Как правильно в Mikrotik пускать пользователей через конкретного провайдера, если провайдеров несколько?

Question

[rt001]

Начну с начала.
В школе есть DC и 2 провайдера, на одном из них (пров№ 1 - эртелеком) включена контент-фильтрация и через него ходит в тырнет вся школа. Раньше у определенного круга лиц (ВЫПЬ), была своя подсеть (WORKGROUP), физически отделенная от всех остальных и у них там стоял свой маршрутизатор (D-LINK), раздающий интернет и DHCP, сделано это было кем-то, кого я не видел))). Но эти пользователи не имели доступа к ресурсам контроллера домена и файлового сервера, естественно, и испытывали по этому поводу неудобства. Вот дошли наконец руки до того чтобы объединить все это дело воедино - завести двух провайдеров в один маршрутизатор и раздавать оттуда интернет на ВЫПЬ и простых смертных.

т.к. кабель от провайдера №2 физически далеко от основного маршрутизатора (RB2011), я поставил на месте D-LINK RB750 и пробросил с него канал через vlan сквозь основную сеть до RB2011. Теперь RB2011 инициирует подключение к обоим провайдерам. Подключил ВЫПЬ в одну сеть вместе со смертными. настроил манглы и пускаю в того или иного провайдера по адрес-листам. когда спрашиваю свой IP у яндекса из под машины ВЫПи - показывает показывает IP 2го провайдера, для обычной машины - показывает IP 1го провайдера. казалось бы - все хорошо, но есть проблема.
из под обычной машины при попытке машины зайти на одноклассники, например, браузер переадресовывает на страницу parent-control.filter.ertelecom.ru (в адресной строке меняется адрес) - все правильно
а вот при попытке открыть те же одноклассники из под машины ВЫПи, он иногда открывает страницу назначения, но чаще показывает всю ту же информацию со страницы parent-control.filter.ertelecom.ru, но без переадресации, т.е. в адресной строке по прежнему одноклассники, а на экране "родительский контроль"

я уже бьюсь в истерике. ВЫПь на меня жмет - давай одноклассники! возвращай все как было (т.е. отдельную сеть и старый маршрутизатор)! почти рыдаю. потратил на это дело уже over 70 часов. делал манглы с джампами и без джампов (понятное дело, что это те же яйца, только сбоку но мало ли) - не работает

причем, если сделать у провайдера №1 дисконект, то у обычных компов ничего не открывается (как и должно быть), а у ВЫПи - та же песня - родительский контроль, даже если вынуть кабель из медиаконвертера.

создать обычный маршрут к прову2, убрать манглы (будто у нас только один пров №2) - все начинает работать

на контроллере домена DHCP
у клиентов в качестве шлюза ставится 192.168.1.2 (RB2011),
в качестве DNS - контроллер домена,
на контроллере домена в DNS стоит пересылка на 192.168.1.2 (RB2011)

выглядит это примерно так... нарисовал как смог )))

-
  +-------+                            +-------+
  | ISP 2 |                            | ISP 1 |
  +-------+                            +-------+
     |                                     |
     |ETH1                                 |ETH6
+--+-----------+----------+            +-------------------------+
|  |  BRIDGE1  |          |            |                         |
|  +-----------+          |            |                         |
|          |              |            |                         |
| RB750    |              |            | RB2011                  |
|          |              |            |                         |
|  +-----------+          |            |  +-----------+          |
|  |     VLAN1 |          |            |  |     VLAN1 |          |
+--+----------------------+            +--+----------------------+
     | ETH2 (LAN) 192.168.1.3/24            | ETH2 (LAN) 192.168.1.2/24
     |                                      |
     |             +------------------+     |
     |             |                  |     |
      -------------|   LAN Switch     |-----
                   |                  |
                   +------------------+
                     |         |     |
                 +-----+  +-----+  +-----+
                 | PC1 |  | PC2 |  | DC  |
                 +-----+  +-----+  +-----+

/ip firewall mangle
add action=log chain=output disabled=yes protocol=icmp
add action=log chain=input disabled=yes protocol=icmp
add action=mark-connection chain=input comment="in wan2,out wan2" in-interface=\
    wan2 new-connection-mark=wan2_conn
add action=mark-routing chain=output comment="in wan2,out wan2" connection-mark=\
    wan2_conn new-routing-mark=wan2_traffic passthrough=no
add action=mark-connection chain=forward comment="pfw wan2, out wan2" \
    connection-state=new in-interface=wan2 new-connection-mark=wan2_pfw \
    passthrough=no
add action=mark-routing chain=prerouting comment="pfw wan2, out wan2" \
    connection-mark=wan2_pfw in-interface=ether2 new-routing-mark=wan2_traffic \
    passthrough=no
add action=mark-connection chain=prerouting comment="wan2 con mark" \
    connection-state=new dst-address-type=!local in-interface=ether2 \
    new-connection-mark=wan2_conn src-address-list=to_wan2
add action=mark-connection chain=prerouting comment="wan2 con mark" \
    connection-state=new dst-address-type=!local in-interface=bridge1 \
    new-connection-mark=wan2_conn src-address-list=to_wan2
add action=mark-routing chain=prerouting comment="wan2 rout mark" connection-mark=\
    wan2_conn in-interface=ether2 new-routing-mark=wan2_traffic passthrough=no
add action=mark-routing chain=prerouting comment="wan2 rout mark" connection-mark=\
    wan2_conn in-interface=bridge1 new-routing-mark=wan2_traffic passthrough=no
add action=mark-connection chain=input comment="in wan1,out wan1" in-interface=\
    wan1 new-connection-mark=wan1_conn
add action=mark-routing chain=output comment="in wan1,out wan1" connection-mark=\
    wan1_conn new-routing-mark=wan1_traffic passthrough=no
add action=mark-connection chain=forward comment="pfw wan1, out wan1" \
    connection-state=new in-interface=wan1 new-connection-mark=wan1_pfw \
    passthrough=no
add action=mark-routing chain=prerouting comment="pfw wan1, out wan1" \
    connection-mark=wan1_pfw in-interface=ether2 new-routing-mark=wan1_traffic \
    passthrough=no
add action=mark-connection chain=prerouting comment="wan1 con mark" \
    connection-state=new dst-address-type=!local in-interface=ether2 \
    new-connection-mark=wan1_conn src-address-list=to_wan1
add action=mark-routing chain=prerouting comment="wan1 rout mark" connection-mark=\
    wan1_conn in-interface=ether2 new-routing-mark=wan1_traffic passthrough=no

/ip route
add comment=wan1 distance=1 gateway=wan1 routing-mark=wan1_traffic
add comment=wan2 distance=1 gateway=wan2 routing-mark=wan2_traffic
add comment=wan1 distance=1 gateway=wan1
add comment="wan2,wan3 DNS" distance=1 dst-address=93.88.128.2/32 gateway=\
    wan2,wan3
add comment="wan2,wan3 DNS" distance=1 dst-address=93.88.129.2/32 gateway=\
    wan2,wan3
add comment="wan1 DNS" distance=1 dst-address=109.194.159.59/32 gateway=wan1
add comment="wan1 DNS" distance=1 dst-address=212.33.246.249/32 gateway=wan1

/ip route print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  ;;; wan1        
0.0.0.0/0                          wan1                      1
 1 A S  ;;; wan2        
0.0.0.0/0                          wan2                      1
 2 A S  ;;; wan1       
0.0.0.0/0                          wan1                      1
 3 ADC  10.81.255.126/32   XXX.XXX.XXX.XXX   wan1                      0
 4 A S  ;;; wan2,wan3 DNS
93.88.128.2/32                     wan2                      1
                                           wan3              
5 A S  ;;; wan2,wan3 DNS
93.88.129.2/32                     wan2                      1
                                           wan3              
6 ADC  93.88.133.200/32   XXX.XXX.XXX.XXX   wan2                      0
7 A S  ;;; wan1 DNS
109.194.159.59/32                  wan1                      1
10 ADC  192.168.1.0/24     192.168.1.2     ether2                    0
11 A S  ;;; wan1 DNS
212.33.246.249/32                  wan1                      1

/ip dns
set allow-remote-requests=yes servers=\
    212.33.246.249,109.194.159.59,93.88.128.2,93.88.129.2

пожалуйста помогите!!! :'(

Answer 1

[Melkij]

Есть мнение, что настройка в целом верна, а проблема исключительно в DNS.
Т.е. в конечном итоге весь DNS заворачивается на RB2011, а там - что микротику в голову придёт, у того вышестоящего DNS'а и будет спрашивать адрес, что для випов, что для юзеров.
При этом у первого провайдера осуществляется перехват и подмена DNS-ответов, заворачивающие трафик на подконтрольный узел. Этот ответ ассоциируется с доменным именем без привязки к провайдеру - и ура, весь трафик этого доменного имени заворачивается на этот адрес.

Попробуйте в порядке проверки гипотезы на вип-машине прописать dns статично, которые выдаёт второй провайдер. Или вовсе гугловые 8.8.8.8, 8.8.4.4

Answer 2

[rt001]

один раз сработало - одноклассники открылись, но про вконтакт продолжает писать что родительский контроль
если на обычной машине прописать гугловские ДНС, то переадресация срабатывает, адрес в адресной строке меняется, но дальше говорит что заданный узел недоступен

вся проблема в том, что у микротика днс запрашивает контроллер, а кто попросил у контроллера - неизвестно. поэтому буду на днях пробовать вариант с двумя dns серверами
итак, что получилось в результате:
1. поднял второй DC (DC2) и на нем DNS (все равно он нужен, хотя бы для резервирования), в этом DNS прописал пересылку на 2го провайдера
2. в основном DC прописал пересылку на первого провайдера
3. добавил в dhcp зону с фиксацией, она раздает адреса на випов и проставляет у них DC2 в качестве основного DNS
4. в основной зоне dhcp (для смертных) проставляется DC1 в качестве основного DNS

при такой схеме все работает, спасибо за подсказки

Comments

[Melkij]

Кеши DNS'а почистили? Как ОС, так и браузера, возможно ещё какого middleware, вам лучше знать, как ваш парк работает.
И почему вы так странно описываете проблему? Где nslookup, где трассировка? Какие хосты отвечают на http запросы, а какие - должны отвечать на самом деле? При чёт тут какие-то значки всяких браузеров и заголовки страниц там же? Почему заданный узел недоступен обычному человеку, но кто при этом осуществляет переадресацию?

[rt001]

извините, может чушь написал какую-то и забыл про кэш днс :/
очистил
похоже вы правы - с гугловскими ДНСами все работает

все делал с одной машины, но добавлял ее сначала в обычный список, потом в вип, предварительно очищая днс кэш

из под списка обычных клиентов:
*********************************** ДНС - на контроллер домена
nslookup vk.com
*** Can't find server name for address 192.168.1.100: Non-existent domain
Server: UnKnown
Address: 192.168.1.100

Non-authoritative answer:
Name: vk.com
Addresses: 87.240.131.97, 87.240.131.99, 87.240.143.241
-----------------------
tracert vk.com
Трассировка маршрута к vk.com [92.255.241.101]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 8 ms 1 ms 1 ms 10.81.255.126
3 <1 мс 1 ms <1 мс lag-2-435.bgw01.voronezh.ertelecom.ru [109.195.5
6.18]
4 21 ms 21 ms 21 ms lag-2-435.bgw01.nn.ertelecom.ru [91.144.185.82]

5 * * * Превышен интервал ожидания для запроса.
6 22 ms 21 ms 51 ms parent-control.filter.ertelecom.ru [92.255.241.1
01]
Трассировка завершена.

из под списка вип
*********************************** ДНС - на контроллер домена
(на контроллере нет обратной зоны)
nslookup vk.com
*** Can't find server name for address 192.168.1.100: Non-existent domain
Server: UnKnown
Address: 192.168.1.100

Non-authoritative answer:
Name: vk.com
Addresses: 87.240.131.97, 87.240.131.99, 87.240.143.241
----------------------------------
tracert vk.com

Трассировка маршрута к vk.com [92.255.241.101]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 2 ms 1 ms 1 ms 93.88.133.200
3 4 ms 1 ms 1 ms 10.100.100.4
4 8 ms 8 ms 8 ms m9-gw5-ae3-1059.msk.anders.ru [87.251.135.193]
5 8 ms 8 ms * m9-gw4-po28.msk.anders.ru [81.91.177.49]
6 8 ms 8 ms 8 ms ertelecom-peer.msk.anders.ru [81.91.178.46]
7 36 ms 36 ms 36 ms lag-2-435.bgw01.nn.ertelecom.ru [91.144.185.82]

8 * * * Превышен интервал ожидания для запроса.
9 36 ms 51 ms 38 ms parent-control.filter.ertelecom.ru [92.255.241.1
01]

Трассировка завершена.

***********************************с ДНС 8.8.8.8
nslookup vk.com
Server: google-public-dns-a.google.com
Address: 8.8.8.8
----------------------------------
Non-authoritative answer:
Name: vk.com
Addresses: 87.240.131.117, 87.240.131.118, 87.240.131.119

tracert vk.com

Трассировка маршрута к vk.com [87.240.131.117]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 <1 мс <1 мс <1 мс 93.88.133.200
3 1 ms 1 ms 1 ms joxnet-gw.kvant-telecom.ru [109.106.134.90]
4 1 ms 2 ms 1 ms joxnet-gw.kvant-telecom.ru [109.106.134.89]
5 17 ms 17 ms 17 ms as47541.ix.dataix.ru [178.18.224.200]
6 17 ms 19 ms 17 ms srv206-191-240-87.vk.com [87.240.191.206]
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 20 ms 20 ms 20 ms srv117-131-240-87.vk.com [87.240.131.117]

Трассировка завершена.

[rt001]

Melkij: не оставлять же 8.8.8.8 на клиенте?...

[rt001]

можно, конечно, в маршрутизаторе в качестве DNS указать только гугловский, тогда фильтруемые ресурсы на пров1 будут просто недоступны, без всяких надписей "родительский контроль"... но это не совсем правильно, ведь локальные ресурсы прова станут недоступны, хоть они и не нужны, но в принципе ведь так?

[rt001]

указал в маршрутизаторе только гугловский днс и теперь можно всем везде :(

[Melkij]

Вот теперь, когда причина локализована, уже можно думать, как изящнее её решить.
У микротика днс куцый в плане настроек, что печально и почему придётся городить посторонние излишества.
Как вариант, разверните dns-сервер на контроллере домена или ещё где и настройте, чтобы запросы от списка вип - переадресовывались на dns одного провайдера, а все остальные - на dns другого провайдера. Честно говоря, так не развлекался, не скажу, какой софт умеет.
Можно сделать два dns сервера на разных ip и раздавать по dhcp кому на какой обращаться следует.

[rt001]

Melkij: большое спасибо, теперь я хоть знаю в чем причина, буду разбираться! :)
пользуясь случаем, хочу спросить: почему tracert с манглами не получает ответа от самого маршрутизатора - пишет звездочки?

[Melkij]

Хм, не обращал внимания раньше. Видимо, ответ уходит не туда. По идее, пакет приходит, это соединение маркируется, ответ маршрутизатора честно маркируется соответствующей меткой, честно идёт в таблицу маршрутизации для этой метки, а там находит одно правило - 0.0.0.0/0 пересылать на такой-то интерфейс. Туда и пересылается.

[rt001]

Melkij: может натолкнет на какую-то мысль: если сделать дисконект вип провайдера и выполнить tracert с вип машины, то ответ от маршрутизатора приходит, понятно, что дальше он не идет, но сам маршрутизатор отвечает
после дисконекта, манглы, в которых явно указан интерфейс wan2, отключаются (становятся красными) и запрос идет другим путем, т.е. дело в манглах...

[rt001]

Melkij:
указал в DNS только 8.8.8.8 и 8.8.4.4
добавил еще одно правило в мангл
add action=mark-routing chain=output dst-port=53 new-routing-mark=wan2_traffic passthrough=no protocol=udp
и все поехало как надо - для обычных переадресация, для выпи - работает
при этом трассировка и лукап с обычных машин нормальные - до вконтакта или одноклассников, а не до блокирующего узла
не знаю в чем тут фишка, но почему-то работает )))))))
не знаю как долго это будет работать, но пока все нормально - пойду выпью водки
уффф...

[rt001]

Melkij: скажите свое мнение, стоит ли отмечать как "решено"?

[Melkij]

Ну по крайней мере с причиной-то я угадал, так что решение вопроса есть =)
Не понял последних манипуляций, но раз работает - то нормально. И будет работать пока что-то не поменяется во внешнем мире. В сопроводительной документации только отметьте, что как оно работает - неизвестно.

[rt001]

Melkij: работало оно не долго))) сегодня снова отвалилось. т.ч. не работает этот мой костылище на изоленте
вся проблема в том, что у микротика днс запрашивает контроллер, а кто попросил у контроллера - неизвестно. поэтому буду на днях пробовать вариант с двумя dns серверами:
1. подниму второй DC (DC2) и на нем DNS (все равно он нужен, хотя бы для резервирования), в этом DNS пропишу пересылку на 2го провайдера
2. в основном DC пропишу пересылку на первого провайдера
3. добавлю в dhcp зону с фиксацией, она будет раздавать адреса на випов и будет проставлять у них DC2 в качестве основного DNS
4. в основной зоне dhcp (для смертных) будет проставляться DC1 в качестве основного DNS
5. добавлю в микротик другой мангл, который по запросу на 53 порт с DC2 будет метить маршрут на 2го провайдера, а при запросе на 53 порт с DC1 маршрут будет метиться на 1го провайдера
думаю, при таком раскладе все должно работать как надо
как сделаю - отпишусь

[rt001]

Melkij: все сделал, как и планировал. чуточку иначе, правда, - без манглов, просто разные сервера пересылки указал в каждом из контроллеров. сегодня весь день работало исправно )))

[Ян]

rt001: На первом посте найдите значок "...", внутри есть пункт меню "Отметить как Решение". Сообщество будет благодарно.

[rt001]

Ян Незамутдинов: я обязательно это сделаю, но только через несколько дней нормальной работы, если вы не против ))) чтобы, так сказать, наверняка

[Ян]

rt001: Я только "ЗА"!