Организация сети офиса

Базовая функциональность RouterOS
Werwulf
Сообщения: 16
Зарегистрирован: 22 дек 2022, 13:31

Организация сети офиса

Сообщение Werwulf »

Есть офис, который состоит из 2-х сетей. Одна сеть это сеть сотрудников офиса, а вторая сеть это сервера охранных устройств. Сети разделены физически. Установлен Микротик и подведено 2 провайдера.
Безымянный.png
Безымянный.png (9.72 КБ) 7971 просмотр
Провайдер Vega работает на офис, но является запасным для Серверов. Провайдер Ukrtelecom основной для серверов. Есть провайдер MOB который является запасным для серверов (физически шнурок переключают), но это схема временная и уйдет как только заработает основыная.

Сейчас настроено так что сети друг друга не видят, но обе выходят в интернет. При отключении Ukrtelecom автоматически на сервера подается интернет Vega. Оба провайдера со статическим айпи. Охранные устройства стучатся на определенный внешний айпи и по NAT уходят на свои внутренние айпи по портам. Есть только одна проблема - если пакет приходит через Vega при работающем Ukrtelecom или Mob он не уходит на сервера, если отключить провайдер Ukrtelecom или Mob то все пашет. Как настроить правильную маршрутизацию что бы не зависимо от того на какого провайдера приходил запрос он уходил на нужный сервер (серверов несколько)? По DHCP офис получает айпи из пула 192.168.1.x а сервера и пула 192.168.0.х. Первый раз тут задаю вопрос потому не совсем понимаю скриншоты каких разделов микротика нужно выложить, что б поняли что у меня настроено сейчас
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Организация сети офиса

Сообщение Chupaka »

Для экспорта конфига достаточно в Терминале команды "/export hide-sensitive".

Вот тут хороший пример, как надо делать в подобных случаях: https://wiki.mikrotik.com/wiki/Manual:P ... _Impatient
Суть - маркируем входящие извне соединения соответствующей меткой, если соединение всё ещё не отмаркировано - балансировка (там PCC, но у вас будет "мальчики - налево, девочки - направо"), и в конце пакетам соединений уже навешиваем соответствующие метки маршрутизации, чтобы они ушли в нужный канал.
Werwulf
Сообщения: 16
Зарегистрирован: 22 дек 2022, 13:31

Re: Организация сети офиса

Сообщение Werwulf »

Chupaka писал(а): 22 дек 2022, 15:09 Для экспорта конфига достаточно в Терминале команды "/export hide-sensitive".

Вот тут хороший пример, как надо делать в подобных случаях: https://wiki.mikrotik.com/wiki/Manual:P ... _Impatient
Суть - маркируем входящие извне соединения соответствующей меткой, если соединение всё ещё не отмаркировано - балансировка (там PCC, но у вас будет "мальчики - налево, девочки - направо"), и в конце пакетам соединений уже навешиваем соответствующие метки маршрутизации, чтобы они ушли в нужный канал.

Код: Выделить всё

# dec/22/2022 14:13:54 by RouterOS 6.49.7
#
# model = RB750Gr3

/interface bridge
add name=ServiceVega
add name=Ukrtelecom
add name=Vega
/interface ethernet
set [ find default-name=ether1 ] name="ether1 Vega"
set [ find default-name=ether2 ] name="ether2 Ukrtelecom"
set [ find default-name=ether3 ] name="ether3 Pult"
set [ find default-name=ether4 ] name="ether4 Office"
set [ find default-name=ether5 ] name="ether5 Disable"
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.1.3-192.168.1.254
add name="dhcp2 3.1" ranges=192.168.3.3-192.168.3.254
add name=dhcp3 ranges=192.168.5.2-192.168.5.254
add name="dhcp 0.1" ranges=192.168.0.100-192.168.0.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=Vega name=dhcp1
add address-pool="dhcp 0.1" disabled=no interface=Ukrtelecom name=dhcp2
add address-pool="dhcp2 3.1" disabled=no interface=ServiceVega name=dhcp3
/system logging action
add name=firewall target=memory
/interface bridge port
add bridge=Ukrtelecom interface="ether3 Pult"
add bridge=Vega interface="ether4 Office"
add bridge=ServiceVega interface="ether5 Disable"
/interface list member
add interface="ether1 Vega" list=WAN
add interface=Vega list=LAN
add interface="ether2 Ukrtelecom" list=WAN
add interface=Ukrtelecom list=LAN
add interface="ether5 Disable" list=LAN
/ip address
add address=192.168.1.1/24 interface=Vega network=192.168.1.0
add address=192.168.0.1/24 interface=Ukrtelecom network=192.168.0.0
add address=192.168.5.1/24 disabled=yes interface=ServiceVega network=192.168.5.0
add address=192.168.3.1/24 interface="ether5 Disable" network=192.168.3.0
/ip dhcp-client
add comment=Vega disabled=no interface="ether1 Vega" script=":local rmark \"Vega\"\r\
    \n:local count [ /ip route print count-only where dst-address=0.0.0.0/0 routing-mark=\$rmark ]\r\
    \n:if (\$bound=1) do={\r\
    \n    :local iface \$interface\r\
    \n    :local gw [ /ip dhcp-client get [ find interface=\$\"iface\" ] gateway ]\r\
    \n    :set gw \"\$gw%\$iface\"\r\
    \n    :if (\$count=0) do={\r\
    \n        /ip route add gateway=\$gw routing-mark=\$rmark\r\
    \n    } else={\r\
    \n        if (\$rmark=\"main\") do={\r\
    \n            /ip route set [ find dst-address=0.0.0.0/0 !routing-mark gateway!=\$gw ] gateway=\$gw\r\
    \n        } else={\r\
    \n            /ip route set [ find dst-address=0.0.0.0/0 routing-mark=\$rmark gateway!=\$gw ] gateway\
    =\$gw\r\
    \n        }\r\
    \n    }\r\
    \n} else={\r\
    \n    :if (\$rmark=\"main\") do={\r\
    \n        /ip route remove [ find dst-address=0.0.0.0/0 !routing-mark gateway~\"%\$interface\\\$\" ]\
    \r\
    \n    } else={\r\
    \n        /ip route remove [ find dst-address=0.0.0.0/0 routing-mark=\$rmark ]\r\
    \n    }\r\
    \n}"
add comment=Ukrtelecom disabled=no interface="ether2 Ukrtelecom" script=":local rmark \"Ukrtelecom\"\r\
    \n:local count [ /ip route print count-only where dst-address=0.0.0.0/0 routing-mark=\$rmark ]\r\
    \n:if (\$bound=1) do={\r\
    \n    :local iface \$interface\r\
    \n    :local gw [ /ip dhcp-client get [ find interface=\$\"iface\" ] gateway ]\r\
    \n    :set gw \"\$gw%\$iface\"\r\
    \n    :if (\$count=0) do={\r\
    \n        /ip route add gateway=\$gw routing-mark=\$rmark\r\
    \n    } else={\r\
    \n        if (\$rmark=\"main\") do={\r\
    \n            /ip route set [ find dst-address=0.0.0.0/0 !routing-mark gateway!=\$gw ] gateway=\$gw\r\
    \n        } else={\r\
    \n            /ip route set [ find dst-address=0.0.0.0/0 routing-mark=\$rmark gateway!=\$gw ] gateway\
    =\$gw\r\
    \n        }\r\
    \n    }\r\
    \n} else={\r\
    \n    :if (\$rmark=\"main\") do={\r\
    \n        /ip route remove [ find dst-address=0.0.0.0/0 !routing-mark gateway~\"%\$interface\\\$\" ]\
    \r\
    \n    } else={\r\
    \n        /ip route remove [ find dst-address=0.0.0.0/0 routing-mark=\$rmark ]\r\
    \n    }\r\
    \n}"
/ip dhcp-server lease
add address=192.168.1.123 client-id=1:10:e7:c6:a6:5:58 mac-address=10:E7:C6:A6:05:58 server=dhcp1
add address=192.168.0.9 client-id=1:d8:cb:8a:e3:b0:c9 mac-address=D8:CB:8A:E3:B0:C9 server=dhcp2
/ip dhcp-server network
add address=192.168.0.0/24 comment=Ukrtelecom dns-server=192.168.0.1,8.8.8.8 gateway=192.168.0.1
add address=192.168.1.0/24 comment=Vega dns-server=192.168.1.1,8.8.8.8 gateway=192.168.1.1
add address=192.168.3.0/24 comment="Service Vega" dns-server=192.168.3.1,8.8.8.8 gateway=192.168.3.1 \
    netmask=24
add address=192.168.5.0/24 comment=NoInet dns-none=yes gateway=192.168.5.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,213.227.192.130
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=in connection-state=established,related
add action=accept chain=input in-interface=Vega
add action=accept chain=input in-interface="ether1 Vega"
add action=accept chain=input in-interface=Ukrtelecom
add action=accept chain=input in-interface="ether2 Ukrtelecom"
add action=accept chain=forward in-interface=Vega
add action=accept chain=forward in-interface="ether1 Vega"
add action=accept chain=forward in-interface=Ukrtelecom
add action=accept chain=forward in-interface="ether2 Ukrtelecom"
add action=accept chain=in in-interface=Vega protocol=icmp
add action=accept chain=in in-interface=Ukrtelecom protocol=icmp
add action=drop chain=input in-interface=Vega
add action=drop chain=input in-interface=Ukrtelecom
add action=drop chain=forward connection-state=invalid
add action=drop chain=input connection-state=invalid
add action=drop chain=output comment="Deny 8.8.4.4 through Ukrtelecom" dst-address=8.8.4.4 \
    out-interface="ether2 Ukrtelecom" protocol=icmp
add action=accept chain=forward connection-nat-state=dstnat dst-address=46.201.227.98 in-interface-list=\
    WAN
add action=accept chain=forward connection-nat-state=dstnat dst-address=89.105.243.120 \
    in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-type=!local in-interface=Vega new-routing-mark=Vega \
    passthrough=yes
add action=mark-routing chain=prerouting dst-address-type=!local in-interface=Ukrtelecom \
    new-routing-mark=Ukrtelecom passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment=NAT out-interface-list=WAN
add action=dst-nat chain=dstnat comment=KamOperator dst-port=10504 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.0.22
add action=dst-nat chain=dstnat disabled=yes dst-port=10504 in-interface="ether2 Ukrtelecom" protocol=\
    tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10504 in-interface="ether1 Vega" protocol=tcp to-addresses=\
    192.168.0.22
add action=dst-nat chain=dstnat disabled=yes dst-port=10504 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=DunayGPRS dst-port=10000-10501 in-interface="ether2 Ukrtelecom" \
    protocol=udp to-addresses=192.168.0.6
add action=dst-nat chain=dstnat dst-port=10000-10501 in-interface="ether2 Ukrtelecom" protocol=tcp \
    to-addresses=192.168.0.6
add action=dst-nat chain=dstnat disabled=yes dst-port=10000-10501 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=10000-10501 in-interface="ether2 Ukrtelecom" \
    protocol=udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-address=89.105.243.120 dst-port=10000-10501 in-interface=\
    "ether1 Vega" protocol=udp to-addresses=192.168.0.6
add action=dst-nat chain=dstnat dst-address=89.105.243.120 dst-port=10000-10501 in-interface=\
    "ether1 Vega" protocol=tcp to-addresses=192.168.0.6
add action=dst-nat chain=dstnat disabled=yes dst-port=10000-10501 in-interface="ether1 Vega" protocol=\
    tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=10000-10501 in-interface="ether1 Vega" protocol=\
    udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=GrifonGPRS dst-port=9999 in-interface="ether2 Ukrtelecom" \
    protocol=udp to-addresses=192.168.0.7
add action=dst-nat chain=dstnat disabled=yes dst-port=9999 in-interface="ether2 Ukrtelecom" protocol=udp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=9999 in-interface="ether1 Vega" protocol=udp to-addresses=\
    192.168.0.7
add action=dst-nat chain=dstnat disabled=yes dst-port=9999 in-interface="ether1 Vega" log=yes protocol=\
    udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=KamHolOperator dst-port=10510 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.0.23
add action=dst-nat chain=dstnat disabled=yes dst-port=10510 in-interface="ether2 Ukrtelecom" protocol=\
    tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10510 in-interface="ether1 Vega" protocol=tcp to-addresses=\
    192.168.0.23
add action=dst-nat chain=dstnat disabled=yes dst-port=10510 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=KamTamburZapis dst-port=8013 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.0.27
add action=dst-nat chain=dstnat disabled=yes dst-port=8013 in-interface="ether2 Ukrtelecom" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=8013 in-interface="ether1 Vega" protocol=tcp to-addresses=\
    192.168.0.27
add action=dst-nat chain=dstnat disabled=yes dst-port=8013 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=LunMobServer dst-port=10530 in-interface="ether1 Vega" protocol=\
    tcp to-addresses=192.168.0.2
add action=dst-nat chain=dstnat disabled=yes dst-port=10530 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3050 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3050 in-interface="ether1 Vega" protocol=udp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=10530 in-interface="ether1 Vega" protocol=udp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10530 in-interface="ether2 Ukrtelecom" protocol=tcp \
    to-addresses=192.168.0.2
add action=dst-nat chain=dstnat disabled=yes dst-port=10530 in-interface="ether2 Ukrtelecom" protocol=\
    tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3050 in-interface="ether2 Ukrtelecom" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3050 in-interface="ether2 Ukrtelecom" protocol=udp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=10530 in-interface="ether2 Ukrtelecom" protocol=\
    udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=OrionGPRS dst-address=89.105.243.120 dst-port=3600 in-interface=\
    "ether1 Vega" log=yes protocol=udp to-addresses=192.168.0.4 to-ports=3600
add action=dst-nat chain=dstnat dst-address=89.105.243.120 dst-port=3601 in-interface="ether1 Vega" \
    protocol=udp to-addresses=192.168.0.4 to-ports=3601
add action=dst-nat chain=dstnat dst-address=89.105.243.120 dst-port=3600 in-interface="ether1 Vega" \
    protocol=tcp to-addresses=192.168.0.4
add action=dst-nat chain=dstnat disabled=yes dst-port=3600 in-interface="ether1 Vega" log=yes protocol=\
    udp to-addresses=192.168.3.2 to-ports=3600
add action=dst-nat chain=dstnat disabled=yes dst-port=3601 in-interface="ether1 Vega" log=yes protocol=\
    udp to-addresses=192.168.3.2 to-ports=3601
add action=dst-nat chain=dstnat dst-port=3600 in-interface="ether2 Ukrtelecom" protocol=udp \
    to-addresses=192.168.0.4 to-ports=3600
add action=dst-nat chain=dstnat dst-port=3601 in-interface="ether2 Ukrtelecom" protocol=udp \
    to-addresses=192.168.0.4 to-ports=3601
add action=dst-nat chain=dstnat dst-port=3600 in-interface="ether2 Ukrtelecom" protocol=tcp \
    to-addresses=192.168.0.4
add action=dst-nat chain=dstnat disabled=yes dst-port=3600 in-interface="ether2 Ukrtelecom" protocol=udp \
    to-addresses=192.168.3.2 to-ports=3600
add action=dst-nat chain=dstnat disabled=yes dst-port=3601 in-interface="ether2 Ukrtelecom" protocol=udp \
    to-addresses=192.168.3.2 to-ports=3601
add action=dst-nat chain=dstnat comment=LunStatIP dst-port=3031 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.0.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3031 in-interface="ether2 Ukrtelecom" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3031 in-interface="ether2 Ukrtelecom" protocol=udp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=3031 in-interface="ether1 Vega" protocol=tcp to-addresses=\
    192.168.0.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3031 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3031 in-interface="ether1 Vega" protocol=udp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=KamOperatorZapis dst-port=8010 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.0.22
add action=dst-nat chain=dstnat disabled=yes dst-port=8010 in-interface="ether2 Ukrtelecom" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=8010 in-interface="ether1 Vega" protocol=tcp to-addresses=\
    192.168.0.22
add action=dst-nat chain=dstnat disabled=yes dst-port=8010 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=CamOfisZal dst-port=10610 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.0.24
add action=dst-nat chain=dstnat disabled=yes dst-port=10610 in-interface="ether2 Ukrtelecom" protocol=\
    tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10610 in-interface="ether1 Vega" protocol=tcp to-addresses=\
    192.168.0.24
add action=dst-nat chain=dstnat disabled=yes dst-port=10610 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=CamSecretar dst-port=10611 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.0.25
add action=dst-nat chain=dstnat disabled=yes dst-port=10611 in-interface="ether2 Ukrtelecom" protocol=\
    tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10611 in-interface="ether1 Vega" protocol=tcp to-addresses=\
    192.168.0.25
add action=dst-nat chain=dstnat disabled=yes dst-port=10611 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=CamOperZalZapis dst-port=8011 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.0.23
add action=dst-nat chain=dstnat disabled=yes dst-port=8011 in-interface="ether2 Ukrtelecom" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=8011 in-interface="ether1 Vega" protocol=tcp to-addresses=\
    192.168.0.23
add action=dst-nat chain=dstnat disabled=yes dst-port=8011 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=KamVerhKorZapis dst-port=8012 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.0.26
add action=dst-nat chain=dstnat disabled=yes dst-port=8012 in-interface="ether2 Ukrtelecom" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=8012 in-interface="ether1 Vega" protocol=tcp to-addresses=\
    192.168.0.26
add action=dst-nat chain=dstnat disabled=yes dst-port=8012 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=CamVerhKorudor dst-port=10612 in-interface="ether1 Vega" \
    protocol=tcp to-addresses=192.168.0.26
add action=dst-nat chain=dstnat disabled=yes dst-port=10612 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10612 in-interface="ether2 Ukrtelecom" protocol=tcp \
    to-addresses=192.168.0.26
add action=dst-nat chain=dstnat disabled=yes dst-port=10612 in-interface="ether2 Ukrtelecom" protocol=\
    tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=KamVerhTambur dst-port=10613 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.0.27
add action=dst-nat chain=dstnat disabled=yes dst-port=10613 in-interface="ether2 Ukrtelecom" protocol=\
    tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10613 in-interface="ether1 Vega" protocol=tcp to-addresses=\
    192.168.0.27
add action=dst-nat chain=dstnat disabled=yes dst-port=10613 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=Lun dst-port=13000-13100 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.0.2
add action=dst-nat chain=dstnat disabled=yes dst-port=13000-13010 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=13000-13100 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.0.2
add action=dst-nat chain=dstnat disabled=yes dst-port=13000-13010 in-interface="ether1 Vega" protocol=\
    tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=KamSecretarZapis dst-port=8020 in-interface="ether2 Ukrtelecom" \
    protocol=tcp to-addresses=192.168.0.25
add action=dst-nat chain=dstnat disabled=yes dst-port=8020 in-interface="ether2 Ukrtelecom" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=8020 in-interface="ether1 Vega" protocol=tcp to-addresses=\
    192.168.0.25
add action=dst-nat chain=dstnat disabled=yes dst-port=8020 in-interface="ether1 Vega" protocol=tcp \
    to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=Ajax dst-port=3061 in-interface="ether2 Ukrtelecom" protocol=tcp \
    to-addresses=192.168.0.9
add action=dst-nat chain=dstnat dst-port=3061 in-interface="ether2 Ukrtelecom" protocol=tcp \
    to-addresses=192.168.0.8
add action=dst-nat chain=dstnat dst-port=3061 in-interface="ether1 Vega" protocol=tcp to-addresses=\
    192.168.0.9
add action=dst-nat chain=dstnat dst-port=3061 in-interface="ether1 Vega" log=yes protocol=tcp \
    to-addresses=192.168.0.8
add action=dst-nat chain=dstnat dst-address=89.105.243.120 dst-port=80 in-interface="ether1 Vega" log=\
    yes protocol=tcp to-addresses=192.168.0.8 to-ports=80
add action=dst-nat chain=dstnat dst-address=89.105.243.120 dst-port=80 in-interface="ether1 Vega" log=\
    yes protocol=tcp to-addresses=192.168.0.9 to-ports=80
add action=dst-nat chain=dstnat dst-address=89.105.243.120 dst-port=2020 in-interface="ether1 Vega" log=\
    yes protocol=tcp to-addresses=192.168.0.8 to-ports=2020
add action=dst-nat chain=dstnat dst-address=89.105.243.120 dst-port=2020 in-interface="ether1 Vega" log=\
    yes protocol=tcp to-addresses=192.168.0.9 to-ports=2020
/ip route
add distance=1 gateway="89.105.240.1%ether1 Vega" routing-mark=Vega
add distance=1 gateway="192.168.2.1%ether2 Ukrtelecom" routing-mark=Ukrtelecom
add distance=1 dst-address=8.8.4.4/32 gateway=Vega
add bgp-as-path="" distance=1 dst-address=8.8.8.8/32 gateway=Ukrtelecom
/ip route rule
add disabled=yes dst-address=192.168.1.0/24 table=Vega
add disabled=yes dst-address=192.168.1.0/24 table=Ukrtelecom
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip traffic-flow
set interfaces="ether1 Vega"
/ip traffic-flow ipfix
set bytes=no dst-address=no dst-address-mask=no dst-mac-address=no first-forwarded=no gateway=no \
    icmp-code=no icmp-type=no igmp-type=no in-interface=no ip-header-length=no ip-total-length=no \
    ipv6-flow-label=no is-multicast=no last-forwarded=no nat-dst-address=no nat-dst-port=no nat-events=\
    yes nat-src-address=no nat-src-port=no out-interface=no packets=no protocol=no src-address=no \
    src-address-mask=no src-mac-address=no sys-init-time=no tcp-ack-num=no tcp-flags=no tcp-seq-num=no \
    tcp-window-size=no tos=no ttl=no udp-length=no
/system clock
set time-zone-name=Europe/Kiev
/system logging
add action=firewall disabled=yes topics=firewall
/tool netwatch
add down-script="/ip route set [find comment=\"Vega\"] disabled=yes\r\
    \n/ip route set [find comment=\"Ukrtelecom\"] disabled=no" host=8.8.4.4 up-script="/ip route set [fin\
    d comment=\"Vega\"] disabled=no\r\
    \n/ip route set [find comment=\"Ukrtelecom\"] disabled=yes"
add down-script="/ip route set [find comment=\"Ukrtelecom\"] disabled=yes\r\
    \n/ip route set [find comment=\"Vega\"] disabled=no" host=8.8.8.8 up-script="/ip route set [find comm\
    ent=\"Ukrtelecom\"] disabled=no\r\
    \n/ip route set [find comment=\"Vega\"] disabled=yes"
 
Так правда в NAT часть мусора и экспериментов
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Организация сети офиса

Сообщение Chupaka »

Ага, а у вас сейчас просто "пришло с бриджа ХХХ - отправляем через провайдера ХХХ, если он не работает - то через другого".

Правил Mangle у вас всего два, так что пример выше будет достаточно просто адаптировать под ваши нужды.

Даже попробую это быстро сделать:

Код: Выделить всё

/ ip firewall mangle
add chain=prerouting in-interface="ether1 Vega" connection-mark=no-mark action=mark-connection \
    new-connection-mark=Vega_conn
add chain=prerouting in-interface="ether2 Ukrtelecom" connection-mark=no-mark action=mark-connection \ 
    new-connection-mark=Ukrtelecom_conn
add chain=prerouting  in-interface=Vega connection-mark=no-mark dst-address-type=!local \
    action=mark-connection new-connection-mark=Vega_conn 
add chain=prerouting  in-interface=Ukrtelecom connection-mark=no-mark dst-address-type=!local \ 
    action=mark-connection new-connection-mark=Ukrtelecom_conn
add chain=prerouting connection-mark=Vega_conn in-interface-list=LAN action=mark-routing \ 
    new-routing-mark=Vega
add chain=prerouting connection-mark=Ukrtelecom_conn in-interface-list=LAN action=mark-routing \
    new-routing-mark=Ukrtelecom

add chain=output connection-mark=Vega_conn action=mark-routing new-routing-mark=Vega
add chain=output connection-mark=Ukrtelecom action=mark-routing new-routing-mark=Ukrtelecom
Последние два правила нужны для доступа к самому роутеру из Интернета.
Werwulf
Сообщения: 16
Зарегистрирован: 22 дек 2022, 13:31

Re: Организация сети офиса

Сообщение Werwulf »

Chupaka писал(а): 22 дек 2022, 18:06 Ага, а у вас сейчас просто "пришло с бриджа ХХХ - отправляем через провайдера ХХХ, если он не работает - то через другого".

Правил Mangle у вас всего два, так что пример выше будет достаточно просто адаптировать под ваши нужды.

Даже попробую это быстро сделать:

Код: Выделить всё

/ ip firewall mangle
add chain=prerouting in-interface="ether1 Vega" connection-mark=no-mark action=mark-connection \
    new-connection-mark=Vega_conn
add chain=prerouting in-interface="ether2 Ukrtelecom" connection-mark=no-mark action=mark-connection \ 
    new-connection-mark=Ukrtelecom_conn
add chain=prerouting  in-interface=Vega connection-mark=no-mark dst-address-type=!local \
    action=mark-connection new-connection-mark=Vega_conn 
add chain=prerouting  in-interface=Ukrtelecom connection-mark=no-mark dst-address-type=!local \ 
    action=mark-connection new-connection-mark=Ukrtelecom_conn
add chain=prerouting connection-mark=Vega_conn in-interface-list=LAN action=mark-routing \ 
    new-routing-mark=Vega
add chain=prerouting connection-mark=Ukrtelecom_conn in-interface-list=LAN action=mark-routing \
    new-routing-mark=Ukrtelecom

add chain=output connection-mark=Vega_conn action=mark-routing new-routing-mark=Vega
add chain=output connection-mark=Ukrtelecom action=mark-routing new-routing-mark=Ukrtelecom
Последние два правила нужны для доступа к самому роутеру из Интернета.
Большое спасибо все заработало!
Остался один вопрос: как можно сделать так что б один из серверов шел только на Vega? На нем просто клиент стоит он изнутри стучится наружу
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Организация сети офиса

Сообщение Chupaka »

В Mangle третьим правилом можно добавить что-нибудь типа

Код: Выделить всё

add chain=prerouting  src-address-list=Vega connection-mark=no-mark dst-address-type=!local \
    action=mark-connection new-connection-mark=Vega_conn 
И нужный сервер добавить в этот адрес-лист:

Код: Выделить всё

/ip firewall address-list add list=Vega address=192.168.0.321
Werwulf
Сообщения: 16
Зарегистрирован: 22 дек 2022, 13:31

Re: Организация сети офиса

Сообщение Werwulf »

Chupaka писал(а): 23 дек 2022, 15:00 В Mangle третьим правилом можно добавить что-нибудь типа

Код: Выделить всё

add chain=prerouting  src-address-list=Vega connection-mark=no-mark dst-address-type=!local \
    action=mark-connection new-connection-mark=Vega_conn 
И нужный сервер добавить в этот адрес-лист:

Код: Выделить всё

/ip firewall address-list add list=Vega address=192.168.0.321
Не сработало. По прежнему идет канал Ukrtelecom

Код: Выделить всё

/ ip firewall mangle
add chain=prerouting  src-address-list=Vega connection-mark=no-mark dst-address-type=!local \
    action=mark-connection new-connection-mark=Vega_conn

/ip firewall address-list add list=Vega address=192.168.0.9
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Организация сети офиса

Сообщение Chupaka »

Но правило это пакеты считает? Как вы проверяете?
Werwulf
Сообщения: 16
Зарегистрирован: 22 дек 2022, 13:31

Re: Организация сети офиса

Сообщение Werwulf »

Chupaka писал(а): 23 дек 2022, 17:08 Но правило это пакеты считает? Как вы проверяете?
Пакеты не считает
Проверяю - захожу на 2ip и смотрю свой внешний айпи (он у меня статика у всех трех провайдеров)
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Организация сети офиса

Сообщение Chupaka »

М-м-м... Оно у вас действительно третье по счёту? Не в самом низу?
Werwulf
Сообщения: 16
Зарегистрирован: 22 дек 2022, 13:31

Re: Организация сети офиса

Сообщение Werwulf »

Chupaka писал(а): 26 дек 2022, 17:42 М-м-м... Оно у вас действительно третье по счёту? Не в самом низу?
а нумерация с 0 ?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Организация сети офиса

Сообщение Chupaka »

Оно должно стоять первым из трёх правил с action=mark-connection. Чтобы сначала проверяло всех, кто в адрес-листе, а потом уже маркировало по интерфейсам.
Werwulf
Сообщения: 16
Зарегистрирован: 22 дек 2022, 13:31

Re: Организация сети офиса

Сообщение Werwulf »

Chupaka писал(а): 29 дек 2022, 20:09 Оно должно стоять первым из трёх правил с action=mark-connection. Чтобы сначала проверяло всех, кто в адрес-листе, а потом уже маркировало по интерфейсам.
Нумерация то с нуля. То есть по счету оно должно быть 3-м или 2-м учитывая что у нас идет нумерация
0
1
2
3

?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Организация сети офиса

Сообщение Chupaka »

Я, вроде, уже максимально конкретно написал... Посмотрите номер правила

Код: Выделить всё

add chain=prerouting  in-interface=Vega connection-mark=no-mark dst-address-type=!local \
    action=mark-connection new-connection-mark=Vega_conn
- и новое правило должно идти с номером на единицу меньшим.
Werwulf
Сообщения: 16
Зарегистрирован: 22 дек 2022, 13:31

Re: Организация сети офиса

Сообщение Werwulf »

Chupaka писал(а): 30 дек 2022, 18:37 Я, вроде, уже максимально конкретно написал... Посмотрите номер правила

Код: Выделить всё

add chain=prerouting  in-interface=Vega connection-mark=no-mark dst-address-type=!local \
    action=mark-connection new-connection-mark=Vega_conn
- и новое правило должно идти с номером на единицу меньшим.
Все работает. Спасибо!
Werwulf
Сообщения: 16
Зарегистрирован: 22 дек 2022, 13:31

Re: Организация сети офиса

Сообщение Werwulf »

Добрий вечер. Подскажите - уже давно работает настроеная схема где первый интернет напрямую заходит в роутер, а второй через модем. Сейчас переделали конект от второго провайдера и он так же заходит напрямую на роутер, но по какой то причине у меня сейчас при проверке айпи адреса через тот же 2ip периодически вискакивает то адрес первого провайдера то второго. В роуте у меня по какой то причине определяется шлюз модема, которого уже нет. Помню, что при настройке ранее вроде как нигде не выставлял ручками этот шлюз и пройдя все настройки так и не нашел где би стоял шлюз вручную. Временно решил проблему просто исправив в роуте пункт вручную, но есть ощущение, что я не прав.

После исправления руками айпи вот тут

Код: Выделить всё

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway="192.168.2.1%ether2 Ukrtelecom" pref-src="" routing-table=Ukrtelecom scope=30 suppress-hw-offload=no target-scope=10
на

Код: Выделить всё

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway="46.201.224.1%ether2 Ukrtelecom" pref-src="" routing-table=Ukrtelecom scope=30 suppress-hw-offload=no target-scope=10
Все стало вроде работать как нужно. Правильно ли это?

Полный код

Код: Выделить всё


  MMM      MMM       KKK                          TTTTTTTTTTT      KKK
  MMMM    MMMM       KKK                          TTTTTTTTTTT      KKK
  MMM MMMM MMM  III  KKK  KKK  RRRRRR     OOOOOO      TTT     III  KKK  KKK
  MMM  MM  MMM  III  KKKKK     RRR  RRR  OOO  OOO     TTT     III  KKKKK
  MMM      MMM  III  KKK KKK   RRRRRR    OOO  OOO     TTT     III  KKK KKK
  MMM      MMM  III  KKK  KKK  RRR  RRR   OOOOOO      TTT     III  KKK  KKK

  MikroTik RouterOS 7.13.1 (c) 1999-2024       https://www.mikrotik.com/

Press F1 for help

2024-01-09 10:48:19 system,critical,info cloud change time Jan/09/2024 10:46:03 
=> Jan/09/2024 10:48:19
[admin@MikroTik] > /export hide-sensitive
# 2024-01-09 16:16:58 by RouterOS 7.13.1
# software id = 8AWA-B3D2
#
# model = RB750Gr3
# serial number = CC210FE5824A
/interface bridge
add name=Ukrtelecom port-cost-mode=short
add name=Vega port-cost-mode=short
/interface ethernet
set [ find default-name=ether1 ] name="ether1 Vega"
set [ find default-name=ether2 ] name="ether2 Ukrtelecom"
set [ find default-name=ether3 ] name="ether3 Pult"
set [ find default-name=ether4 ] name="ether4 Office"
set [ find default-name=ether5 ] name="ether5 WiFi"
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name="dhcp 1.1" ranges=192.168.1.3-192.168.1.254
add name="dhcp 0.1" ranges=192.168.0.100-192.168.0.254
/ip dhcp-server
add address-pool="dhcp 1.1" interface=Vega lease-time=10m name=dhcp1
add address-pool="dhcp 0.1" interface=Ukrtelecom lease-time=10m name=dhcp2
/port
set 0 name=serial0
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/routing table
add fib name=Vega
add fib name=Ukrtelecom
/system logging action
add name=firewall target=memory
/interface bridge port
add bridge=Ukrtelecom ingress-filtering=no interface="ether3 Pult" internal-path-cost=10 path-cost=10
add bridge=Vega ingress-filtering=no interface="ether4 Office" internal-path-cost=10 path-cost=10
add bridge=Ukrtelecom ingress-filtering=no interface="ether5 WiFi" internal-path-cost=10 path-cost=10
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add interface="ether1 Vega" list=WAN
add interface=Vega list=LAN
add interface="ether2 Ukrtelecom" list=WAN
add interface=Ukrtelecom list=LAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.1.1/24 interface=Vega network=192.168.1.0
add address=192.168.0.1/24 interface=Ukrtelecom network=192.168.0.0
/ip dhcp-client
add comment=Vega interface="ether1 Vega" script=":local rmark \"Vega\"\r\
    \n:local count [ /ip route print count-only where dst-address=0.0.0.0/0 routing-mark=\$rmark ]\r\
    \n:if (\$bound=1) do={\r\
    \n    :local iface \$interface\r\
    \n    :local gw [ /ip dhcp-client get [ find interface=\$\"iface\" ] gateway ]\r\
    \n    :set gw \"\$gw%\$iface\"\r\
    \n    :if (\$count=0) do={\r\
    \n        /ip route add gateway=\$gw routing-mark=\$rmark\r\
    \n    } else={\r\
    \n        if (\$rmark=\"main\") do={\r\
    \n            /ip route set [ find dst-address=0.0.0.0/0 !routing-mark gateway!=\$gw ] gateway=\$gw\r\
    \n        } else={\r\
    \n            /ip route set [ find dst-address=0.0.0.0/0 routing-mark=\$rmark gateway!=\$gw ] gateway=\$gw\r\
    \n        }\r\
    \n    }\r\
    \n} else={\r\
    \n    :if (\$rmark=\"main\") do={\r\
    \n        /ip route remove [ find dst-address=0.0.0.0/0 !routing-mark gateway~\"%\$interface\\\$\" ]\r\
    \n    } else={\r\
    \n        /ip route remove [ find dst-address=0.0.0.0/0 routing-mark=\$rmark ]\r\
    \n    }\r\
    \n}"
add comment=Ukrtelecom interface="ether2 Ukrtelecom" script=":local rmark \"Ukrtelecom\"\r\
    \n:local count [ /ip route print count-only where dst-address=0.0.0.0/0 routing-mark=\$rmark ]\r\
    \n:if (\$bound=1) do={\r\
    \n    :local iface \$interface\r\
    \n    :local gw [ /ip dhcp-client get [ find interface=\$\"iface\" ] gateway ]\r\
    \n    :set gw \"\$gw%\$iface\"\r\
    \n    :if (\$count=0) do={\r\
    \n        /ip route add gateway=\$gw routing-mark=\$rmark\r\
    \n    } else={\r\
    \n        if (\$rmark=\"main\") do={\r\
    \n            /ip route set [ find dst-address=0.0.0.0/0 !routing-mark gateway!=\$gw ] gateway=\$gw\r\
    \n        } else={\r\
    \n            /ip route set [ find dst-address=0.0.0.0/0 routing-mark=\$rmark gateway!=\$gw ] gateway=\$gw\r\
    \n        }\r\
    \n    }\r\
    \n} else={\r\
    \n    :if (\$rmark=\"main\") do={\r\
    \n        /ip route remove [ find dst-address=0.0.0.0/0 !routing-mark gateway~\"%\$interface\\\$\" ]\r\
    \n    } else={\r\
    \n        /ip route remove [ find dst-address=0.0.0.0/0 routing-mark=\$rmark ]\r\
    \n    }\r\
    \n}"
/ip dhcp-server lease
add address=192.168.1.123 client-id=1:10:e7:c6:a6:5:58 comment="\CD\EE\F3\F2\E1\F3\EA \B3\ED\E6\E5\ED\E5\F0\E0" mac-address=10:E7:C6:A6:05:58 server=dhcp1
add address=192.168.0.9 client-id=1:d8:cb:8a:e3:b0:c9 mac-address=D8:CB:8A:E3:B0:C9 server=dhcp2
add address=192.168.0.253 client-id=1:4:5e:a4:c7:a6:df mac-address=04:5E:A4:C7:A6:DF server=dhcp2
add address=192.168.0.252 client-id=1:4:5e:a4:c7:a6:de comment="Tenda WiFi" mac-address=04:5E:A4:C7:A6:DE server=dhcp2
add address=192.168.0.123 client-id=1:e0:9d:31:eb:16:1c comment="\CD\EE\F3\F2\E1\F3\EA \B3\ED\E6\E5\ED\E5\F0\E0" mac-address=E0:9D:31:EB:16:1C server=dhcp2
add address=192.168.0.119 client-id=1:94:be:46:40:bd:c0 comment="\CF\EB\E0\ED\F8\E5\F2 \EE\EF\E5\F0\E0\F2\E8\E2\ED\FB\F5" mac-address=94:BE:46:40:BD:C0 server=dhcp2
add address=192.168.1.25 client-id=1:f8:d0:27:8:7f:b7 comment="\CF\F0\E8\ED\F2\E5\F0 \E8\ED\E6\E5\ED\E5\F0\EE\E2 Epson" mac-address=F8:D0:27:08:7F:B7 server=dhcp1
add address=192.168.1.18 client-id=1:1c:1b:d:b5:63:4b comment="\CF\CA \B3\ED\E6\E5\ED\E5\F0\E0" mac-address=1C:1B:0D:B5:63:4B server=dhcp1
/ip dhcp-server network
add address=192.168.0.0/24 comment=Ukrtelecom dns-server=192.168.0.1,8.8.8.8 gateway=192.168.0.1
add address=192.168.1.0/24 comment=Vega dns-server=192.168.1.1,8.8.4.4 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=195.248.191.72,213.227.192.130,213.179.249.138,213.179.249.162,8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.0.9 list=Vega
add address=192.168.0.24 list=Vega
add address=192.168.0.27 list=Vega
add address=192.168.0.119 list=Vega
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=in connection-state=established,related
add action=accept chain=input in-interface=Vega
add action=accept chain=input in-interface="ether1 Vega"
add action=accept chain=input in-interface=Ukrtelecom
add action=accept chain=input in-interface="ether2 Ukrtelecom"
add action=accept chain=forward in-interface=Vega
add action=accept chain=forward in-interface="ether1 Vega"
add action=accept chain=forward in-interface=Ukrtelecom
add action=accept chain=forward in-interface="ether2 Ukrtelecom"
add action=accept chain=in in-interface=Vega protocol=icmp
add action=accept chain=in in-interface=Ukrtelecom protocol=icmp
add action=drop chain=input in-interface=Vega
add action=drop chain=input in-interface=Ukrtelecom
add action=drop chain=forward connection-state=invalid
add action=drop chain=input connection-state=invalid
add action=drop chain=output comment="Deny 8.8.4.4 through Ukrtelecom" dst-address=8.8.4.4 out-interface="ether2 Ukrtelecom" protocol=icmp
add action=accept chain=forward connection-nat-state=dstnat dst-address=46.201.227.98 in-interface-list=WAN
add action=accept chain=forward connection-nat-state=dstnat dst-address=89.105.243.120 in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-type=!local in-interface=Vega new-routing-mark=Vega passthrough=yes
add action=mark-routing chain=prerouting dst-address-type=!local in-interface=Ukrtelecom new-routing-mark=Ukrtelecom passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local new-connection-mark=Vega_conn src-address-list=Vega
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface="ether1 Vega" new-connection-mark=Vega_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface="ether2 Ukrtelecom" new-connection-mark=Ukrtelecom_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=Vega new-connection-mark=Vega_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=Ukrtelecom new-connection-mark=Ukrtelecom_conn passthrough=yes
add action=mark-routing chain=prerouting connection-mark=Vega_conn in-interface-list=LAN new-routing-mark=Vega passthrough=yes
add action=mark-routing chain=prerouting connection-mark=Ukrtelecom_conn in-interface-list=LAN new-routing-mark=Ukrtelecom passthrough=yes
add action=mark-routing chain=output connection-mark=Vega_conn new-routing-mark=Vega passthrough=yes
add action=mark-routing chain=output connection-mark=Ukrtelecom new-routing-mark=Ukrtelecom passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat comment=NAT out-interface-list=WAN
add action=dst-nat chain=dstnat comment=KamOperator dst-port=10504 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.22
add action=dst-nat chain=dstnat disabled=yes dst-port=10504 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10504 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.22
add action=dst-nat chain=dstnat disabled=yes dst-port=10504 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=DunayGPRS dst-port=10000-10501 in-interface="ether2 Ukrtelecom" protocol=udp to-addresses=192.168.0.6
add action=dst-nat chain=dstnat dst-port=10000-10501 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.6
add action=dst-nat chain=dstnat disabled=yes dst-port=10000-10501 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=10000-10501 in-interface="ether2 Ukrtelecom" protocol=udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10000-10501 in-interface="ether1 Vega" protocol=udp to-addresses=192.168.0.6
add action=dst-nat chain=dstnat dst-port=10000-10501 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.6
add action=dst-nat chain=dstnat disabled=yes dst-port=10000-10501 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=10000-10501 in-interface="ether1 Vega" protocol=udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=DunayR-COM dst-port=15001 in-interface="ether2 Ukrtelecom" protocol=udp to-addresses=192.168.0.5
add action=dst-nat chain=dstnat dst-port=15001 in-interface="ether1 Vega" protocol=udp to-addresses=192.168.0.5
add action=dst-nat chain=dstnat dst-port=15001 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.5
add action=dst-nat chain=dstnat dst-port=15001 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.5
add action=dst-nat chain=dstnat comment=GrifonGPRS dst-port=9999 in-interface="ether2 Ukrtelecom" protocol=udp to-addresses=192.168.0.7
add action=dst-nat chain=dstnat disabled=yes dst-port=9999 in-interface="ether2 Ukrtelecom" protocol=udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=9999 in-interface="ether1 Vega" protocol=udp to-addresses=192.168.0.7
add action=dst-nat chain=dstnat disabled=yes dst-port=9999 in-interface="ether1 Vega" log=yes protocol=udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=KamHolOperator dst-port=10510 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.23
add action=dst-nat chain=dstnat disabled=yes dst-port=10510 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10510 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.23
add action=dst-nat chain=dstnat disabled=yes dst-port=10510 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=KamTamburZapis dst-port=8013 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.27
add action=dst-nat chain=dstnat disabled=yes dst-port=8013 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=8013 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.27
add action=dst-nat chain=dstnat disabled=yes dst-port=8013 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=LunMobServer dst-port=10530 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.2
add action=dst-nat chain=dstnat disabled=yes dst-port=10530 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3050 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=10530 in-interface="ether1 Vega" protocol=udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10530 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.2
add action=dst-nat chain=dstnat disabled=yes dst-port=10530 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3050 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3050 in-interface="ether2 Ukrtelecom" protocol=udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=10530 in-interface="ether2 Ukrtelecom" protocol=udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=OrionGPRSTest dst-port=3038 in-interface="ether1 Vega" log=yes protocol=udp to-addresses=192.168.1.18 to-ports=3038
add action=dst-nat chain=dstnat dst-port=3650 in-interface="ether1 Vega" log=yes protocol=udp to-addresses=192.168.1.18 to-ports=3650
add action=dst-nat chain=dstnat disabled=yes dst-port=3650 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.1.18 to-ports=3650
add action=dst-nat chain=dstnat comment=OrionGPRS dst-port=3600 in-interface="ether1 Vega" protocol=udp to-addresses=192.168.0.4 to-ports=3600
add action=dst-nat chain=dstnat dst-port=3601 in-interface="ether1 Vega" protocol=udp to-addresses=192.168.0.4 to-ports=3601
add action=dst-nat chain=dstnat disabled=yes dst-port=3600 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.4
add action=dst-nat chain=dstnat disabled=yes dst-port=3600 in-interface="ether1 Vega" log=yes protocol=udp to-addresses=192.168.3.2 to-ports=3600
add action=dst-nat chain=dstnat disabled=yes dst-port=3601 in-interface="ether1 Vega" log=yes protocol=udp to-addresses=192.168.3.2 to-ports=3601
add action=dst-nat chain=dstnat dst-port=3600 in-interface="ether2 Ukrtelecom" protocol=udp to-addresses=192.168.0.4 to-ports=3600
add action=dst-nat chain=dstnat dst-port=3601 in-interface="ether2 Ukrtelecom" protocol=udp to-addresses=192.168.0.4 to-ports=3601
add action=dst-nat chain=dstnat disabled=yes dst-port=3050 in-interface="ether1 Vega" protocol=udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=3600 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.4
add action=dst-nat chain=dstnat disabled=yes dst-port=3600 in-interface="ether2 Ukrtelecom" protocol=udp to-addresses=192.168.3.2 to-ports=3600
add action=dst-nat chain=dstnat disabled=yes dst-port=3601 in-interface="ether2 Ukrtelecom" protocol=udp to-addresses=192.168.3.2 to-ports=3601
add action=dst-nat chain=dstnat comment=LunStatIP dst-port=3031 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3031 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3031 in-interface="ether2 Ukrtelecom" protocol=udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=3031 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3031 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat disabled=yes dst-port=3031 in-interface="ether1 Vega" protocol=udp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=KamOperatorZapis dst-port=8010 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.22
add action=dst-nat chain=dstnat disabled=yes dst-port=8010 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=8010 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.22
add action=dst-nat chain=dstnat disabled=yes dst-port=8010 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=CamOfisZal dst-port=10610 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.24
add action=dst-nat chain=dstnat disabled=yes dst-port=10610 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10610 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.24
add action=dst-nat chain=dstnat disabled=yes dst-port=10610 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=CamSecretar dst-port=10611 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.25
add action=dst-nat chain=dstnat disabled=yes dst-port=10611 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10611 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.25
add action=dst-nat chain=dstnat disabled=yes dst-port=10611 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=CamOperZalZapis dst-port=8011 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.23
add action=dst-nat chain=dstnat disabled=yes dst-port=8011 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=8011 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.23
add action=dst-nat chain=dstnat disabled=yes dst-port=8011 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=KamVerhKorZapis dst-port=8012 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.26
add action=dst-nat chain=dstnat disabled=yes dst-port=8012 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=8012 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.26
add action=dst-nat chain=dstnat disabled=yes dst-port=8012 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=CamVerhKorudor dst-port=10612 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.26
add action=dst-nat chain=dstnat disabled=yes dst-port=10612 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10612 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.26
add action=dst-nat chain=dstnat disabled=yes dst-port=10612 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=KamVerhTambur dst-port=10613 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.27
add action=dst-nat chain=dstnat disabled=yes dst-port=10613 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=10613 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.27
add action=dst-nat chain=dstnat disabled=yes dst-port=10613 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=Lun dst-port=13000-13100 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.2
add action=dst-nat chain=dstnat disabled=yes dst-port=13000-13010 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=13000-13100 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.2
add action=dst-nat chain=dstnat disabled=yes dst-port=13000-13010 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=KamSecretarZapis dst-port=8020 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.25
add action=dst-nat chain=dstnat disabled=yes dst-port=8020 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat dst-port=8020 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.25
add action=dst-nat chain=dstnat disabled=yes dst-port=8020 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.3.2
add action=dst-nat chain=dstnat comment=Ajax dst-port=3061 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.9
add action=dst-nat chain=dstnat dst-port=3061 in-interface="ether2 Ukrtelecom" protocol=tcp to-addresses=192.168.0.8
add action=dst-nat chain=dstnat dst-port=3061 in-interface="ether1 Vega" protocol=tcp to-addresses=192.168.0.9
add action=dst-nat chain=dstnat dst-port=3061 in-interface="ether1 Vega" log=yes protocol=tcp to-addresses=192.168.0.8
/ip firewall service-port
set irc disabled=no
/ip route
add disabled=no dst-address=8.8.4.4/32 gateway=Vega
add disabled=no dst-address=8.8.8.8/32 gateway=Ukrtelecom
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway="46.201.224.1%ether2 Ukrtelecom" pref-src="" routing-table=Ukrtelecom scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway="93.127.124.1%ether1 Vega" pref-src="" routing-table=Vega scope=30 suppress-hw-offload=no target-scope=10
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.18/32
set ssh disabled=yes
set api disabled=yes
set winbox port=8135
set api-ssl disabled=yes
/ip traffic-flow
set interfaces="ether1 Vega"
/ip traffic-flow ipfix
set bytes=no dst-address=no dst-address-mask=no dst-mac-address=no first-forwarded=no gateway=no icmp-code=no icmp-type=no igmp-type=no in-interface=no ip-header-length=no \
    ip-total-length=no ipv6-flow-label=no is-multicast=no last-forwarded=no nat-dst-address=no nat-dst-port=no nat-events=yes nat-src-address=no nat-src-port=no out-interface=no \
    packets=no protocol=no src-address=no src-address-mask=no src-mac-address=no sys-init-time=no tcp-ack-num=no tcp-flags=no tcp-seq-num=no tcp-window-size=no tos=no ttl=no \
    udp-length=no
/ip upnp interfaces
add disabled=yes interface="ether3 Pult" type=internal
add disabled=yes interface="ether1 Vega" type=external
add disabled=yes interface="ether2 Ukrtelecom" type=external
/routing bfd configuration
add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5
/routing rule
add action=lookup disabled=yes dst-address=192.168.1.0/24 table=Vega
add action=lookup disabled=yes dst-address=192.168.1.0/24 table=Ukrtelecom
/system clock
set time-zone-name=Europe/Kyiv
/system logging
add action=firewall disabled=yes topics=firewall
/system note
set show-at-login=no
/system scheduler
add interval=23h59m name=reboot policy=reboot start-date=2024-01-09 start-time=11:00:00
/tool graphing interface
add interface="ether3 Pult"
add interface="ether2 Ukrtelecom"
/tool graphing resource
add
/tool netwatch
add disabled=no down-script="/ip route set [find comment=\"Vega\"] disabled=yes\r\
    \n/ip route set [find comment=\"Ukrtelecom\"] disabled=no" host=8.8.4.4 interval=10m timeout=1s type=simple up-script=\
    "/ip route set [find comment=\"Vega\"] disabled=no\r\
    \n/ip route set [find comment=\"Ukrtelecom\"] disabled=yes"
add disabled=no down-script="/ip route set [find comment=\"Ukrtelecom\"] disabled=yes\r\
    \n/ip route set [find comment=\"Vega\"] disabled=no" host=8.8.8.8 interval=10m timeout=1s type=simple up-script=\
    "/ip route set [find comment=\"Ukrtelecom\"] disabled=no\r\
    \n/ip route set [find comment=\"Vega\"] disabled=yes"
[admin@MikroTik] > 
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Организация сети офиса

Сообщение Chupaka »

Приветствую. Видимо, это роуты, которые были созданы скриптами DHCP-клиентов. Попробуйте отключить DHCP-клиент, удалить роут, включить клиент - и посмотреть, какой роут создастся.
Werwulf
Сообщения: 16
Зарегистрирован: 22 дек 2022, 13:31

Re: Организация сети офиса

Сообщение Werwulf »

Chupaka писал(а): 10 янв 2024, 13:58 Приветствую. Видимо, это роуты, которые были созданы скриптами DHCP-клиентов. Попробуйте отключить DHCP-клиент, удалить роут, включить клиент - и посмотреть, какой роут создастся.
Сделал. Не создается такой же роут, к тому же он имеет атрибут AS. Более того, инет пропал минут через 5 после удаления этой строчки
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Организация сети офиса

Сообщение Chupaka »

AS - это и есть активный статический ("добавленный ручками/скриптом") маршрут. Т.е. у вас DHCP-клиент адрес получает, а маршрут не создаётся в таблице "Ukrtelecom", она пустая? Вот это, видимо, надо исправлять...
Werwulf
Сообщения: 16
Зарегистрирован: 22 дек 2022, 13:31

Re: Организация сети офиса

Сообщение Werwulf »

Chupaka писал(а): 10 янв 2024, 17:59 AS - это и есть активный статический ("добавленный ручками/скриптом") маршрут. Т.е. у вас DHCP-клиент адрес получает, а маршрут не создаётся в таблице "Ukrtelecom", она пустая? Вот это, видимо, надо исправлять...
А как исправить если перезапуск DHCP не помог? Или просто оставить то что я исправил руками?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Организация сети офиса

Сообщение Chupaka »

Попробуйте в WinBox (чтобы не надо было разэкранировать кавычки) скопировать текст скрипта, потом открыть терминал и вставить в него скомпонованное такое:

Код: Выделить всё

{
:local interface "ether2 Ukrtelecom";
:local bound 1;

ТЕКСТ_СКРИПТА

}
(фигурные скобки важны). Посмотреть, как отработает.
Werwulf
Сообщения: 16
Зарегистрирован: 22 дек 2022, 13:31

Re: Организация сети офиса

Сообщение Werwulf »

Chupaka писал(а): 11 янв 2024, 00:07 Попробуйте в WinBox (чтобы не надо было разэкранировать кавычки) скопировать текст скрипта, потом открыть терминал и вставить в него скомпонованное такое:

Код: Выделить всё

{
:local interface "ether2 Ukrtelecom";
:local bound 1;

ТЕКСТ_СКРИПТА

}
(фигурные скобки важны). Посмотреть, как отработает.
Не совсем понял про какой текст скрипта имеется в виду
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Организация сети офиса

Сообщение Chupaka »

Вкладка Advanced, поле Script в DHCP-клиенте
Werwulf
Сообщения: 16
Зарегистрирован: 22 дек 2022, 13:31

Re: Организация сети офиса

Сообщение Werwulf »

Chupaka писал(а): 12 янв 2024, 00:54 Вкладка Advanced, поле Script в DHCP-клиенте
Сделал - ничего не поменялось кроме как статус получения IP стал renew и на этом завис. Инет пропал. Снес в DHCP клиенте всех и создал по новой с теми же скриптами - пропало все. Вернул пока как было по бекапу
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Организация сети офиса

Сообщение Chupaka »

Т.е. скрипт выполнился в Терминале без ошибок? В лог не смотрели - что-нибудь новое в тот момент появилось?
Ответить