На нашем устройстве два или более провайдера интернет(WAN). Нам нужно что-бы наше устройство было доступно и с одного и с другого внешнего IP провайдеров одновременно.
Если в пакете пришедшем на первый интерфейс (ISP 1) в адресе назначения указан IP адрес 172.25.25.247(ISP 1, ip от провайдера), то маркируем соединение именем (ISP 1 -> Input)
Правило 1
Если исходящий пакет принадлежит соединению с маркировкой (ISP 1 -> Input), то для него используем маршрут ISP 1
Тем самым маршрутизатор знает, что если его (пингуют или любой входящий трафик) с провайдера ISP 1, то ответ вернёт он через провайдера ISP 1
Соответственно нужно создать нужные нам маршруты:
[admin@mikrotik] /ip firewall mangle> printПравило 0
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=mark-connection new-connection-mark=ISP 1 -> Input passthrough=no dst-address=172.25.25.247 in-interface=ether1
1 chain=output action=mark-routing new-routing-mark=ISP 1 passthrough=no connection-mark=ISP 1 -> Input
2 chain=input action=mark-connection new-connection-mark=ISP 2 -> Input passthrough=no dst-address=192.168.99.2 in-interface=ether2
3 chain=output action=mark-routing new-routing-mark=ISP 2 passthrough=no connection-mark=ISP 2 -> Input
4 chain=input action=mark-connection new-connection-mark=ISP 3 -> Input passthrough=no dst-address=192.168.100.2 in-interface=ether3
5 chain=output action=mark-routing new-routing-mark=ISP 3 passthrough=no connection-mark=ISP 3 -> Input
Если в пакете пришедшем на первый интерфейс (ISP 1) в адресе назначения указан IP адрес 172.25.25.247(ISP 1, ip от провайдера), то маркируем соединение именем (ISP 1 -> Input)
Правило 1
Если исходящий пакет принадлежит соединению с маркировкой (ISP 1 -> Input), то для него используем маршрут ISP 1
Тем самым маршрутизатор знает, что если его (пингуют или любой входящий трафик) с провайдера ISP 1, то ответ вернёт он через провайдера ISP 1
Соответственно нужно создать нужные нам маршруты:
add comment=ISP1_mark distance=1 gateway=192.168.111.1 routing-mark=ISP 1где gateway - шлюз по-умолчанию вашего провайдера.
add comment=ISP2_mark distance=1 gateway=82.117.240.1 routing-mark=ISP 2
|
Подписаться на новые статьи. |
|
Спасибо, Жень, пригодилось =) Сам я не додумался, как это рализовать..
ОтветитьУдалитьЕдинственное, у меня динамический адрес, по которому я хочу лазить на МТ, посему написал такой скрипт для обновления адреса в правиле:
:global utip [ip address get [/ip address find interface=utppoe] address ];
:global mangleip [ip firewall mangle get [/ip firewall mangle find comment="utel_input" ] dst-address ];
#:log info ("$utip")
#:log info ("$mangleip" )
:if ($utip = $mangleip ) do={ :log info ("ip in rule is OK" ) } else={ ip firewall mangle set [/ip firewall mangle find comment="utel_input"] dst-address=$utip ; :log info ("RENEWING COMPLETE" )}
была у нас дискуссия по этому поводу, но тогда мы пришли к выводу что основной шлюз у роутера может быть только один, про маркировку не подумали...
УдалитьДоброе время суток всем.
ОтветитьУдалитьЯ решаю подобные вопросы абсолютно без маркировки.
Считаю, что если есть возможность не писать правила в пакетный фильтр, раздувая его по любому поводу, то нужно пользоваться такой возможностью.
В основной массе статей, которые мне доводилось читать на просторах интернета, прослеживается общая закономерность: "если Вы хотите организовать сетевое взаимодействие микротика с чем-либо, нужно всё тщательно промаркировать".
А на самом деле это не так.
Да и когда роутер обрастает кучей правил маркировки, потом приходится вспоминать: что, откуда и куда.
Мне нравится запихивать каждого провайдера в отдельную таблицу маршрутизации.
Думаю так оно правильнее.
И естественно микрот доступен одновременно через каждый канал.
Можете подсказать(привести пример) как правильно сделать?)
УдалитьУ меня простая ситуация 2 вана, хочу сделать доступ сразу к двум.
ОтветитьУдалитьДоброго дня! может не много не в тему. никто не подскажет как реализовать вот такую ситуацию. дано: на роутере 1 wan проводной, и LTE модем. WAN необходимо использовать только для ipsec с удаленным офисом, а LTE для выхода в инет пользователей.
ОтветитьУдалить