Настройка Mikrotik: 1 провайдер выдаёт 2 IP, которые нужно разделить на две сети/интерфейса

Question

[ruskella]

Здравствуйте, подскажите пожалуйста, как на роутере mikrotik 2011UiAS-2HnD настроить интернет таким образом:

по оптике (sfp1) даётся статически 2 ip, один ip надо на один интерфейс раздать (или бридж/мастер-слейв), второй ip на другой интерфейс.

Трудность заключается в том, что настроить работу первой сети получается, то есть первый выделенный ip настраиваю на нужную группу интерфейсов, прописываю правила в фаерволе и в муршрутах, всё работает, проблем нет.

Но, теперь надо подключить второй адрес, делаю так же как и первый, и... Вторая сеть выходит с первого ip, то есть не правильно и правило в маршруте горит синим. Нашёл в интернете как это сделать:
asp24.com.ua/blog/perenapravlenie-ip-adresov-na-vt...
то есть надо маркировать маршруты первой сети одним маркером, а вторую сеть другим. А в маршруте указать, что первой сети с маркером 1 идти через маршрут, в который фильтрует по маркеру 1. Вроде бы нормально и проблем быть не должно, делаю так и для первой, и для второй сети, на первый взгляд всё работает, но вот с внешки не пускает на микротик, хотя разрешено (нигде не запрещал).

Могу с внешки подключиться к серверу за микротиком (через пере направление портов), а уже оттуда на микротик по ssh (сервер на ubuntu server, без оболочки/GUI)

Так вот как решить последнюю проблему или как правильнее настроить.

UPD

Настройка сети:

провайдер выдаёт
1) x3.xx.xx.x6/24 с шлюзом x3.xx.xx.1 - это для сети 192.168.1.0/24
2) x9.xx.xxx.xx8/24 с шлюзом x9.xx.xxx.1 - это для сети 192.168.4.0/24

Конфиги:

/ip firewall nat print

Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=sfp1 

 1   chain=dstnat action=netmap to-addresses=192.168.1.230 to-ports=80 protocol=tcp dst-address=x3.xx.xx.x6 in-interface=sfp1 dst-port=81 

 2   chain=dstnat action=netmap to-addresses=192.168.1.230 to-ports=3000 protocol=tcp dst-address=x3.xx.xx.x6 in-interface=sfp1 dst-port=3000 

 3   chain=dstnat action=netmap to-addresses=192.168.1.230 to-ports=22 protocol=tcp dst-address=x3.xx.xx.x6 in-interface=sfp1 dst-port=2222 

 4   chain=dstnat action=netmap to-addresses=192.168.1.230 to-ports=2233 protocol=tcp dst-address=x3.xx.xx.x6 in-interface=sfp1 dst-port=2233 

 5   chain=srcnat action=masquerade src-address=192.168.4.0/24 out-interface=sfp1

/ip firewall mangle print

Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=prerouting action=mark-routing new-routing-mark=233 passthrough=no src-address=192.168.4.0/24 

 1   chain=prerouting action=mark-routing new-routing-mark=231 passthrough=no src-address=192.168.1.0/24

/ip route print detail

Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 0 A S  dst-address=0.0.0.0/0 gateway=x9.xx.xxx.1 gateway-status=x9.xx.xxx.1 reachable via  sfp1 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=233 

 1 A S  dst-address=0.0.0.0/0 gateway=x3.xx.xx.1 gateway-status=x3.xx.xx.1 reachable via  sfp1 check-gateway=ping distance=1 scope=30 target-scope=10 

 2 X S  dst-address=0.0.0.0/0 gateway=WAN gateway-status=WAN inactive distance=1 scope=30 target-scope=10 

 3 ADC  dst-address=x3.xx.xx.0/24 pref-src=x3.xx.xx.x6 gateway=sfp1 gateway-status=sfp1 reachable distance=0 scope=10 

 4 ADC  dst-address=x9.xx.xxx.0/24 pref-src=x9.xx.xxx.xx8 gateway=sfp1 gateway-status=sfp1 reachable distance=0 scope=10 

 5 ADC  dst-address=192.168.1.0/24 pref-src=192.168.1.1 gateway=bridge1,bridge1 gateway-status=bridge1 reachable,bridge1 reachable distance=0 scope=10 

 6 X S  dst-address=192.168.1.0/24 gateway=sfp1 gateway-status=sfp1 inactive check-gateway=ping distance=1 scope=30 target-scope=10 

 7 ADC  dst-address=192.168.4.0/24 pref-src=192.168.4.1 gateway=ether6 gateway-status=ether6 reachable distance=0 scope=10

Для 192.168.1.0/24 я убрал маркировку, так как у кого прописан шлюз 192.168.1.1, то dns-сервер (роутер не пускает) не отвечает.

Без маркировки 192.168.1.0/24 работает доступ через web-интерфейс (winbox не пробовал)

Answer 1

[Smugo]

Как раз сегодня читал статью по сабжу
habrahabr.ru/post/186284

Comments

[ruskella]

Спасибо, прочёл, буду пытаться думать...

[kodi]

@Smugo там немного другая тема, там разные порты.

Answer 2

[EvilMan]

Покажите конфиг что ли. По описанию, всё правильно делаете. Но раз не работает, значит что-то упустили из виду. Адреса из одной подсети или из разных? Если из одной, то никакого PBR не нужно, а просто по метке делать НАТ в нужный адрес (вместо masquerade используйте src-nat). Если же выданные провайдером адреса из разных подсетей (с разными шлюзами), то тогда Вам действительно нужно PBR, но там просто добавляется по отдельному маршруту с меткой на каждый шлюз.

Comments

[ruskella]

А что такое PBR? Адреса из разных подсетей, изначально разные шлюзы (мой ip1 вида 123.45.67.87, а шлюз 123.45.67.1), а вот второй ip идёт уже на глобальный шлюз провайдера, возможно можно пустить два ip на один шлюз, по трассировке показывает второй строчкой один и тот же ip.
Я маркеровал с помощью "mangle"

Конфиги позже скину, в каком виде, скриншоты пойдут?

[EvilMan]

PBR - Policy Based Routing - маршрутизация осуществляется не только по адресу назначения, но и по другим критериям (метки, адрес источника, входящий интерфейс и т.п.). Конфиг лучше в текстовом виде. Покажите, что выдал вам провайдер (адреса, маски и шлюзы).

[ruskella]

Утром покажу, только я слегка замажу адреса...

[ruskella]

И я ещё не уточнял, что когда трафик маркируется, но в маршрутах не прописаны маркеры, то с интернета доступ есть к микротику (web, winbox)

[ruskella]

@EvilMan добавил конфиги микротика

Answer 3

[kodi]

@ruskella
Входящие соединения на второй айпи надо тоже маркировать. Вы же маркируете только исходящий трафик и соответственно ответ на него нормально проходит. А если инициализировать соединение по входящей, то у Вас получается, что оно не подходит под Ваше правило.

Я писал про маркировку соединения, но тоже применимо и к пакетам.

И поиском Вы похоже не пользуетесь. Вы не первый и не последний: Несколько ip-адресов через ethernet на один интерфейс Mikrotik

Comments

[ruskella]

Вот честно, ночью написал в поиске "микротик", нашлось 2-е страницы, но по заголовкам не увидел подходящего, извините.

А чем отличается маркировка пакетов от маркировки соединения, может и мне маркировать соединение?

А DNS и доступ через внешку - одна проблема или DNS, не из-за этого не работает??

[kodi]

@ruskella
ну если вы промаркировали соединение и пока оно открыто, оно будет ходить по этому правилу (экономите ресурсы, но не весь трафик подходит под это правило). а при маркировке пакетов, каждый пакет будет маркироваться заново и даже при открытом соединение(медленнее, но каждый пакет). другой вопрос, что не все протоколы открывают соединения. поэтому зависит от того, что вам нужно.

в качестве днс на компах прописан провайдер или микротик? микротик в интернет сам нормально ходит?

доступ из внешки - это то, о чем я писал в предыдущем своем сообщении.

[ruskella]

@kodi в качестве DNS прописан микротик, так же по dhcp выдаётся DNS микротика, а уже в микротике прописаны DNS.

Всё работает, пока не пропишешь маркировку в маршрутах, тогда и внешка пропадает и днс не работает, но если настроить на компьютерах 8.8.8.8, то работает днс.

Внешку сегодня буду мучить.

[kodi]

@ruskella т.е. когда Вы отключаете два правила указанных выше:
0 chain=prerouting action=mark-routing new-routing-mark=233 passthrough=no src-address=192.168.4.0/24
1 chain=prerouting action=mark-routing new-routing-mark=231 passthrough=no src-address=192.168.1.0/24
начинает работать днс?
ну вроде логика прослеживается. днс пакет из локальной сети имеет адрес отправителя из подсети указанной в правилах, поэтому пакет маркируется.
для начала подправьте правила на:
0 chain=prerouting action=mark-routing new-routing-mark=233 passthrough=no src-address=192.168.4.0/24 dst-address=!192.168.0.0/16
1 chain=prerouting action=mark-routing new-routing-mark=231 passthrough=no src-address=192.168.1.0/24 dst-address=!192.168.0.0/16

[ruskella]

а зачем так?

[ruskella]

и что даёт восклицательный знак?

[ruskella]

@kodi
А вообще, смотрите, тут проблемы только две:
1) не работает микротик как днс-сервер при маркировке маршрутов
2) не пускает на микротик с внешки

Но пускает внутрь сети, то есть я пробросил порты на сервер и имею доступ к нему...

[kodi]

@ruskella
ну зачем так, я же написал "днс пакет из локальной сети имеет адрес отправителя из подсети указанной в правилах, поэтому пакет маркируется.", что бы этого не было и трафик не уходил, куда ему не надо.
восклицательный знак - как и везде - отрицание

на микротик на ssh не пустит естественно, если порт уже занят dst-nat'ом. выберите другой.

Вы попробовали те правила, что я написал?

[ruskella]

@kodi
Кажется понял, "это" правило действительно для всего, кроме поля с восклицательным знаком, так?

Попробовал так сделать, не помогло, неужели это так сложно...

[ruskella]

@kodi
Так как сделать доступ с внешки? Порты на сервер и микротик разные, то есть конфликтов нет, 80 порт web на микротик сделан (в фаервол не добавлял)

[kodi]

@ruskella
это правило действительно не для "всего" и не для "поля". это правило действительно для всех пакетов, подходящих под описанные условия. и одним из условий является, что правило НЕ предназначено для пакета, у которого адрес назначения лижет в сети 192.168.0.0/16

в первом сообщении Вы говорите о shh, а щас вы написал про web. Так куда вы стучитесь на микротик и куда на "сервер"?

[ruskella]

@kodi

сервер - файловый+веб сервер на 81 порту
а на микротике и web, и ssh на другом порту (не стандартном), и winbox работают.

Так вот когда правило для 192.168.1.0/24 в маршруте не добавляю маркировку, то всё работает, добавляю маркировку и все сервисы микротика перестают работать + DNS, вот их то и надо починить...

[kodi]

@ruskella
так вы маршрут пишете для всех пакетов, а вам надо только для помеченных.
routing mark выставите в маршруте.