здесь уже другим методом, тоже нет пинга на DNS шлюзы влвнов пингуются
/interface bridge
add name=bridgeLan protocol-mode=none
add name=bridge_eshdi protocol-mode=none
/interface vlan
add interface=ether1 name=vlan_70 vlan-id=70
add interface=ether2 name=vlan_70_wifi vlan-id=70
add interface=ether1 name=vlan_2368 vlan-id=2368
add interface=ether2 name=vlan_2368_wifi_eshdi vlan-id=2368
/interface list
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool_lan ranges=172.16.17.100-172.16.17.200
add name=pool_eshdi ranges=192.168.10.100-192.168.10.200
/ip dhcp-server
add address-pool=pool_lan disabled=no interface=bridgeLan name=server_lan
add address-pool=pool_eshdi disabled=no interface=bridge_eshdi name=server_eshdi
/interface bridge port
add bridge=bridgeLan interface=ether3
add bridge=bridgeLan interface=ether4
add bridge=bridgeLan interface=vlan_70_wifi
add bridge=bridge_eshdi interface=vlan_2368_wifi_eshdi
add bridge=bridgeLan interface=ether5
add bridge=bridgeLan interface=ether6
add bridge=bridgeLan interface=ether7
add bridge=bridgeLan interface=ether8
add bridge=bridge_eshdi interface=ether9
add bridge=bridge_eshdi interface=ether10
/interface list member
add interface=ether1 list=WAN
/ip address
add address=172.16.17.1/24 comment=Lan interface=bridgeLan network=172.16.17.0
add address=192.168.10.1/24 comment=Lan_Eshdi interface=bridge_eshdi network=192.168.10.0
add address=185.хх.хх.133/27 comment=Vlan70 interface=vlan_70 network=185.хх.хх.128
add address=188.хх.хх.109/27 comment=Vlan2368 interface=vlan_2368 network=188.хх.хх.96
/ip dhcp-server network
add address=172.16.17.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=172.16.17.1 netmask=24
add address=192.168.10.0/24 dns-server=77.88.8.8,8.8.8.8 gateway=192.168.10.1 netmask=24
/ip firewall filter
add action=drop chain=forward disabled=yes dst-address=192.168.10.0/24 src-address=172.16.17.0/24
add action=drop chain=forward disabled=yes dst-address=172.16.17.0/24 src-address=192.168.10.0/24
/ip firewall mangle
add action=mark-connection chain=input comment=ISP1 in-interface=vlan_70 new-connection-mark=ISP1-conn passthrough=yes
add action=mark-routing chain=output connection-mark=ISP1-conn new-routing-mark=ISP1-route passthrough=no
add action=mark-connection chain=forward in-interface=vlan_70 new-connection-mark=ISP1-conn-f passthrough=no
add action=mark-routing chain=prerouting connection-mark=ISP1-conn-f in-interface=bridgeLan new-routing-mark=ISP1-route passthrough=no
add action=mark-connection chain=input comment=ISP2 in-interface=vlan_2368 new-connection-mark=ISP2-conn passthrough=yes
add action=mark-connection chain=output connection-mark=ISP2-conn new-connection-mark=ISP2-route passthrough=no
add action=mark-connection chain=forward in-interface=vlan_2368 new-connection-mark=ISP2-conn-f passthrough=no
add action=mark-routing chain=prerouting connection-mark=ISP2-conn-f in-interface=bridge_eshdi new-routing-mark=ISP2-route passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=172.16.17.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.10.0/24
/ip route
add comment=ISP1 distance=1 gateway=185.хх.хх.129 routing-mark=ISP1-route
add comment=ISP2 distance=1 gateway=188.хх.хх.97 routing-mark=ISP2-route
/ip route rule
add action=unreachable dst-address=192.168.10.0/24 src-address=172.16.17.0/24
add action=unreachable dst-address=172.16.17.0/24 src-address=192.168.10.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=8282
set api-ssl disabled=yes
2 интернета и 2 сети (RB2011)
-
- Сообщения: 6
- Зарегистрирован: 28 июл 2024, 15:41
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: 2 интернета и 2 сети (RB2011)
В /ip firewall nat уберите src-address= в правилах - пусть всё натируется, раз уж дошло до интерфейса
Ничего не работает, видимо, потому, что у вас в таблице маршрутизации main нет маршрута по умолчанию:
/ip route add comment=ISP1 distance=1 gateway=185.хх.хх.129
После этого должен заработать Интернет через первого провайдера (во втором конфиге надо в правилах NAT out-interface= исправить на корректные, виланы).
Дальше, видимо, два варианта: либо традиционный (без VRF, отмаркировать через /ip firewall filter add chain=prerouting in-interface= bridge_eshdi action=mark-routing new-routing-mark=ISP2-route пакеты от второго бриджа и отправить их через второго провайдера), либо VRF (как вы пытались в первом конфиге; там, возможно, надо исправить /ip route add comment=ISP2 distance=1 gateway=188.хх.хх.97@ISP-2 routing-mark=ISP-2 - по умолчанию, как понимаю, шлюз берётся из таблицы main, надо указать, что он всё же местный)
Ничего не работает, видимо, потому, что у вас в таблице маршрутизации main нет маршрута по умолчанию:
/ip route add comment=ISP1 distance=1 gateway=185.хх.хх.129
После этого должен заработать Интернет через первого провайдера (во втором конфиге надо в правилах NAT out-interface= исправить на корректные, виланы).
Дальше, видимо, два варианта: либо традиционный (без VRF, отмаркировать через /ip firewall filter add chain=prerouting in-interface= bridge_eshdi action=mark-routing new-routing-mark=ISP2-route пакеты от второго бриджа и отправить их через второго провайдера), либо VRF (как вы пытались в первом конфиге; там, возможно, надо исправить /ip route add comment=ISP2 distance=1 gateway=188.хх.хх.97@ISP-2 routing-mark=ISP-2 - по умолчанию, как понимаю, шлюз берётся из таблицы main, надо указать, что он всё же местный)
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: 2 интернета и 2 сети (RB2011)
А, в случае с VRF проверьте, что ваш VRF ISP-2 вверху списка, над main (проверить можно в /ip vrf print) - правила действуют по порядку, а у main указан interface=all
-
- Сообщения: 6
- Зарегистрирован: 28 июл 2024, 15:41
Re: 2 интернета и 2 сети (RB2011)
Дн! Настроил через VRF оба brige ходят по своему Vlan. Теперь новая задача настроить eth2 на микротика для подключения точки доступа по Vlan. На точке доступа настроен два вилана 70 и 2368 и два SSID. При подключении к ssid1 клиент автоматом получал ip от bridge_Lan, и при подключении к ssid2 получал ip от bridge_Eshidi.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: 2 интернета и 2 сети (RB2011)
Eth2 вроде именно так и настроен. В конфиге вижу два вилана, которые входят в соответствующие бриджи
-
- Сообщения: 6
- Зарегистрирован: 28 июл 2024, 15:41
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: 2 интернета и 2 сети (RB2011)
Я бы packet sniffer'ом проверил, какие там вообще пакеты от точки доступа прибегают. Чтоб убедиться, что не в ней проблема. Можно даже попробовать вручную настроить клиента на тест.