Mikrotik на 2 провайдера

@zuul · Регистрация: 31.03.2021

Author24 — интернет-сервис помощи студентам

Имеется маршрутизатор MikroTik-RB2011iL который 3-й день пытаюсь настроить на работу с 2-мя провайдерами. Уже всю голову сломал, не могу понять что я делаю не так. Вводные данные следующие:

Провайдер 1: IP: 10.1.0.40 GW: 10.1.0.1
Провайдер 2: IP: 92.205.228.178 (белый IP) GW: 92.205.228.177
Lan: 10.1.10.0/24

Необходимо пускать весь трафик из LAN через провайдера 1. В случае отказа провайдера 1 переключать на провайдера 2. В тоже время провайдер 2 тоже должен быть доступен т.к. через белый IP провайдера 2 будут пробросы портов в LAN. Вроде все просто. Маркируем трафик провайдеров и LAN и пускаем все по соответствующим маршрутам. Из сети провайдера 1 ко мне доступ есть. Из LAN доступ есть только через 1-го провайдера. Не могу получить доступ через провайдера 2. Не пингуется IP и все тут. Конфигурацию маршрутизатора прилагаю. Может кто глянет и подскажет что я делаю не так.

https://disk.yandex.ru/d/kjyAaomXdRTvAw

Заранее спасибо за ответы

@insect_87 · 17.05.2021, 15:01

Вот этим вы по маркировке заставите отвечать только сам роутер с нужного инетрфейса (для проброса не отработает)

Код

/ip firewall mangle
add action=mark-connection chain=input comment=ISP1 dst-address=10.1.0.40 in-interface=eth6_ISP1 new-connection-mark=ISP1-input passthrough=no
add action=mark-routing chain=output connection-mark=ISP1-input new-routing-mark=ISP1 passthrough=no
add action=mark-connection chain=input comment=ISP2 dst-address=92.205.228.178 in-interface=eth7_ISP2 new-connection-mark=ISP2-input passthrough=no
add action=mark-routing chain=output connection-mark=ISP2-input new-routing-mark=ISP2 passthrough=no

1.
Для ответов с нужного интерфейса роутера при перенаправлении портов и доступа к самому роутеру можно так (сразу 2 в одном):

Код

/interface list
add name=WAN

/interface list member
add interface=eth6_ISP1 list=WAN
add interface=eth7_ISP2 list=WAN

/ipfirewall mangle 
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=eth6_ISP1 new-connection-mark=con-WAN1 
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=eth7_ISP2 new-connection-mark=con-WAN2 
add action=mark-routing chain=prerouting connection-mark=con-WAN1 in-interface-list=!WAN new-routing-mark=ISP1 
add action=mark-routing chain=prerouting connection-mark=con-WAN2 in-interface-list=!WAN new-routing-mark=ISP2 
add action=mark-routing chain=output connection-mark=con-WAN1 new-routing-mark=ISP1  
add action=mark-routing chain=output connection-mark=con-WAN2 new-routing-mark=ISP2 

/ip route
add distance=1 gateway=10.1.0.1 routing-mark=ISP1
add distance=1 gateway=92.205.228.177 routing-mark=ISP2

2.
а само резервирование для транзитного, инициируемого на стороне клиентов LAN, и исходящего, инициируемого самим роутером, трафика можно реализовать с помощью рекурсивной маршрутизации в основной таблице маршрутизации

Код

/ip route 
add dst-address=8.8.8.8 gateway=10.1.0.1 scope=10
add dst-address=8.8.4.4 gateway=92.205.228.177 scope=10

add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=8.8.4.4 distance=2 check-gateway=ping

Замените свои правила mangle и правила в ip route моими, и все будет ок

@zuul · 17.05.2021, 16:26 **[ТС]**

insect_87, Ай спасибо тебе добрый человек, долго бы я ещё сидел. Проброс портов при этом происходит по стандартной схеме скажем так:

Код

/ip firewall nat
add action=netmap chain=dstnat dst-port=80 in-interface=eth7_ISP2 protocol=tcp to-addresses=10.1.10.X to-ports=80

?

@insect_87 · 17.05.2021, 16:41

почти правильно, вместо netmap используйте dst-nat

Код

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=80 in-interface=eth7_ISP2 protocol=tcp to-addresses=10.1.10.X to-ports=80

netmap для других целей нужен https://spw.ru/educate/articles/natpart4/

Не по теме:

как и same в сравнении с src-nat в цепочке srcnat

https://spw.ru/educate/articles/natpart3/

@zuul · 18.05.2021, 10:52 **[ТС]**

insect_87, скажите а при такой конфигурации как переключить весь трафик с провайдера 1 на провайдера 2? Как я понял обычное отключение маршрута уже не прокатит

@insect_87 · 18.05.2021, 11:48

Сообщение от zuul

скажите а при такой конфигурации как переключить весь трафик с провайдера 1 на провайдера 2? Как я понял обычное отключение маршрута уже не прокатит

если речь о трафике, для которого соединение инициирует сам роутер или клиенты локальной сети, то можно просто деактивировать

Код

add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping

@zuul · 18.05.2021, 12:12 **[ТС]**

insect_87, а по какой причине он может не помечать маршрут через 2-го провайдера как Active Static? После деактивации 1-го маршрута переключения не происходит. Если изменить при этом distance 2-го маршрута на 1, то он секунд на 10 становиться как AS (все работает как и должно), а после становиться S (и все соответственно перестает работать)

@insect_87 · 18.05.2021, 12:22

zuul, еще раз деактивруйте запись

Код

add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping disabled=yes

и по дефолту все пойдет через 92.205.228.177

ИЛИ я не понимаю ваш вопрос

@zuul · 18.05.2021, 12:31 **[ТС]**

Сообщение от insect_87

ИЛИ я не понимаю ваш вопрос

Я скорее всего не так выражаюсь

Сообщение от insect_87

add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping disabled=yes

Даже после диактивации 1-го маршрута

Код

add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping disabled=yes

2-маршрут не помечается как AS. Убрал на обоих check-gateway - все заработало (т.е. после отключения 1-го маршрута второй стал как AS и трафик пошел через 2-го провайдера). В принципе переключение можно организовать через Tools->Netwatch.

@insect_87 · 18.05.2021, 13:55

покажите

Код

ip route export compact

@zuul · 18.05.2021, 15:01 **[ТС]**

insect_87,
/ip route
add distance=1 gateway=10.1.0.1 routing-mark=ISP1
add distance=1 gateway=92.205.228.177 routing-mark=ISP2
add distance=1 gateway=8.8.8.8
add distance=2 gateway=8.8.4.4
add distance=1 dst-address=8.8.4.4/32 gateway=92.205.228.177 scope=10
add distance=1 dst-address=8.8.8.8/32 gateway=10.1.0.1 scope=10

@insect_87 · 18.05.2021, 15:54

странно, очень странно.
ping до 8.8.4.4 вообще через второй шлюз идет?
может удаленно подключиться посмотреть через anydesk? но нужен иной выход в инет, не через роутер, например через мобильную связь
можете в личку черкнуть

@zuul · 19.05.2021, 09:31 **[ТС]**

Сообщение от insect_87

ping до 8.8.4.4 вообще через второй шлюз идет?

Да, tracert до 8.8.4.4 идет через второго провайдера до 8.8.8.8 через первого

Сообщение от insect_87

может удаленно подключиться посмотреть через anydesk?

Большое спасибо, не хочу вас утруждать, вы и без того очень сильно помогли. Пока настроил переключение через netwatch. Когда буду посвободнее разберусь что ни так. Спасибо за быстрые ответы!
Вопрос можно считать решенным

@zuul 2 / 2 / 0 Регистрация: 31.03.2021 Сообщений: 12
		1
	Mikrotik на 2 провайдера 17.05.2021, 14:05. Показов 2573. Ответов 12 Метки mikrotik, сети (Все метки) Имеется маршрутизатор MikroTik-RB2011iL который 3-й день пытаюсь настроить на работу с 2-мя провайдерами. Уже всю голову сломал, не могу понять что я делаю не так. Вводные данные следующие: Провайдер 1: IP: 10.1.0.40 GW: 10.1.0.1 Провайдер 2: IP: 92.205.228.178 (белый IP) GW: 92.205.228.177 Lan: 10.1.10.0/24 Необходимо пускать весь трафик из LAN через провайдера 1. В случае отказа провайдера 1 переключать на провайдера 2. В тоже время провайдер 2 тоже должен быть доступен т.к. через белый IP провайдера 2 будут пробросы портов в LAN. Вроде все просто. Маркируем трафик провайдеров и LAN и пускаем все по соответствующим маршрутам. Из сети провайдера 1 ко мне доступ есть. Из LAN доступ есть только через 1-го провайдера. Не могу получить доступ через провайдера 2. Не пингуется IP и все тут. Конфигурацию маршрутизатора прилагаю. Может кто глянет и подскажет что я делаю не так. https://disk.yandex.ru/d/kjyAaomXdRTvAw Заранее спасибо за ответы 0

@zuul 2 / 2 / 0 Регистрация: 31.03.2021 Сообщений: 12
	17.05.2021, 16:26 [ТС]	3
	insect_87, Ай спасибо тебе добрый человек, долго бы я ещё сидел. Проброс портов при этом происходит по стандартной схеме скажем так: Код /ip firewall nat add action=netmap chain=dstnat dst-port=80 in-interface=eth7_ISP2 protocol=tcp to-addresses=10.1.10.X to-ports=80 ? 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	17.05.2021, 16:41	4
	почти правильно, вместо netmap используйте dst-nat Код /ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=eth7_ISP2 protocol=tcp to-addresses=10.1.10.X to-ports=80 netmap для других целей нужен https://spw.ru/educate/articles/natpart4/ Не по теме: как и same в сравнении с src-nat в цепочке srcnat https://spw.ru/educate/articles/natpart3/ 1

@zuul 2 / 2 / 0 Регистрация: 31.03.2021 Сообщений: 12
	18.05.2021, 10:52 [ТС]	5
	insect_87, скажите а при такой конфигурации как переключить весь трафик с провайдера 1 на провайдера 2? Как я понял обычное отключение маршрута уже не прокатит 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	18.05.2021, 11:48	6
	Сообщение от zuul скажите а при такой конфигурации как переключить весь трафик с провайдера 1 на провайдера 2? Как я понял обычное отключение маршрута уже не прокатит если речь о трафике, для которого соединение инициирует сам роутер или клиенты локальной сети, то можно просто деактивировать Код add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping 1

@zuul 2 / 2 / 0 Регистрация: 31.03.2021 Сообщений: 12
	18.05.2021, 12:12 [ТС]	7
	insect_87, а по какой причине он может не помечать маршрут через 2-го провайдера как Active Static? После деактивации 1-го маршрута переключения не происходит. Если изменить при этом distance 2-го маршрута на 1, то он секунд на 10 становиться как AS (все работает как и должно), а после становиться S (и все соответственно перестает работать) 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	18.05.2021, 12:22	8
	zuul, еще раз деактивруйте запись Код add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping disabled=yes и по дефолту все пойдет через 92.205.228.177 ИЛИ я не понимаю ваш вопрос 1

@zuul 2 / 2 / 0 Регистрация: 31.03.2021 Сообщений: 12
	18.05.2021, 12:31 [ТС]	9
	Сообщение от insect_87 ИЛИ я не понимаю ваш вопрос Я скорее всего не так выражаюсь Сообщение от insect_87 add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping disabled=yes Даже после диактивации 1-го маршрута Код add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping disabled=yes 2-маршрут не помечается как AS. Убрал на обоих check-gateway - все заработало (т.е. после отключения 1-го маршрута второй стал как AS и трафик пошел через 2-го провайдера). В принципе переключение можно организовать через Tools->Netwatch. 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	18.05.2021, 13:55	10
	покажите Код ip route export compact 1

@zuul 2 / 2 / 0 Регистрация: 31.03.2021 Сообщений: 12
	18.05.2021, 15:01 [ТС]	11
	insect_87, /ip route add distance=1 gateway=10.1.0.1 routing-mark=ISP1 add distance=1 gateway=92.205.228.177 routing-mark=ISP2 add distance=1 gateway=8.8.8.8 add distance=2 gateway=8.8.4.4 add distance=1 dst-address=8.8.4.4/32 gateway=92.205.228.177 scope=10 add distance=1 dst-address=8.8.8.8/32 gateway=10.1.0.1 scope=10 0

	19.05.2021, 09:31

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	18.05.2021, 15:54	12
	странно, очень странно. ping до 8.8.4.4 вообще через второй шлюз идет? может удаленно подключиться посмотреть через anydesk? но нужен иной выход в инет, не через роутер, например через мобильную связь можете в личку черкнуть 1

@zuul 2 / 2 / 0 Регистрация: 31.03.2021 Сообщений: 12
	19.05.2021, 09:31 [ТС]	13
	Сообщение от insect_87 ping до 8.8.4.4 вообще через второй шлюз идет? Да, tracert до 8.8.4.4 идет через второго провайдера до 8.8.8.8 через первого Сообщение от insect_87 может удаленно подключиться посмотреть через anydesk? Большое спасибо, не хочу вас утруждать, вы и без того очень сильно помогли. Пока настроил переключение через netwatch. Когда буду посвободнее разберусь что ни так. Спасибо за быстрые ответы! Вопрос можно считать решенным 0

Mikrotik на 2 провайдера

Решение