Mikrotik: Как настроить доступность сервера через 2 провайдеров?

Question

[SoluS]

Существуют 2 площадки, на каждой стоит по Микротику. Каждая подключена к локальной сети одного и того же провайдера (WAN1 и WAN2). На каждой есть доступ в интернет через VPN L2TP (VPN1 и VPN2). Между собой Микротики соединены через EoIP туннель через локальную сеть провайдера. Ко 2-му микротику подключён сервер.

Задача: необходимо, чтобы сервер был доступен из интернет через оба VPN и из локальной сети провайдера через оба WAN.

Что имеем: на Mikrotik1 созданы правила
Forward, TCP, dst.port = 80, Accept
Dst.NAT, TCP, dst.port = 80, dst-nat, to 192.168.3.10, 80

Из VPN1 приходит пакет, через EoIP до Mikrotik2 долетает, но отвечает он, видимо, через VPN2.
А дальше у меня случился затык. Почитал про настройку 2-х провайдеров на одном Mikrotik-е, что пакеты надо как-то помечать с использованием mangle а потом на основе этой метки маршрутизовать, но на свою конфигурацию не смог переложить.
На каком маршрутизаторе с какого интерфейса помечать пакеты, где куда маршрутизовать?
На текущий момент VPN2 погашен. Обе площадки работают через VPN1, сервер доступен хотя бы через VPN1. Познания в Микротике как у продвинутой домохозяйки :)
Спасибо за помощь :)

Answer 1

[athacker]

Валентин выше правильно пишет -- самая простая схема -- это делать ещё и SNAT для трафика, прошедшего через 1-ый микротик к серверу. Но учтите, что при этоё схеме вы потеряете информацию о SRC IP клиента, т. к. с точки зрения сервера, запросы будут приходить от микротика.

И знания микротика здесь ни при чём, разберитесь с тем, как работает маршрутизация.

Дело в том, что на сервере, подключенном к микротику2, этот микротик является шлюзом по умолчанию. Когда вы делаете DNAT на микротике1, то получается следующее:

• Некий клиент из интернета, с белым адресом, скажем 1.2.3.4, шлёт пакет на белый адрес микротика1
  
• Микротик1 получает пакет и делает DNAT -- заменяет свой IP-адрес в поле "DST IP" на серый адрес вашего сервера (192.168.3.10 и отправляет пакет по EoIP в сторону микротика2
  
• Микротик2 получает пакет, видит, что это пакет в его внутреннюю сеть и перенаправляет пакет к серверу 192.168.3.10
  
• Сервер получает пакет от клиента с IP 1.2.3.4, обрабатывает запрос и отправляет ответ. Но этот ответ пойдёт через микротик2, т. к. именно микротик2 является шлюзом по умолчанию для сервера, а про существование микротик1 и то, что запрос от клиента 1.2.3.4 прошёл через микротик1, сервер вообще не в курсе
  

Если же вы сделаете ещё и SRC NAT клиентского пакета, т. е. поменяете адрес клиента (1.2.3.4) на адрес микротик1 (192.168.3.1), то сервер будет отвечать на этот адрес, и ответ сервера достинет микротик1, а он, в свою очередь, сделав обратную трансляцию по таблице NAT, вернёт ответ клиенту. Но, повторюсь, по этой схеме в логах сервера вы не увидите реальных IP клиентов, для запросов, пришедших через микротик1 IP клиента будет 192.168.3.1

P/S/: Напрасно вы сделали EoIP и одну плоскую клиентскую сеть за микротиками. Это только к путанице будет приводить.

Comments

[SoluS]

Спасибо за ответ, очень доступно, поразбираюсь с SrcNAT.
>Напрасно вы сделали EoIP и одну плоскую клиентскую сеть за микротиками
Это не бизнес ситуация, хобби-проект. Критику EoIP для применения в реальных сетях читал, но очень простым и удобным показалось применение этой технологии в моей ситуации.

[athacker]

Дело не в EoIP как таковом (хотя и это тоже). Плоские сети, построенные на туннелях и со всякими ProxyARP сложно управляются. Постоянно будут возникать грабли, которые придётся долго и трудно дебажить. Лучше настроить правильную сегментацию сети -- это упрощает понимание структуры (какое оборудование где находится и как подключено) и даёт бОльшие возможности контроля на стыках сегментов.

Answer 2

[Валентин]

А) чтобы сервер был доступен через два подключения к интернету с одним и тем же IP адресом, оператор должен выдать вам для сервера отдельную сетку (ну и соответственно смаршрутизировать ее).
Б) Вариантов как сделать то, что вы хотите, масса. Метка косами (mangle собственно), разные IP-адреса на сервере для разных туннелей, разные vrf на сервере в конце концов. Но мне кажется тут самый простой вариант НАТ. Когда трафик из интернета приходит к вам на микротик, вы делаете DNAT на серый IP-адрес. А сделайте ещё там же и SNAT на IP микротика. Тогда на микрот2 (и на сервер) придёт пакет с srs первого микрота, ответ сервер даст на него же. Единственный момент, на сервере тогда не оценишь трафик по входящим белым IP адресам.
В) Если берёте инет у одного и того же провайдера, то готовьтесь к тому, что главный узел предоставления интернета у этого провайдера один. Если он откажет (ну или плановые работы на нем будут проводить), интернет откажет на обоих микротиках.

Comments

[SoluS]

А)В) Подключения с разными IP. Это нисколько не резервирование и не ответственная система. скорее хобби + самообразование.
Б) Спасибо, поэкспериментирую.