Задать вопрос
SoluS
@SoluS

Mikrotik: Как настроить доступность сервера через 2 провайдеров?

Существуют 2 площадки, на каждой стоит по Микротику. Каждая подключена к локальной сети одного и того же провайдера (WAN1 и WAN2). На каждой есть доступ в интернет через VPN L2TP (VPN1 и VPN2). Между собой Микротики соединены через EoIP туннель через локальную сеть провайдера. Ко 2-му микротику подключён сервер.
5bc386a839616780676757.png
Задача: необходимо, чтобы сервер был доступен из интернет через оба VPN и из локальной сети провайдера через оба WAN.

Что имеем: на Mikrotik1 созданы правила
Forward, TCP, dst.port = 80, Accept
Dst.NAT, TCP, dst.port = 80, dst-nat, to 192.168.3.10, 80

Из VPN1 приходит пакет, через EoIP до Mikrotik2 долетает, но отвечает он, видимо, через VPN2.
А дальше у меня случился затык. Почитал про настройку 2-х провайдеров на одном Mikrotik-е, что пакеты надо как-то помечать с использованием mangle а потом на основе этой метки маршрутизовать, но на свою конфигурацию не смог переложить.
На каком маршрутизаторе с какого интерфейса помечать пакеты, где куда маршрутизовать?
На текущий момент VPN2 погашен. Обе площадки работают через VPN1, сервер доступен хотя бы через VPN1. Познания в Микротике как у продвинутой домохозяйки :)
Спасибо за помощь :)
  • Вопрос задан
  • 1202 просмотра
Подписаться 1 Средний Комментировать
Решения вопроса 1
athacker
@athacker
Валентин выше правильно пишет -- самая простая схема -- это делать ещё и SNAT для трафика, прошедшего через 1-ый микротик к серверу. Но учтите, что при этоё схеме вы потеряете информацию о SRC IP клиента, т. к. с точки зрения сервера, запросы будут приходить от микротика.

И знания микротика здесь ни при чём, разберитесь с тем, как работает маршрутизация.

Дело в том, что на сервере, подключенном к микротику2, этот микротик является шлюзом по умолчанию. Когда вы делаете DNAT на микротике1, то получается следующее:
  • Некий клиент из интернета, с белым адресом, скажем 1.2.3.4, шлёт пакет на белый адрес микротика1
  • Микротик1 получает пакет и делает DNAT -- заменяет свой IP-адрес в поле "DST IP" на серый адрес вашего сервера (192.168.3.10 и отправляет пакет по EoIP в сторону микротика2
  • Микротик2 получает пакет, видит, что это пакет в его внутреннюю сеть и перенаправляет пакет к серверу 192.168.3.10
  • Сервер получает пакет от клиента с IP 1.2.3.4, обрабатывает запрос и отправляет ответ. Но этот ответ пойдёт через микротик2, т. к. именно микротик2 является шлюзом по умолчанию для сервера, а про существование микротик1 и то, что запрос от клиента 1.2.3.4 прошёл через микротик1, сервер вообще не в курсе


Если же вы сделаете ещё и SRC NAT клиентского пакета, т. е. поменяете адрес клиента (1.2.3.4) на адрес микротик1 (192.168.3.1), то сервер будет отвечать на этот адрес, и ответ сервера достинет микротик1, а он, в свою очередь, сделав обратную трансляцию по таблице NAT, вернёт ответ клиенту. Но, повторюсь, по этой схеме в логах сервера вы не увидите реальных IP клиентов, для запросов, пришедших через микротик1 IP клиента будет 192.168.3.1

P/S/: Напрасно вы сделали EoIP и одну плоскую клиентскую сеть за микротиками. Это только к путанице будет приводить.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
vvpoloskin
@vvpoloskin Куратор тега Компьютерные сети
Инженер связи
А) чтобы сервер был доступен через два подключения к интернету с одним и тем же IP адресом, оператор должен выдать вам для сервера отдельную сетку (ну и соответственно смаршрутизировать ее).
Б) Вариантов как сделать то, что вы хотите, масса. Метка косами (mangle собственно), разные IP-адреса на сервере для разных туннелей, разные vrf на сервере в конце концов. Но мне кажется тут самый простой вариант НАТ. Когда трафик из интернета приходит к вам на микротик, вы делаете DNAT на серый IP-адрес. А сделайте ещё там же и SNAT на IP микротика. Тогда на микрот2 (и на сервер) придёт пакет с srs первого микрота, ответ сервер даст на него же. Единственный момент, на сервере тогда не оценишь трафик по входящим белым IP адресам.
В) Если берёте инет у одного и того же провайдера, то готовьтесь к тому, что главный узел предоставления интернета у этого провайдера один. Если он откажет (ну или плановые работы на нем будут проводить), интернет откажет на обоих микротиках.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы