Направление инернета на свою группу портов

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
NskRonin
Сообщения: 9
Зарегистрирован: 03 мар 2016, 15:53
Откуда: Новосибирск

Направление инернета на свою группу портов

Сообщение NskRonin »

текой вопрос, как проще всего реализовать такое:

9 и 10 порт получают интернет только с 1 порта, а 11 и 12 порт получают интернет только со 2.

Попробовал объединить порты 9 и 10 (9 мастер) и 11 и 12 (11 мастер), создал бриджи для каждой группы. И назначил IP адреса 192.168.88.1 - 9-10 порты, 192.168.89.1 - 11-12 порты.

В правилах фаервола сделал сделал следующее (pic1)

Итог - и с первого и со второго порта интернет работает на микротике, раздет только на 9-10 порт.

Еще правил вот это (pic2)

Попробовал с 11-12 порта дать IP из 89 подсети сетевке - инетрнет заработал, но все равно что с 1, что 2 порта.
Аватара пользователя
Chupaka
Сообщения: 4095
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Направление инернета на свою группу портов

Сообщение Chupaka »

на ether1 у вас адреса нет?..

Код: Выделить всё

/ip route add gateway=ш.л.ю.з1 routing-mark=gw1
/ip route add gateway=ш.л.ю.з2 routing-mark=gw2

/ip firewall mangle add chain=prerouting dst-address=192.168.0.0/16   #<-- это чтобы пользователи друг с другом общались
/ip firewall mangle add chain=prerouting in-interface=bridge-local1 action=mark-routing new-routing-mark=gw1
/ip firewall mangle add chain=prerouting in-interface=bridge-local2 action=mark-routing new-routing-mark=gw2
также, если объединяете порты через мастер-порт - то бриджи не нужны. мастер-порт - это аппаратный бридж, bridge - программный
Аватара пользователя
NskRonin
Сообщения: 9
Зарегистрирован: 03 мар 2016, 15:53
Откуда: Новосибирск

Re: Направление инернета на свою группу портов

Сообщение NskRonin »

Я сейчас провожу тестирование, выдергиваю приходящий из роутера и перекидываю его между 1 и 2 портом, ПК перекидываю между 9, 10, 11 и 12 портом. Пытаюсь добиться,что бы с 11 и 12 порта интернет шел только тогда, когда приходящий вставлен во 2 порт, а с 9 и 10 - когда в 1 порт.

Похожую конфигурацию я реализовал, но у мен есть момент - шлюз1 и шлюз2 - одинаковые, мне помеоветовали вот это

/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1%ether1 routing-mark=ISP1
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1%ether2 routing-mark=ISP2

Но не момогло

Вот весь мой конфиг
---------------------------------------------------------

Код: Выделить всё

[admin@MikroTik] > /export compact                                                                  
# mar/07/2016 12:12:18 by RouterOS 6.30.4
# software id = 9V55-JI5F
#
/interface bridge
add name=bridge-local1
add name=bridge-local2
/interface wireless
set [ find default-name=wlan1 ] l2mtu=1600
/interface ethernet
set [ find default-name=ether10 ] master-port=ether9
set [ find default-name=ether12 ] master-port=ether11
/interface bridge port
add bridge=bridge-local1 interface=ether9
add bridge=bridge-local2 interface=ether11
/ip address
add address=192.168.88.1/24 interface=bridge-local1 network=192.168.88.0
add address=192.168.89.1/24 interface=bridge-local2 network=192.168.89.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=ether1
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=ether2
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall mangle
add action=mark-routing chain=prerouting in-interface=bridge-local1 new-routing-mark=ISP1
add action=mark-routing chain=prerouting in-interface=bridge-local2 new-routing-mark=ISP2
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
/ip route
add distance=1 gateway=192.168.1.1%ether1 routing-mark=ISP1
add disabled=yes distance=1 gateway=192.168.1.1 routing-mark=ISP1
add distance=1 gateway=192.168.1.1%ether2 routing-mark=ISP2
add disabled=yes distance=1 gateway=192.168.2.1 routing-mark=ISP2
/lcd interface pages
set 0 interfaces=wlan1
/system clock
set time-zone-name=Asia/Novosibirsk
/system routerboard settings
set protected-routerboot=disabled
/tool romon port
add
---------------------------------------------------------
/ip route print detail
---------------------------------------------------------

Код: Выделить всё

[admin@MikroTik] > /ip route print detail
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit  
 0 A S  dst-address=0.0.0.0/0 gateway=192.168.1.1%ether1 gateway-status=192.168.1.1 reachable ether1 distance=1 scope=30 target-scope=10 routing-mark=ISP1
 
 1 X S  dst-address=0.0.0.0/0 gateway=192.168.1.1 gateway-status=192.168.1.1 inactive distance=1 scope=30 target-scope=10 routing-mark=ISP1  
 
 2   S  dst-address=0.0.0.0/0 gateway=192.168.1.1%ether2 gateway-status=192.168.1.1 unreachable distance=1 scope=30 target-scope=10 routing-mark=ISP2  
 
 3 X S  dst-address=0.0.0.0/0 gateway=192.168.2.1 gateway-status=192.168.2.1 inactive distance=1 scope=30 target-scope=10 routing-mark=ISP2  
 
 4 ADS  dst-address=0.0.0.0/0 gateway=192.168.1.1 gateway-status=192.168.1.1 reachable via  ether1 distance=0 scope=30 target-scope=10 vrf-interface=ether
 
 5 ADC  dst-address=192.168.1.0/24 pref-src=192.168.1.76 gateway=ether1 gateway-status=ether1 reachable distance=0 scope=10  
 
 6 ADC  dst-address=192.168.88.0/24 pref-src=192.168.88.1 gateway=bridge-local1 gateway-status=bridge-local1 reachable distance=0 scope=10  
 
 7 ADC  dst-address=192.168.89.0/24 pref-src=192.168.89.1 gateway=bridge-local2 gateway-status=bridge-local2 reachable distance=0 scope=10

---------------------------------------------------------
Аватара пользователя
NskRonin
Сообщения: 9
Зарегистрирован: 03 мар 2016, 15:53
Откуда: Новосибирск

Re: Направление инернета на свою группу портов

Сообщение NskRonin »

Вот инструкция http://nixman.info/?p=133

Не было сделано вот это:
И пропишем правила NAT:

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1 src-address=192.168.88.0/24
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether2 src-address=192.168.89.0/24

На этом все, PBR работает, и каждый из клиентов будет ходить только через указанного в настройках провайдера.
Аватара пользователя
NskRonin
Сообщения: 9
Зарегистрирован: 03 мар 2016, 15:53
Откуда: Новосибирск

Re: Направление инернета на свою группу портов

Сообщение NskRonin »

В общем все пашет как часы, осталось только один момент победить:

Как настроить связь между всеми подсетями с одной подсети?
У меня получилось 8 подсетей, 192.168.88.0, 192.168.89.0, 192.168.90.0, 192.168.91.0, 192.168.92.0, 192.168.93.0. 192.168.94.0 и 192.168.95.0. Управлять сетью я буду из 192.168.95.0

Попробовал вот такую конструкцию применить

ip route add dst-address=192.168.94.0/24 gateway=192.168.95.1/24
ip route add dst-address=192.168.95.0/24 gateway=192.168.94.1/24

Не помогло...
Аватара пользователя
Chupaka
Сообщения: 4095
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Направление инернета на свою группу портов

Сообщение Chupaka »

так, давайте по порядку...

с %etherN посоветовали правильно, но чтобы "зафиксировать" пользователей на конкретном провайдере, надо в каждую таблицу "ISPn" добавить маршрут, который дальше никуда пускать не будет, если шлюз по умолчанию неактивен. например, так:

Код: Выделить всё

/ip route type=unreachable routing-mark=ISP1 distance=20
/ip route type=unreachable routing-mark=ISP2 distance=20
в противном случае роутер не находит маршрут в нужной таблице ISP_N и отваливается в таблицу main, где есть маршруты от DHCP-клиента

"/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1 src-address=192.168.88.0/24" - это худший костыль из тех, что можно было сделать в данной ситуации :) в такой схеме пакеты пользователей всё равно уйдут в интернет, но натироваться не будут, поэтому к провайдеру уйдёт "мусор" с вашими внутренними адресами. хорошо, если провайдер их просто дропнет...

чтобы связь между подсетями была, в самом верху mangle добавьте правило, которое я приводил выше:

Код: Выделить всё

/ip firewall mangle add chain=prerouting dst-address=192.168.0.0/16   #<-- это чтобы пользователи друг с другом общались
Аватара пользователя
NskRonin
Сообщения: 9
Зарегистрирован: 03 мар 2016, 15:53
Откуда: Новосибирск

Re: Направление инернета на свою группу портов

Сообщение NskRonin »

чтобы связь между подсетями была, в самом верху mangle добавьте правило, которое я приводил выше:

Код: Выделить всё
/ip firewall mangle add chain=prerouting dst-address=192.168.0.0/16 #<-- это чтобы пользователи друг с другом общались
Создал правило. Пинг из 94 в 95 подсеть от устройства к устройству не проходит.

Все работает... не сразу понял про самый верх )
Последний раз редактировалось NskRonin 07 мар 2016, 19:37, всего редактировалось 1 раз.
Аватара пользователя
NskRonin
Сообщения: 9
Зарегистрирован: 03 мар 2016, 15:53
Откуда: Новосибирск

Re: Направление инернета на свою группу портов

Сообщение NskRonin »

/ip route type=unreachable routing-mark=ISP1 distance=20
/ip route type=unreachable routing-mark=ISP2 distance=20
Микротик ругается на синтаксис
Аватара пользователя
NskRonin
Сообщения: 9
Зарегистрирован: 03 мар 2016, 15:53
Откуда: Новосибирск

Re: Направление инернета на свою группу портов

Сообщение NskRonin »

чтобы связь между подсетями была, в самом верху mangle добавьте правило, которое я приводил выше:

Код: Выделить всё
/ip firewall mangle add chain=prerouting dst-address=192.168.0.0/16 #<-- это чтобы пользователи друг с другом общались



Создал правило. Пинг из 94 в 95 подсеть от устройства к устройству не проходит.

Все работает... не сразу понял про самый верх )
Интересное наблюдение - если правило включено, то работает сеть между подсетями, но нет интернета, если выключено - наоборот.
Аватара пользователя
Chupaka
Сообщения: 4095
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Направление инернета на свою группу портов

Сообщение Chupaka »

NskRonin писал(а):
/ip route type=unreachable routing-mark=ISP1 distance=20
/ip route type=unreachable routing-mark=ISP2 distance=20
Микротик ругается на синтаксис
да, там везде надо /ip route add, естественно :)
NskRonin писал(а):Интересное наблюдение - если правило включено, то работает сеть между подсетями, но нет интернета, если выключено - наоборот.
"нет интернета" - это с DNS'ом проблемы? а какие DNS'ы используются? если на модемах (192.168.1.1) - то можно в правиле уменьшить подсеть с 192.168.0.0/16 до, например, 192.168.64.0/18, чтобы модемы не затрагивало
Аватара пользователя
NskRonin
Сообщения: 9
Зарегистрирован: 03 мар 2016, 15:53
Откуда: Новосибирск

Re: Направление инернета на свою группу портов

Сообщение NskRonin »

Все. Спасибо. Ни чего не упало после 192.168.64.0/18 и правил роутинга.