Как на Микротике настроить маршрутизацию при работающем режиме моста?

Question

[Андрей]

Здравствуйте.

Ранее на этом замечательном сайте выяснял может ли на Микротике (RouterOS 6.39) использоваться маршрутизация при работающем режиме моста, вроде как это возможно.
Возможно ли в Микротике использование режима моста совместно с маршрутизацией?

Но вот настроить как-то сходу не получилось.
Поэтому в который раз на сайте прошу помощи у знающих людей!

Ситуация такая:

В Микротик воткнуты два сегмента ОДНОЙ сети 192.168.1.0/24, каждый сегмент в свой порт Ethernet.
Эти два порта объеденные в bridge. На бридже прописан адрес 192.168.1.1
Два сегмента одной сети видят друг друга, хосты пингуются.
В первом сегменте сети находятся пользователи, а во втором сегменте находится несколько шлюзов на разных провайдеров. Конечная цель - настроить маркировку трафика по источнику с помощью IP Firewall Mangle и routing mark и направлять разные источники на разных провайдеров.
Однако до маркировки так пока еще не дошло, Микротик все шлюзы пингует, но при попытке использовать IP-адрес любого шлюза для написания маршрута (IP Routes) Микротик говорит, что адрес недоступен, вносишь маршрут, а он не активен. Все пингуется как я уже написал.

Вот конфиг:

/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether2 ] name=External
set [ find default-name=ether1 ] name=Internal
/interface bridge port
add bridge=bridge1 interface=Internal
add bridge=bridge1 interface=External
/interface bridge settings
set use-ip-firewall=yes
/ip address
add address=192.168.1.1 interface=bridge1 network=192.168.1.1
/ip route
add distance=1 gateway=192.168.1.200 routing-mark=gate0
add distance=1 gateway=bridge1

Подскажите пожалуйста в чем моя ошибка?
Заранее благодарен за ваши ответы!

Comments

[20ivs]

вносишь маршрут, а он не активен.

что имеется в виду? он unreachable или disabled?

[Андрей]

unreachable

[20ivs]

add address=192.168.1.1 interface=bridge1 network=192.168.1.1

это не опечатка? network=192.168.1.1. у вас там точно 1, а не 0?

[Андрей]

20ivs,
Нет не опечатка, адрес 192.168.1.1 прописан на бридже.
И network=192.168.1.1 я не настраивал, поле было оставлено пустым, Микротик сам подставил network=192.168.1.1.
Сейчас попробовал вручную заменить на network=192.168.1.0 но ничего не изменилось.

[20ivs]

Андрей, потому что к адресу обычно указывается и маска. 192.168.1.1/24, тогда в поле сеть он укажет корректно. это просто ремарка.

[20ivs]

Андрей,

во втором сегменте находится несколько шлюзов на разных провайдеров

эти несколько шлюзов приходят в Микротик или они где-то за ним?

[Андрей]

20ivs, спасибо, понял, видимо если маску не указывать, то по умолчанию Микротик /32 подставляет.

[Андрей]

20ivs,
Кстати, может это как-то связано....
Наблюдаю некий глюк во втором сегменте сети, где шлюзы на провайдеров находятся (External в конфиге).
Я к этой части сети подрубаюсь с помощью Wi-Fi роутера и при пользовании интернетом в браузере нередко ошибка ssl сертификата появляется, а браузер перекидывает на один из адресов шлюзов (это LTE роутер). Пару раз обновишь страницу начинает нормально работать.

[Андрей]

20ivs,

эти несколько шлюзов приходят в Микротик или они где-то за ним?

эти несколько шлюзов через свой свич воткнуты в Ethernet порт Микротика External.

Answer 1

[20ivs]

если эти несколько шлюзов приходят в Микротик, то на том порту, в который приходит шлюз вы прописываете его адрес, маску. и эти порты не нужно пихать в бридж.
в роутах указываете dst 0.0.0.0/0 gw соответствующий шлюз. со вторым так же. первый добавленный будет шлюзом по-умолчанию.

далее в firewall - address lists создаете список. например, имя - social, address - vk.com, Микрот сам определит все IP домена.
далее в firewall - mangle создаете правило prerouting - dst. address list - указываете нужный, action - mark routing
в маршруте на нужный интерфейс указываете routing mark - созданное правило на шаге выше.
и так по аналогии.

эти несколько шлюзов через свой свич воткнуты в Ethernet порт Микротика External.

тогда убирайте свои лишние "сегменты" и проделывайте вышесказанное с портом, в который приходит коммутатор. ни в какой бридж его пихать не надо. и это при условии, что они (шлюзы) доступны и пингуются.
машруты указываем как описано выше. правила маркировки так же.

Comments

[Андрей]

Понял, сейчас сяду перенастраивать в который раз свой Микротик, по результату отпишусь.
Ключевой момент - все адреса должны быть из одной подсети.

если эти несколько шлюзов приходят в Микротик, то на том порту, в который приходит шлюз вы прописываете его адрес, маску. и эти порты не нужно пихать в бридж.

У меня все шлюзы на провайдеров воткнуты в порт External, я его убираю из бриджа, да и сам бридж тоже убираю, и настраиваю (дублирую) адреса шлюзов на порту External, сколько шлюзов столько и адресов на порту External, так?

Нужна маршрутизация по источнику.

далее в firewall - address lists создаете список. например, имя - social, address - vk.com, Микрот сам определит все IP домена.
далее в firewall - mangle создаете правило prerouting - dst. address list - указываете нужный, action - mark routing
в маршруте на нужный интерфейс указываете routing mark - созданное правило на шаге выше.
и так по аналогии.

Это все можно проделать для адреса источника?

[20ivs]

Андрей,

Ключевой момент - все адреса должны быть из одной подсети.

так и будет, если избавитесь от непонятных "сегментов". одна сеть на бридже в вашем случае и всё.

У меня все шлюзы на провайдеров воткнуты в порт External, я его убираю из бриджа, да и сам бридж тоже убираю, и настраиваю (дублирую) адреса шлюзов на порту External, сколько шлюзов столько и адресов на порту External, так?

так.

Нужна маршрутизация по источнику.

тогда выбираете не dst. address list, а src. address list. ну и адрес лист создаете соответствующий.

[20ivs]

Андрей,

да и сам бридж тоже убираю

в бридже у вас только ваша внутренняя сеть. порт, куда приходит коммутатор со шлюзами в бридж не надо.

[Андрей]

20ivs, последнее уточнение )

в бридже у вас только ваша внутренняя сеть. порт, куда приходит коммутатор со шлюзами в бридж не надо.

У меня с другой стороны (порт Internal) тоже все клиенты сначала собраны в один свич, а этот свич уже одним кабелем ethernet подрублен к микроту.
Все равно оставляем бридж?

[20ivs]

Андрей, бридж и порт к клиентам в него.

Answer 2

[rionnagel]

В мангле прероутинг с экшном марк роутинг где? Правила ната где? Желательно б ищо фаервол настроить. network=192.168.1.1 как вам уже сказали не может быть адресом сети, особенно когда это адрес интерфейса. Там network=192.168.1.0 должно быть.
Если вам надо чёрт пойми кого отправлять через чёрт пойми какой провайдер. То на каждого провайдера в мангле на прероутинг создать роутинг марк, а адреса через адрес листы например можно сделать. Также для каждого провайдера в роутах прописать отдельный маршрут с маркой.
unreachable у вас скорее всего потому, что нет проверки шлюза, check gateway называется хрень - там можете пинг или арп выбрать.
Одна подсеть и с пользователями и со шлюзами такое себе, если микротиком хотите управлять. В разные подсети зафигачьте.

Comments

[Андрей]

rionnagel,

В мангле прероутинг с экшном марк роутинг где? Правила ната где? Желательно б ищо фаервол настроить.

Как я писал не добрался еще до прероутинга, так как микрот шлюза не видит.
Вообще я нат не собирался использовать, все в одной сети. Нат вроде как сильно нагружает микрот и сеть в целом.

network=192.168.1.1 как вам уже сказали не может быть адресом сети, особенно когда это адрес интерфейса. Там network=192.168.1.0 должно быть.

поправил, пока так же все...

unreachable у вас скорее всего потому, что нет проверки шлюза, check gateway называется хрень - там можете пинг или арп выбрать.

настроил, без изменений, маршрут unreachable

Одна подсеть и с пользователями и со шлюзами такое себе, если микротиком хотите управлять. В разные подсети зафигачьте.

это вынужденная мера, железки, которые в сторону провайдеров смотреть совсем ничего не умеют, в том числе и не прописать обратный маршрут на смежную локальную сеть.

Answer 3

[korsar182]

Что бы маршрут активировался, на микротике должен быть прописан адрес из той же подсети, что и шлюз. Зачем Вам в этой конфигурации бридж? Интерфейсы локальной сети и интернета обычно не объединяют.