Как сделать переадресацию с Mikrotik-шлюза на другой Linux-шлюз в той же подсети?

Question

[Константин Долинин]

Я совсем-совсем новичок, но тем не менее, и передо мной возникла такая задача. Необходимо, чтобы компьютеры с некими известными MAC-адресами при обращении к Mikrotik-шлюзу (скажем, 192.168.1.1) попадали в Интернет через Linux-шлюз (192.168.1.2). Как такое реализовать?

Comments

[Константин Долинин]

Без DHCP, стоит уточнить.

[Константин Долинин]

Хорошо, уговорили. Соберём со всех MAC-адреса. Тогда я был бы благодарен за мануал по настройке статических определений связок MAC-IP в Linux или Mikrotik.

[Константин Долинин]

На стороне DHCP-сервера, да.

[Сергей]

уговорили?) мы советы давали, а не уговаривали.

Answer 1

[nimbo]

потратьте один выходной и сделайте всё "как надо".
1) как минимум стоить поднять dhcp - упростите себе админство новых узлов и хостов;
2) разобраться в проблеме с модемом и микротиком - рассказывайте в новом вопросе, что за модель тик и модема и при каких условиях проблема возникает, больше конкретики, гадать на гуще нет смысла;
3) чем больше вы мудрите с сетью, тем сложнее будет её поддерживать и администрировать. убирайте из неё лишние шлюза и прочее добро. смотрите в сторону производительности и отказоустойчивости лучше. например, место linux можно поставить router os микротиковский на машину и сделать отказоустойчивый шлюз через VRRP - здесь можно почитать

отвечаю на ваш вопрос (если лень всё менять и вообще пофиг на себя и клиента) - подключить linux-машину к интерфейсу микротика, выделить его из свитча в ещё один wan и пустить випов через него.

научитесь сразу делать нормально без половинных решений, без скруток и прочего добра, потому что всё временное остаётся навсегда и работает хреново, создавая кучу головной боли.

Answer 2

[Сергей]

Тупой вопрос можно? Нах отдельный шлюз на линуксе?

Comments

[Константин Долинин]

4G интернет для избранных. Остальные через ADSL.

[nimbo]

@kostett давно ли mikrotik НЕ умеет 4g?)))

Answer 3

[sonik_spb]

Можно такое провернуть силами DHCP. Настроить так чтобы всем макам выдавался шлюз 1.1, а нужным 1.2 уже.

Comments

[Константин Долинин]

Увы, но в сети статика. Пока не перешли на привязку по MAC, DHCP я заюзать для этого не могу. Пожалуй, стоит добавить в вопрос.

[sonik_spb]

Других вариантов что-то не приходит на ум. Может это повод перейти? =)

[Константин Долинин]

Поводы уже давно есть, только у меня всё времени на это нет (спасибо учёбе). Надо со всех мак-адреса собирать, обзванивать, обходить, а это неделя минимум. Плюсом сетка географически разнесена в радиусе пары км на SHDSL-мостах.

[nimbo]

@kostett а зачем вам ВСЕХ обзванивать, когда можно обзванить только "Избранных"?)

Answer 4

[throughtheether]

Я так понимаю, mikrotik и linux-машина находятся в одном l2-домене (т.е. включены в один коммутатор, порты в одном влане, интерфейсы 192.168.1.1 и 192.168.1.2 могут друг друга пинговать)?

Если так, то можно поднять на linux-машине dhcp-сервер и отдавать клиентам адрес маршрутизатора (dhcp option 3) в зависимости от MAC-адреса клиента. По-моему, dnsmasq это умеет.

Comments

[Константин Долинин]

Думал о таком варианте, но пока без DHCP.

[throughtheether]

Если без dhcp, попробуйте на "избранных" хостах задать статическую arp-запись 192.168.1.1 -> MAC_of_Linux_192.168.1.2_interface

Answer 5

[Сергей]

При статике сосем чупачупс =). А лучше сделать проще. 4G тыркаем в микротик. На миркотике поднимаем DHCP. Ножками всех переключаем на динамику. Трафик делим на самом микротике. И все пашет =)

Comments

[Константин Долинин]

4G в микротике вёл себя неадекватно - перезагружал его например. Посему был вынесен на отдельную машину.

[Сергей]

ищите причину

[nimbo]

@kostett дополнительное питание было для модема, как написано в мануале?

[Константин Долинин]

@nimbo упс, и правда. Но сейчас всё поменялось, я там всё переделываю к чертям, доступ в интернет будет по логину/паролю через PPTP, в зависимости от логина/пароля выдаётся нужный шлюз. Я бы воткнул этот модем в микротик, но что-то не очень хорошо себе представляю дальнейший алгоритм. Надо будет назначить на микротик ещё один айпишник, добавить модемное соединение и как-то увязать с ним запросы к этому айпишнику. Но как?

[nimbo]

@kostett вы городите огород там, где он не нужен. вы могли просто назначить ip по dhcp и всё. далее всё распределяется через маскарадинг. pptp будет не кисло нагружать железку. модем будет просто ещё одним интернетом, через манглы с маркировкой можно нужных людей в нужный интернет вывести. не спешите, подготовьтесь теоретически, потому уже на практику переходите, понятно что читать лень, но надо))

[Константин Долинин]

@nimbo после десятка попыток осилить хоть что-нибудь, мне уже лень не читать, а вчитываться. Натыкаюсь либо на крайность вида yiiframework.ru/doc/guide/ru/basics.mvc либо на bash.im/quote/416071
поэтому делаю как знаю и как придётся, стараясь просчитывать возможные слабые места при таком подходе.

[Константин Долинин]

и в том виде, что у меня, никто без логина/пароля в интернет не попадёт, плюс понятные имена (суть dns для локальной сети я так до сих пор и не понял)

Answer 6

[Александр Карабанов]

Гуглите на тему "маршрутизация и два провайдера" (на хабре есть ряд статей на эту тему, правда там про GNU/Linux и пакет iproute2, в основном, но общий смысл ясен).
Если есть возможность воткнуть модем прямо в микротик, то задача совсем упрощается, так как понадобится сконфигурировать только одно устройство.

Comments

[Константин Долинин]

Спасибо, сейчас попробую найти что-нибудь для чайников.

[Константин Долинин]

Ох, первой ссылкой вылез LARTC - www.opennet.ru/docs/RUS/LARTC/x348.html
Ведь пытался его классе в одиннадцатом осилить, так и не вытянул. Придётся вернуться.

Answer 7

[kodi]

@kostett
4g и adsl в разные подсети за роутером. и далее маршрутизацию на основном шлюзе разрулите.

Answer 8

[throughtheether]

>Тогда я был бы благодарен за мануал по настройке статических определений связок
Если вы решили попробовать настроить специфичные arp-записи, как я рекомендовал, то надо сделать следующее:
1) на одном из хостов пропинговать 192.168.1.2 (с целью обновить динамические arp-записи).
2) посмотреть соответствующий MAC-адрес (в windows arp -a 192.168.1.2)
3) на каждом из 'избранных' хостов добавить статическую arp-запись (в windows arp -s 192.168.1.1 aa-bb-cc-dd-ee-ff, где aa-bb-cc-dd-ee-ff - адрес из п.2)
4) удалить статическую запись можно arp -d 192.168.1.1
5) при перезагрузке статическая запись теряется, может потребоваться прописать команду в автозагрузку

Answer 9

[ninja5plus]

А если попробовать промаркировать соединения по MAC адресам?
Как-то так:
1). Маркировка

/ip firewall mangle add action=mark-connection chain=prerouting new-connection-mark=mac1_conn src-mac-address=00:01:29:60:36:E7
/ip firewall mangle add action=mark-routing chain=prerouting connection-mark=mac1_conn new-routing-mark=mac1_r

2. Настройка осн. шлюза для промаркированных соединений
/ip route add distance=1 gateway=192.168.1.2 routing-mark=mac1_r

где
src-mac-address - mac-адрес источника
mark-connection – маркировка всех соединений, которые соответствует правилу;
mark-routing- вид маркировки используемый для политики маршрутизации;
gateway=192.168.1.2 - шлюз на Linux