=$rmark gateway!=$gw ] gateway=$gw
        }
    }
} else={
    :if ($rmark="main") do={
        /ip route remove [ find dst-address=0.0.0.0/0 !routing-mark gateway~"%$interface\$" ]
    } else={
        /ip route remove [ find dst-address=0.0.0.0/0 routing-mark=$rmark type=unicast ]
    }
}
Второй для

Код: Выделить всё

:local rmark "WAN-E"
:local count [ /ip route print count-only where dst-address=0.0.0.0/0 routing-mark=$rmark ]
:if ($bound=1) do={
    :local iface $interface
    :local gw [ /ip dhcp-client get [ find interface=$"iface" ] gateway ]
    :set gw "$gw%$iface"
    :if ($count=0) do={
        /ip route add gateway=$gw routing-mark=$rmark
    } else={
        if ($rmark="main") do={
            /ip route set [ find dst-address=0.0.0.0/0 !routing-mark gateway!=$gw ] gateway=$gw
        } else={
            /ip route set [ find dst-address=0.0.0.0/0 routing-mark=$rmark gateway!=$gw ] gateway=$gw
        }
    }
} else={
    :if ($rmark="main") do={
        /ip route remove [ find dst-address=0.0.0.0/0 !routing-mark gateway~"%$interface\$" ]
    } else={
        /ip route remove [ find dst-address=0.0.0.0/0 routing-mark=$rmark type=unicast ]
    }
}
https://prnt.sc/mj4yiv
8. Добавил правило

Код: Выделить всё

/ip route
add type=unreachable routing-mark=WAN-V distance=250
add type=unreachable routing-mark=WAN-E distance=250
9. Настроил DNS
https://prnt.sc/mj4ynz
10. Настроил dhcp сервера для обоих провайдеров
https://prnt.sc/mj4yt3
11. Настроил firewall nat

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat comment=WAN-V out-interface=ether1-WAN-V
add action=masquerade chain=srcnat comment=WAN-E out-interface=ether9-WAN-E
Добавил стандартные правила firewall filter

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \
    in-interface=ether1-WAN-V protocol=tcp
add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \
    in-interface=ether9-WAN-E protocol=tcp
add action=drop chain=input dst-port=53 in-interface=ether1-WAN-V protocol=\
    udp
add action=drop chain=input dst-port=53 in-interface=ether9-WAN-E protocol=\
    udp
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether1-WAN-V
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether9-WAN-E
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related routing-mark=main
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1-WAN-V
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether9-WAN-E
Проверьте конфигурацию и последовательность правил.

Что я сделал не так, что нет доступа к интернет.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka »

После взлома особо нет смысла делать сброс. Все настройки есть в /export. Чтобы быть совсем уверенным, нужно делать NetInstall.

Пинг на DNS-серверы с клиентов ходит?

Ну и опять вы делаете "запретим что-то, остальное разрешим" — и при попытке впоследствии добавить PPTP опять столкнётесь с той же проблемой, что там всё будет по умолчанию разрешено. Сделайте хотя бы Interface List и добавьте в него ваши WAN'ы, и уже его используйте вместо ether1,9.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Chupaka писал(а): 10 фев 2019, 17:42 Пинг на DNS-серверы с клиентов ходит?
Да пинги с клиентов есть. 8.8.8.8 пингуется.

Изображение
Chupaka писал(а): 10 фев 2019, 17:42 Сделайте хотя бы Interface List и добавьте в него ваши WAN'ы, и уже его используйте вместо ether1,9. А что с ним дальше делать, в чем он поможет?
Interface List сделал, вот так?
Изображение
https://prnt.sc/mj5wox

Относительно доступности интернета. Вот что я заметил.
Если в даной кофигурации поставить галочку в "Add default route" то интернет появляется. Как я понимаю если использовать скрипт viewtopic.php?f=2&t=323 то галочки не должно быть!?
Получается что то не так в маршрутизации или скрипте?
Изображение
Последний раз редактировалось r136a8 10 фев 2019, 19:06, всего редактировалось 2 раза.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Sir_Prikol »

Я вам что говорил? Настраиваете ОДНУ внутреннюю сеть и Police Based Routing на 2 аплинка, проверяете, появился ли интернет, а вы заного начали городить огород. Вывод команд в терминал, вы от меня не дождётесь, нет под рукой ни одного тестового микротика, чтоб на нём эмулировать вашу ситуацию. Направление обозначено.
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 »

Sir_Prikol писал(а): 10 фев 2019, 18:49 Я вам что говорил? Настраиваете ОДНУ внутреннюю сеть и Police Based Routing на 2 аплинка, проверяете, появился ли интернет, а вы заного начали городить огород. Вывод команд в терминал, вы от меня не дождётесь, нет под рукой ни одного тестового микротика, чтоб на нём эмулировать вашу ситуацию. Направление обозначено.
Спасибо, но я этого боюсь что не осилю. Та-как совсем не понимаю с чего начинать.
Ответить