Как сделать 2 изолированные сети на 2 разных PPPoE интерфейсах?

[seel2304]

Здравствуйте. Появилась довольно непростая (для меня) задача. Постараюсь расписать подробно что имеется и что нужно сделать. Устройство - Mikrotik RB3011UiAS-RM
Есть 2 провайдерских кабеля (один провайдер, но по разным линиям и разные PPPoE аккаунты). Один приходит в SFP порт с трансивером Mikrotik S-RJ01 (по сути дополнительный ethernet RJ45 порт), второй приходит в порт Ethernet1. Для удобства будем называть PPPoE-sfp и PPPoE-eth1.
Устройство уже полностью настроено для работы с одним кабелем (по eth1), в нём прописаны все необходимые настройки (dhcp, firewall, полностью настроенный CAPsMAN и т.д.). Важно, чтобы при настройке доп. сети в предыдущей ничего не изменилось. Подсеть 192.168.88.1, используемые в данный момент порты - eth1 (PPPoE), eth2, eth3, eth4, eth5, eth10.
Мне нужно на базе этого устройства создать новую сеть (по сути она уже есть готовая на RB951, мне нужно её перенести на RB3011) с подсетью 192.168.10.1, своим dhcp, firewall и чтобы она брала интернет только с PPPoE-sfp и использовала порты SFP (PPPoE), eth6, eth7, eth8, eth9.
Сети не должны друг с другом соприкасаться (нужно запретить доступ из одной в другую и наоборот), иметь свои автономные настройки и т.д. Но доступ к настройкам роутера должен быть с обоих сетей (с одной по адресу 192.168.88.1, с другой по адресу 192.168.10.1)
Пробовал сделать через настройку двух Bridge, но при добавлении в него портов, на которых висят PPPoE клиенты, PPPoE отрубаются. Долго и много пытался шаманить по разным статьям, но по итогу ничего не вышло.
Буду безмерно благодарен помощи, т.к. сам в микротиках довольно слаб.

1407_hi_res.png

[Chupaka]

Здравствуйте.

Порты, на которых висят pppoe-клиенты, в бриджи добавлять не надо. Надо создать бридж для новой локалки, перенести порты eth6, eth7, eth8, eth9 из первого бриджа во второй. На втором бридже настроить dhcp с параметрами со второго роутера.

С файрволом сложнее, явно придётся переделать правила, чтобы уместить в одном файрволе управление двумя локалками.

Для выхода в Интернет создать два маркированных маршрута по умолчанию:

Код: Выделить всё

/ip route add gateway=PPPoE-sfp routing-mark=via_sfp
/ip route add gateway=PPPoE-eth1 routing-mark=via_eth1

(тут PPPoE-* - это pppoe-клиент, а не физический порт, через который он подключается)

Чтобы при пропадании какого-либо канала пользователи не лазили через другой ("чтобы она брала интернет только с PPPoE-sfp"), прописываем запреты:

Код: Выделить всё

/ip route add type=unreachable routing-mark=via_sfp distance=200
/ip route add type=unreachable routing-mark=via_eth1 distance=200

И самая главная магия: каждую из подсетей направляем в соответствующую таблицу маршрутизации, предварительно исключив из перенаправления доступ к самому роутеру (менеджмент и всякие DNS):

Код: Выделить всё

/ip firewall mangle
add chain=prerouting dst-address-type=local action=accept
add chain=prerouting in-interface=bridge-LAN1 action=mark-routing new-routing-mark=via_eth1
add chain=prerouting in-interface=bridge-LAN2 action=mark-routing new-routing-mark=via_sfp

В принципе, в таком варианте любые пакеты из одной локальной подсети в другую пойдут в соответствующий PPPoE-клиент и там будут отброшены провайдером, так что это может упростить настройку фильтра файрвола.