2 интернета и 2 сети (RB2011)

Базовая функциональность RouterOS
Аватара пользователя
r136a8
Сообщения: 148
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 » 10 фев 2019, 17:12

Добрый день. Перенастроил полностью сеть с 0, чтобы убрать постороннее вмешательство после взлома. На данном этапе отказался от PPTP и родительского контроля.
Задача. Настройка двоих независимых провайдеров интернета на две независимых сети.
После всех нижеперечисленных действий нет интернета в обеих сетях, подозреваю что проблема в DNSтак-как Chrome пишет именно об этом.
Ping 8.8.8.8 в обеих сетей проходит (в командной строке через ПК)
https://prnt.sc/mj4je7
Моя последовательность действий
1. Сделал сброс настроек роутера (без стандартной конфигурации и создании резервной копии)
2. Создал два бриджа и объединил в них порты
3. Сделал настройку статического IP для обеих бриджей
https://prnt.sc/mj4xy7
4. Произвел настройку интернета в IP -> DHCP Client
https://prnt.sc/mj4xiv
5. Создал две новых таблицы маршрутизации с дефолтными маршрутами через каждый из каналов:

Код: Выделить всё

/ip route
add routing-mark=WAN-V gateway=192.168.77.1
add routing-mark=WAN-E gateway=192.168.88.1
6. Направил трафик от каждого сегмента в нужный аплинк

Код: Выделить всё

/ip firewall mangle
add chain=prerouting in-interface=bridge1-NET-V dst-address-type=!local action=mark-routing new-routing-mark=WAN-V
add chain=prerouting in-interface=bridge2-NET-E dst-address-type=!local action=mark-routing new-routing-mark=WAN-E
 
7. Прописал скрипты в DHCP Clint

Код: Выделить всё

:local rmark "WAN-V"
:local count [ /ip route print count-only where dst-address=0.0.0.0/0 routing-mark=$rmark ]
:if ($bound=1) do={
    :local iface $interface
    :local gw [ /ip dhcp-client get [ find interface=$"iface" ] gateway ]
    :set gw "$gw%$iface"
    :if ($count=0) do={
        /ip route add gateway=$gw routing-mark=$rmark
    } else={
        if ($rmark="main") do={
            /ip route set [ find dst-address=0.0.0.0/0 !routing-mark gateway!=$gw ] gateway=$gw
        } else={
            /ip route set [ find dst-address=0.0.0.0/0 routing-mark=$rmark gateway!=$gw ] gateway=$gw
        }
    }
} else={
    :if ($rmark="main") do={
        /ip route remove [ find dst-address=0.0.0.0/0 !routing-mark gateway~"%$interface\$" ]
    } else={
        /ip route remove [ find dst-address=0.0.0.0/0 routing-mark=$rmark type=unicast ]
    }
}
Второй для

Код: Выделить всё

:local rmark "WAN-E"
:local count [ /ip route print count-only where dst-address=0.0.0.0/0 routing-mark=$rmark ]
:if ($bound=1) do={
    :local iface $interface
    :local gw [ /ip dhcp-client get [ find interface=$"iface" ] gateway ]
    :set gw "$gw%$iface"
    :if ($count=0) do={
        /ip route add gateway=$gw routing-mark=$rmark
    } else={
        if ($rmark="main") do={
            /ip route set [ find dst-address=0.0.0.0/0 !routing-mark gateway!=$gw ] gateway=$gw
        } else={
            /ip route set [ find dst-address=0.0.0.0/0 routing-mark=$rmark gateway!=$gw ] gateway=$gw
        }
    }
} else={
    :if ($rmark="main") do={
        /ip route remove [ find dst-address=0.0.0.0/0 !routing-mark gateway~"%$interface\$" ]
    } else={
        /ip route remove [ find dst-address=0.0.0.0/0 routing-mark=$rmark type=unicast ]
    }
}
https://prnt.sc/mj4yiv
8. Добавил правило

Код: Выделить всё

/ip route
add type=unreachable routing-mark=WAN-V distance=250
add type=unreachable routing-mark=WAN-E distance=250
9. Настроил DNS
https://prnt.sc/mj4ynz
10. Настроил dhcp сервера для обоих провайдеров
https://prnt.sc/mj4yt3
11. Настроил firewall nat

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat comment=WAN-V out-interface=ether1-WAN-V
add action=masquerade chain=srcnat comment=WAN-E out-interface=ether9-WAN-E
Добавил стандартные правила firewall filter

Код: Выделить всё

/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \
    in-interface=ether1-WAN-V protocol=tcp
add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \
    in-interface=ether9-WAN-E protocol=tcp
add action=drop chain=input dst-port=53 in-interface=ether1-WAN-V protocol=\
    udp
add action=drop chain=input dst-port=53 in-interface=ether9-WAN-E protocol=\
    udp
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether1-WAN-V
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether9-WAN-E
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related routing-mark=main
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1-WAN-V
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether9-WAN-E
Проверьте конфигурацию и последовательность правил.

Что я сделал не так, что нет доступа к интернет.

Аватара пользователя
Chupaka
Сообщения: 1962
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka » 10 фев 2019, 17:42

После взлома особо нет смысла делать сброс. Все настройки есть в /export. Чтобы быть совсем уверенным, нужно делать NetInstall.

Пинг на DNS-серверы с клиентов ходит?

Ну и опять вы делаете "запретим что-то, остальное разрешим" — и при попытке впоследствии добавить PPTP опять столкнётесь с той же проблемой, что там всё будет по умолчанию разрешено. Сделайте хотя бы Interface List и добавьте в него ваши WAN'ы, и уже его используйте вместо ether1,9.

Аватара пользователя
r136a8
Сообщения: 148
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 » 10 фев 2019, 17:51

Chupaka писал(а):
10 фев 2019, 17:42
Пинг на DNS-серверы с клиентов ходит?
Да пинги с клиентов есть. 8.8.8.8 пингуется.

Изображение
Chupaka писал(а):
10 фев 2019, 17:42
Сделайте хотя бы Interface List и добавьте в него ваши WAN'ы, и уже его используйте вместо ether1,9. А что с ним дальше делать, в чем он поможет?
Interface List сделал, вот так?
Изображение
https://prnt.sc/mj5wox

Относительно доступности интернета. Вот что я заметил.
Если в даной кофигурации поставить галочку в "Add default route" то интернет появляется. Как я понимаю если использовать скрипт viewtopic.php?f=2&t=323 то галочки не должно быть!?
Получается что то не так в маршрутизации или скрипте?
Изображение
Последний раз редактировалось r136a8 10 фев 2019, 19:06, всего редактировалось 2 раза.

Аватара пользователя
Sir_Prikol
Сообщения: 281
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Sir_Prikol » 10 фев 2019, 18:49

Я вам что говорил? Настраиваете ОДНУ внутреннюю сеть и Police Based Routing на 2 аплинка, проверяете, появился ли интернет, а вы заного начали городить огород. Вывод команд в терминал, вы от меня не дождётесь, нет под рукой ни одного тестового микротика, чтоб на нём эмулировать вашу ситуацию. Направление обозначено.
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
r136a8
Сообщения: 148
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 » 10 фев 2019, 18:57

Sir_Prikol писал(а):
10 фев 2019, 18:49
Я вам что говорил? Настраиваете ОДНУ внутреннюю сеть и Police Based Routing на 2 аплинка, проверяете, появился ли интернет, а вы заного начали городить огород. Вывод команд в терминал, вы от меня не дождётесь, нет под рукой ни одного тестового микротика, чтоб на нём эмулировать вашу ситуацию. Направление обозначено.
Спасибо, но я этого боюсь что не осилю. Та-как совсем не понимаю с чего начинать.

Аватара пользователя
Sir_Prikol
Сообщения: 281
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Sir_Prikol » 10 фев 2019, 19:03

Ну так именно из-за того, что вы "не осилите" у вас и получается такая каша.
Начните с азов, простейшая конфигурация и пошагово на увеличение. PBR не так сложен, как вы себе представляете, скриптами гораздо сложнее
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1962
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka » 10 фев 2019, 19:50

Так, есть контакт. Пункт 5 не нужен — у вас этим занимается пункт 7 (но пункт 8 можно оставить — это уберёт Failover, при отваливании одного из провайдеров его клиенты просто перестанут работать).

Пинговать я просил ДНСы, а не 8.8.8.8. Они у вас, как вижу, 192.168.77/88.1?.. UPD: А, это адреса роутера, тогда в пункте 5 вообще ересь: роутер сам себе шлюз...

Add Default Route надо оставлять для доступа роутера в Интернет — как ещё он будет DNS-запросы выполнять...

Аватара пользователя
Sir_Prikol
Сообщения: 281
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Sir_Prikol » 10 фев 2019, 19:58

Chupaka писал(а):
10 фев 2019, 19:50
Add Default Route надо оставлять для доступа роутера в Интернет — как ещё он будет DNS-запросы выполнять...
Там 2 аплинка, как раз не надо add default route, надо ручками маршруты прописать, иначе он будет ходить через первый поднятый, а второй простаивать будет. Хотя я человеку уже почти неделю пытаюсь втолковать, что ему нужен PBR в первую очередь, а уже потом локалку отстраивать :)
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 1962
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: 2 интернета и 2 сети (RB2011)

Сообщение Chupaka » 10 фев 2019, 20:01

Не будет через первый поднятый, потому что клиентский трафик он маркирует :) А вот для трафика от самого роутера нужен маршрут в main — будет использоваться хоть какой для DNS, клиентский трафик всё равно распределится по каналам.

З.ы. Заметил ещё, что новосозданные Interface Lists тоже левые. Надо создать один лист (WANs, например).

Аватара пользователя
r136a8
Сообщения: 148
Зарегистрирован: 04 дек 2017, 00:01

Re: 2 интернета и 2 сети (RB2011)

Сообщение r136a8 » 10 фев 2019, 21:44

Chupaka писал(а):
10 фев 2019, 20:01
Надо создать один лист (WANs, например).
После создания Interface List "WANs" мне нужно оредактировать правила в firewall - filter rulers. Вмнсто 2х правил теперь будет одно (я удаляю в двух правилах "In. intrface" далее уадаляю одно правило в том что стается 1м из двух в "In. interface List" выбираю свой созданный Interface List "WANs"?
Как я понял это относится только к firewall - filter rulers или к "Mangle" тоже (но я себе подозреваю что нет)?
Изображение
Изображение
Изображение
Изображение

Относительно PPTP что вы говорили. Сейчас согласно моего firewall Rulers он блокирован. Но чтобы его разблокировать мне нужно будет добавить вверху firewall Rulers следующие правила:

Код: Выделить всё

add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether9-WAN-E protocol=tcp
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether1-WAN-V protocol=tcp
add action=accept chain=input comment="Open PPTP" in-interface=ether1-WAN-V \
    protocol=gre
add action=accept chain=input comment="Open PPTP" in-interface=ether9-WAN-E \
    protocol=gre
правильно?
Относительно firewall Rulers (правильный ли он у меня, правильно ли расположен согласно стандартных правил?)
Спасибо

Ответить