2 интернета и 2 сети (RB2011)

[r136a8]

Добрый. Прошу помощи в реализации — вот такой задачи


Я пробовал по вот этой инструкции http://www.technotrade.com.ua/Articles/ ... -06-19.php, но у меня не получилось так как в конце у меня получается только одна активная сеть. Нужно же 2 отдельные сети, которые не видят друг друга и которых разные интернет провайдеры.

[Chupaka]

Помощь будет, как только вы расскажете, что значит "только одна активная сеть". Или, например, приведите конфиг, скажите, чего вы ожидаете от него и как на самом деле работает. Тогда можно сказать, почему так и как исправить.

[r136a8]

Я создал 2 WAN порта (WAN-V и WAN-E) и две сети (ether3-ether5 - 1 сеть; ether6-ether10 - 2 сеть)
Нужно чтобы сети не видели друг друга и у каждой был свой интернет WAN-V- сеть1; WAN-E-сеть2)
Вот пошагово как я все делал

[Chupaka]

Т.е. вы никак даже не пытались направить каждую подсеть в соответствующий WAN?

Надо сделать так:
1. Создать две новых таблицы маршрутизации с дефолтными маршрутами через каждый из каналов:

Код: Выделить всё

/ip route
add routing-mark=WAN-V gateway=192.168.2.1
add routing-mark=WAN-E gateway=192.168.51.1

(ну, или какие у вас там шлюзы получились)
2. Направить трафик от каждого сегмента в нужный аплинк:

Код: Выделить всё

/ip firewall mangle
add chain=prerouting in-interface=bridge1-NET-V dst-address-type=!local action=mark-routing new-routing-mark=WAN-V
add chain=prerouting in-interface=bridge2-NET-E dst-address-type=!local action=mark-routing new-routing-mark=WAN-E

3. На данном этапе уже не должно быть возможности подсетям общаться друг с другом (все пакеты к другой подсети будут улетать в свой интернет-канал), но на хороший толк можно в фильтре файрвола запретить хождение пакетов между бриджами:

Код: Выделить всё

/ip firewall filter
add chain=forward in-interface=bridge1-NET-V out-interface=bridge2-NET-E action=reject
add chain=forward in-interface=bridge2-NET-E out-interface=bridge1-NET-V action=reject

[r136a8]

Да все помогло. Спасибо

Как быть если провайдер поменяет мне IP мне нужно самостоятельно его менять в ip - dhcp client
Если я сменю провайдера другого то, что мне надо менять в настройках (пробовал другого провайдера на прямую в 1 порт - ip поменялся но интернет так и не появился, как я понял еще нужно внести изменения в ip - route list (но что я не пробовал интернет на WAN-V - bridge1-NET-V так и не появился)

[Chupaka]

Как быть если провайдер поменяет мне IP мне нужно самостоятельно его менять в ip - dhcp client
Если я сменю провайдера другого то, что мне надо менять в настройках (пробовал другого провайдера на прямую в 1 порт - ip поменялся но интернет так и не появился, как я понял еще нужно внести изменения в ip - route list (но что я не пробовал интернет на WAN-V - bridge1-NET-V так и не появился)

Чтобы маршруты в дополнительных таблицах маршрутизации создавались автоматически - смотрите вот сюда: viewtopic.php?f=2&t=323

[r136a8]

Вот так Вы имели ввиду?
Мне так же нужно прописать и для wan2?

Код: Выделить всё

:local rmark "WAN1"
:local count [ /ip route print count-only where dst-address=0.0.0.0/0 routing-mark=$rmark ]
:if ($bound=1) do={
    :local iface $interface
    :local gw [ /ip dhcp-client get [ find interface=$"iface" ] gateway ]
    :set gw "$gw%$iface"
    :if ($count=0) do={
        /ip route add gateway=$gw routing-mark=$rmark
    } else={
        if ($rmark="main") do={
            /ip route set [ find dst-address=0.0.0.0/0 !routing-mark gateway!=$gw ] gateway=$gw
        } else={
            /ip route set [ find dst-address=0.0.0.0/0 routing-mark=$rmark gateway!=$gw ] gateway=$gw
        }
    }
} else={
    :if ($rmark="main") do={
        /ip route remove [ find dst-address=0.0.0.0/0 !routing-mark gateway~"%$interface\$" ]
    } else={
        /ip route remove [ find dst-address=0.0.0.0/0 routing-mark=$rmark ]
    }
}

[Chupaka]

Если вы в тексте ничего не меняли - то да, так и сделать. На втором DHCP-клиенте сменить WAN1 на WAN2

[r136a8]

Все меняет, но интернета нет!
Я думаю потому что не меняется DNS Server я его настраивал вот по этой инструкции http://www.technotrade.com.ua/Articles/ ... -06-19.php, как думаете?


Я пробовал менять, но ничего не получилось, интернет не появляется!

[Chupaka]

Опишите, что вы понимаете под фразой "Интернет не появляется". Это именно ошибка DNS, или же 8.8.8.8 тоже не пингуется?

Вы не хотите использовать локальный DNS-сервер, который уже будет обращаться к любому из DNS-серверов провайдера?

[r136a8]

В данной конфигурации все работает и 8.8.8.8 пингуются.



а если передёрнуть кабель — вот так то 8.8.8.8 пингуются тоже.


то интернета на пк нет так как там остается ipdns4 server 192.168.2.1
я пробовал менять, но у меня не получается так как я понимаю, что я что то делаю не так! я думаю не правильно настроен DNS?

[Chupaka]

Так на ПК интернета нет, или ДНС-а нет, а Интернет есть и 8.8.8.8 пингуется? Определитесь уже. И пинговать надо с ПК, раз на нём проблема.

я пробовал менять, но у меня не получается так как я понимаю, что я что то делаю не так! я думаю не правильно настроен DNS?

Что не получается? Что вы делаете, чего в результате ожидаете и что по факту идёт не так? Телепатов тут нет

Поставьте DNS в DHCP Networks 192.168.88.1/192.168.99.1 (на разные подсети) и в IP -> DNS галку Allow remote requests.
После этого убедитесь, что Firewall Filter Input не блокирует DNS-запросы к роутеру - и наблюдайте за работой.

[r136a8]

на bridge-v интернета нет. почему я не знаю.

[Chupaka]

на bridge-v интернета нет.

Это что значит? Что ping говорит, tracert? Телепатов всё ещё не завезли.

[r136a8]

Все решилось, спасибо Вам большое. Я начал все с заводских настроек и сделал шаг за шагом. Интернет работает на обеих сетях (у каждой сети свой интернет)

А как разделить WIFI так же как и lan (wan1 - wifi1, wan2 - wifi2)?

[Chupaka]

Вы не поверите, но интерфейс wifi1 ничем принципиально не отличается от bridge-v
Так что правила аналогичные.

Это если вы не хотите, например, wifi1 добавить в первый бридж, wifi2 - во второй. Тогда ничего дополнительно делать не надо

[r136a8]

Извините не совсем понял Вас, с чего именно мне начать.

Я так понимаю нужно
Добавляем Wi-Fi интерфейс wlan1 в bridge2-NET-E
В Security Profiles добавить новый второй профиль
И в Interfaces также добавить новый Interfaces
Так?

[Chupaka]

Ну, начать неплохо бы с того, что сформулировать задачу. Задачи "создать виртуальную AP, потому что физический вайфай на роутере только один" пока не звучало

Но - в целом, да: создать нужное количество интерфейсов Virtual AP (создавать ли отдельные Security-профили - вам виднее, опять же), подобавлять их портами бриджа в bridge-net-e и bridge-net-v - они, соответственно, будут получать соответствующие адреса и выходить в соответствующие WAN'ы в интернет

[r136a8]

Да все получилось, настроил вот так!

[r136a8]

Добрый день уважаемый Chupaka, столкнулся с проблемой пропадания интернета в сети2 (wlan2) c первой сетью все супер стабильно.
Вторая сеть это кабель провайдера без модема.
Как разобрратся почему его нет, с чего начать?

[Chupaka]

Добрый.

Начать с просмотра логов роутера Затем - базовая диагностика: пинг шлюза, трассировка в сторону недоступных ресурсов...

[r136a8]

Как мне кажется с этим немного разобрался.

Помогите пожалуйста настроить родительский контроль для данной конфигурации с 2 провайдерами.
Я нашел вот такую инструкцию (http://www.technotrade.com.ua/Articles/ ... ontrol.php) но она не работает (доступ к сайтам есть)
Я хотел бы использовать именно DNS сервисы.

Семейный - Без сайтов для взрослых
208.67.222.222
208.67.220.220
Безопасный - Без мошеннических сайтов и вирусов
208.67.222.220
208.67.220.222

Помогите с конфигурацией для одной сети (для первой) а дальше я сделаю для второй. Как я понимаю в моем случае нужно делать для каждой конкретной сети (провайдера).

[Chupaka]

Если использовать данные DNS на роутере, а все запросы к DNS заруливать на роутер - то надо настроить всё только один раз для всех

Поясните фразу "но она не работает" более детально: что вы сделали, как проверяете, чего ожидаете и как получается на самом деле.

[r136a8]

Открываю меню IP - DNS
В поле Servers добавил адрес 208.67.222.222 или 198.153.192.50
Сохранил
http://i102.fastpic.ru/big/2018/0227/91 ... e2f091.jpg
очистил кэш DNS через команду ipconfig /flushdns
http://i100.fastpic.ru/big/2018/0227/b5 ... 201fb5.jpg
выключил-включил сетевую карту (запретные сайты так и открываются) интернет работает

согласно статьи пробовал добавить защиту от альтернативных DNS серверов командой
/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect
add chain=dstnat protocol=tcp dst-port=53 action=redirect

после которой интернет перестает работать
http://i103.fastpic.ru/big/2018/0227/7d ... 0de87d.jpg

после всех выше перечисленных действий в свойствах сети ничего не поменялось до и после
http://i101.fastpic.ru/big/2018/0227/1a ... 2f061a.jpg

[Chupaka]

В IP -> DHCP Server -> Networks выставить адрес роутера как DNS

В IP -> DNS у вас там ещё куча провайдерских серверов динамически добавлена - неужели вас не посетила мысль, что их надо оттуда убрать, чтобы использовались только нужные? В DHCP-клиенте убрать галку Use Peer DNS