2 интернета и 2 сети (RB2011)

[r136a8]

А какие параметры (адреса) мне нужно прописать в IP -> DHCP Server -> Networks для кааждого провайдера?
http://i99.fastpic.ru/big/2018/0227/2e/ ... ce9b2e.jpg
Я понял, что проблема именно в этом.

[Chupaka]

192.168.88.1 и 192.168.99.1 соответственно. Или убрать DNS - тогда автоматически DNS'ом будет назначаться адрес роутера, насколько помню

Это решит первую проблему, но решать вам надо обе одновременно

[r136a8]

пробую

[r136a8]

Интернет вовсе пропал
http://i103.fastpic.ru/big/2018/0227/06 ... f1b806.jpg
http://i99.fastpic.ru/big/2018/0227/64/ ... ae8764.jpg
http://i99.fastpic.ru/big/2018/0227/33/ ... 6ebb33.jpg

[Chupaka]

Поставить галку Allow Remote Requests в IP -> DNS и заполнить серверы!

[r136a8]

Да помогло, теперь по выше упомянутой мной инструкцией уже пробовать настраивать родительский контроль с помощью DNS серверов, правильно?

[Chupaka]

Так ведь это уже основаная часть инструкции и должна была быть... Или вы какие серверы заполняли? (О_о)

[r136a8]

Да все заработало большое Спасибо. Может Вы еще подскажите есть ли возможность заблокировать таким образом рекламу google в андроид для ребенка ну очень же ее много.

[Chupaka]

Нет, не подскажу. А её не блокирует? Возможно, есть смысл связаться с оператором вышеуказанных DNS для уточнения.

[r136a8]

Понял, Спасибо Вам Большое!

[r136a8]

А можно сделать вот так
http://www.fotolink.su/v.php?id=e11120a ... bf223932a2
http://www.fotolink.su/v.php?id=ddac2a0 ... 2987528554
Для детей - Без сайтов для взрослых
208.67.222.222
Безопасный - Без мошеннических сайтов и вирусов
208.67.220.222
Но в DNS я же могу прописать только один DNS!

[Chupaka]

Можно и через NAT делать, тогда локальный DNS использоваться не будет, запросы сразу в Интернет уйдут.

[r136a8]

Хорошо.
Подскажите есть ли быстрый способ разблокировать yandex disk (блокировка провайдера) без использования VPN, нужна максимальная скорость для обмена и скачивания информации с яндекс диска.

[r136a8]

Какая-то ерунда, фильтрация полностью перестала работать для всех! Изменений не производилось, я даже восстановился с резервной копии. Все сайты пропускаются!
Что за чудеса?
http://www.fotolink.su/v.php?id=63a24f7 ... 8aef772989

[Chupaka]

Yandex.Disk - зависит от того, как именно провайдер блокирует его. Если по какому IP - без тоннеля в точку, где он не заблокирован, не обойтись.

Для диагностики фильтрации, я так понимаю, лучше использовать какой-нибудь nslookup, а не скриншоты конфигурации.

[r136a8]

К сожалению не смог я сделать обход блокировки к яндекс (она то заработала то пропала)

Заметил что когда пропадает интернет на одном провайдеров второй то интернет работает от второго, адолжно бы показывать что интернета нет.
Как я понимаю чтобы сети не видели друг друга я прописал, или это не то?
http://www.fotolink.su/v.php?id=fef890e ... e916965555
Настройки DNS
http://www.fotolink.su/v.php?id=0721218 ... c969a70dc8
http://www.fotolink.su/v.php?id=42c745a ... 7a058ca39a

[Chupaka]

К сожалению не смог я сделать обход блокировки к яндекс (она то заработала то пропала)

Могу только посочувствовать, ибо полезной информации предоставлено ровно ноль...

Заметил что когда пропадает интернет на одном провайдеров второй то интернет работает от второго, адолжно бы показывать что интернета нет.

Тогда в таблицы маршрутизации для обоих провайдеров надо добавить ещё одно правило с type=unreachable и distance побольше.

Как я понимаю чтобы сети не видели друг друга я прописал, или это не то?
http://www.fotolink.su/v.php?id=fef890e ... e916965555

Нет, это чтобы в целом был доступ в Интернет через этих провайдеров

http://www.fotolink.su/v.php?id=42c745a ... 7a058ca39a

А вот это как раз чтобы сети не видели друг друга, похоже (скриншоты малоинформативны в этом плане - мало ли что у вас там настроено в правиле, что не попало на экран).

[Chupaka]

Т.е. надо сделать

Код: Выделить всё

/ip route
add type=unreachable routing-mark=WAN1 distance=250
add type=unreachable routing-mark=WAN2 distance=250

или

Код: Выделить всё

/ip route
add type=unreachable routing-mark=WAN-V distance=250
add type=unreachable routing-mark=WAN-E distance=250

в зависимости от того, как именно маркируется в Mangle трафик пользователей.

А можно вообще все четыре вкинуть

[r136a8]

После ввода этого правила интернет продолжает работать на обеих сетях, при отключении интернета от любого из провайдеров интернет (параллельный, от другой сети) продолжает работать.

Код: Выделить всё

/ip route
add type=unreachable routing-mark=WAN1 distance=250
add type=unreachable routing-mark=WAN2 distance=250

После вввода этого правила интернет пропадает полностью в сети ether2-WAN-E

Код: Выделить всё

/ip route
add type=unreachable routing-mark=WAN-V distance=250
add type=unreachable routing-mark=WAN-E distance=250

http://www.fotolink.su/v.php?id=c33d10b ... 5d1c11ec56

лог
http://www.fotolink.su/v.php?id=f610cc2 ... 2dacf63bdd

Mangle
http://www.fotolink.su/v.php?id=8a9c6fa ... 60e93babac


Если этой информации недостаточно как возможно предоставить больше для понятия что к чему.

[Chupaka]

После вввода этого правила интернет пропадает полностью в сети ether2-WAN-E

Код: Выделить всё

/ip route
add type=unreachable routing-mark=WAN-V distance=250
add type=unreachable routing-mark=WAN-E distance=250

http://www.fotolink.su/v.php?id=c33d10b ... 5d1c11ec56

Ну, как вижу, всё правильно: шлюз 217.30.200.200 в таблице WAN-E недоступен - поэтому Интернета у них нет.

Но тут вкралось подозрение, что вы что-то наворотили с WAN1 и WAN2, и у вас там должны были быть -V и -E вместо 1 и 2.

[r136a8]

После отключения кабелья провайдера "WAN-V" даное правило слетает (пропадает), такая же ситуация если отключить интернет по провайтеру WAN-E

Код: Выделить всё

/ip route
add type=unreachable routing-mark=WAN-V distance=250
add type=unreachable routing-mark=WAN-E distance=250

http://www.fotolink.su/v.php?id=7cfb3cb ... bbf3a29e26

[Chupaka]

Правила удаляет скрипт DHCP-клиента. Попробуйте заменить в нём строку

Код: Выделить всё

/ip route remove [ find dst-address=0.0.0.0/0 routing-mark=$rmark ]

на

Код: Выделить всё

/ip route remove [ find dst-address=0.0.0.0/0 routing-mark=$rmark type=unicast ]

[r136a8]

Т.е. вы никак даже не пытались направить каждую подсеть в соответствующий WAN?

Надо сделать так:
1. Создать две новых таблицы маршрутизации с дефолтными маршрутами через каждый из каналов:

Код: Выделить всё

/ip route
add routing-mark=WAN-V gateway=192.168.2.1
add routing-mark=WAN-E gateway=192.168.51.1

(ну, или какие у вас там шлюзы получились)
2. Направить трафик от каждого сегмента в нужный аплинк:

Код: Выделить всё

/ip firewall mangle
add chain=prerouting in-interface=bridge1-NET-V dst-address-type=!local action=mark-routing new-routing-mark=WAN-V
add chain=prerouting in-interface=bridge2-NET-E dst-address-type=!local action=mark-routing new-routing-mark=WAN-E

3. На данном этапе уже не должно быть возможности подсетям общаться друг с другом (все пакеты к другой подсети будут улетать в свой интернет-канал), но на хороший толк можно в фильтре файрвола запретить хождение пакетов между бриджами:

Код: Выделить всё

/ip firewall filter
add chain=forward in-interface=bridge1-NET-V out-interface=bridge2-NET-E action=reject
add chain=forward in-interface=bridge2-NET-E out-interface=bridge1-NET-V action=reject

Есть ли возможность разрешить одному устройству (NAS219 у короткого только один LAN порт) быть видимым в другой сети. На данный момент сети изолированы и устройства одной сети другую сеть не видят.

[Chupaka]

Это, видимо, потому, что все пакеты маршрутизируются в Интернет. Чтобы локальный трафик ходил в рамках локалки, можно перед всеми mangle-правилами добавить правило

Код: Выделить всё

/ip firewall mangle
add chain=prerouting dst-address=локальная_суперсеть action=accept

Где локальная_суперсеть - например, 192.168.0.0/16

[r136a8]

Это, видимо, потому, что все пакеты маршрутизируются в Интернет. Чтобы локальный трафик ходил в рамках локалки, можно перед всеми mangle-правилами добавить правило

Код: Выделить всё

/ip firewall mangle
add chain=prerouting dst-address=локальная_суперсеть action=accept

Где локальная_суперсеть - например, 192.168.0.0/16

Если вод так, то не работает. 192.168.99.245 не доступен
http://www.fotolink.su/v.php?id=fc2ee98 ... 08a6cf2528