Задать вопрос
Пользователь пока ничего не рассказал о себе

Достижения

Все достижения (2)

Наибольший вклад в теги

Все теги (14)

Лучшие ответы пользователя

Все ответы (13)
  • Mikrotik! Как перенаправить исходящий трафик по определнному порту на другой шлюз?

    @Grustnui
    Опишу чуть более подробнее как сделать то что написал Руслан Федосеев.
    Пусть почтовик - 192.168.88.20.
    Микротик А - 192.168.88.1.
    Микротик B - 192.168.88.10.

    Пометим все соединения с почтового сервера наружу на 25й порт.

    /ip firewall mangle
    add action=mark-routing chain=prerouting dst-port=25 dst-address=!192.168.88.0/24 new-routing-mark=\
    "SMTP Server" protocol=tcp src-address=192.168.88.20

    Можно для экономии ресурсов пометить сначала соединение, а потом для пакетов соединения уже менять таблицу маршрутизации. В таком случае роутер будет проверять не все проходящие через него пакеты, а будет смотреть сначала на метку соединения, и если соединение помечено, то для всех его пакетов поставиться метка что они должны попасть в другую таблицу маршрутизации.

    /ip firewall mangle
    add action=mark-connection chain=prerouting dst-address=!192.168.88.0/24 \
    dst-port=25 new-connection-mark=SMTP_Connect protocol=tcp src-address=\
    192.168.88.20
    add action=mark-routing chain=prerouting connection-mark=SMTP_Connect \
    new-routing-mark="SMTP Server" src-address=192.168.88.20

    Создадим еще одну таблицу маршрутизации SMTP Server и укажем для неё шлюз по умолчанию Микротик B
    /ip route
    add distance=1 gateway=192.168.88.10 routing-mark="SMTP Server"

    По идее трафик через 25й порт должен ходить через B.
    Ответ написан
    Комментировать
  • Mikrotik tagged vlan?

    @Grustnui
    Итак пусть тегированный трафик приходит на Eth1
    1) Создадим vlan 100 на Eth1
    /interface vlan add interface=ether1 l2mtu=1576 name=Eth1_Vlan_100 vlan-id=100

    2) Создаем бридж для 100го влана, на всякий пожарный отключаем на время тестов STP на бридже
    /interface brigde add name=Vlan_100 protocol-mode=none

    3) Добавляем в бридж необходимые интерфейсы

    /interface bridge port
    add bridge=Vlan_100 interface=Eth1_Vlan_100
    add bridge=Vlan_100 interface=ether4

    Обращаю внимание, что если микротику нужен ip адрес в 100м влане, то назначать его стоит на бридж Vlan_100.

    Возможные проблемы - проверьте не указан ли на интерфейсах ether1,ether4 masterport. Если да то уберите его от туда. ( /interface ethernet print см колонку masterport )
    Ответ написан
    1 комментарий
  • Как реализовать загрузку конфигурации Mikrotik в зависимости от статуса wathdog?

    @Grustnui
    Вот тут описано управление конфигурациями микротика, но мне кажется, Вам надо смотреть в строну скриптов, и netwatch. Даже на тостере и на хабре неоднократно описывалось, как мониторить каналы и переключаться между ними. (намример тут ) Чаще всего само "переключение", сводиться к изменению основного шлюза или его метрики в Вашем случае всё чуть сложнее, в том месте скрипта где меняются метрики вам нужно будет вставить свои действия.
    Чтобы не мучиться с синтаксисом команд микротика, можно запустить Winbox открыть в нём терминал и написать /export, вы увидите свою конфигурацию в текстовом виде.
    Ответ написан
    4 комментария
  • Автоподключение резервного канала интернета. Есть замена микротику?

    @Grustnui
    Про баг с DHCP - если трафик через роутер относительно небольшой, то можно попробовать собрать бридж без использования возможностей чипа коммутации и проверить как оно всё работает.
    Заместо
    /interface ethernet
    set [ find default-name=ether1 ] name=ether1-fiberisp
    set [ find default-name=ether2 ] name=ether2-radioisp
    set [ find default-name=ether3 ] name=ether3-master-local
    set [ find default-name=ether4 ] master-port=ether3-master-local name=ether4-slave-local
    set [ find default-name=ether5 ] master-port=ether3-master-local name=ether5-slave-local

    /interface bridge port
    add bridge=bridge-local interface=ether3-master-local
    add bridge=bridge-local interface=wlan1


    Можно попробовать что нить вида:
    /interface ethernet
    set [ find default-name=ether1 ] name=ether1-fiberisp
    set [ find default-name=ether2 ] name=ether2-radioisp
    set [ find default-name=ether3 ] name=ether3-master-local
    set [ find default-name=ether4 ] name=ether4-slave-local
    set [ find default-name=ether5 ] name=ether5-slave-local

    /interface bridge port
    add bridge=bridge-local interface=ether3-master-local
    add bridge=bridge-local interface=wlan1
    add bridge=bridge-local interface=ether4-slave-local
    add bridge=bridge-local interface=ether5-slave-local

    Менее производительно но более прозрачно.

    Далее идем в настройки беспроводной сети и проверяем режим работы : должно быть ap-bridge
    /interface wireless export
    # aug/06/2015 15:51:23 by RouterOS 6.29.1
    /interface wireless
    set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no \
    distance=indoors l2mtu=1600 mode=ap-bridge

    Чтобы исключить глупые случайности советую на время проверки вытащить патчи 3-4-5 из роутера а в 3й например воткнуть свой компьютер.

    Далее про переключения - как уже было сказано выше попробуйте в явной виде задать distance = 1 для первого маршрута. Также хочу отметить, что и без всяких скриптов нетвочей и прочего можно проверять check-gateway'ем не только шлюз по умолчанию, но и любые другие ip.

    Дока на английском тут

    Пример реализации из моего рабочего конфига : для проверки доступности используются DNS Яндекса (77.88.X.X)
    /ip route
    add check-gateway=ping comment="Main MTS Gateway" distance=2 gateway=77.88.8.1
    add check-gateway=ping comment="Main Megafon Gateway" distance=3 gateway=77.88.8.8
    add comment="fake gateway MTS" distance=1 dst-address=77.88.8.1/32 gateway=93.187.180.XXX scope=10
    add comment="fake gateway Megafon" distance=1 dst-address=77.88.8.8/32 gateway=79.171.12.XXX scope=10

    Если не получится: напишите как с вами связаться. Попробую помочь.
    Ответ написан
    1 комментарий
  • Как сделать паралельное "keepalive" резервиврование двох VPN:EoIP по IPsec в одном bridge на mikrotik c 2WAN?

    @Grustnui
    Igor_kov, а вы точно уверены что оно Вам таким образом надо ? Во первых, вы почти организовали кольцо. 2EoIP туннеля в 2 бриджа, это всё равно соединить 2 простых свитча, 2 мя патчкордами. Спасло Вас 2 вещи, 1) у Вас не поднялся второй интерфейс. 2) У микротика по умолчанию на бридже включен RSTP(если вы его сами не выключили). Далее по тексту, г-н poisons совершенно правильно вас отправил читать про переключение каналов без скриптов. Это просто работает. Далее прошу Вас, еще подумайте, а надо ли вам объединять офисы по L2 ? Вы понимаете, что весь broadcast траффик будет гулять по 2м офисам сразу ?. А что будет если завтра надо будет добавить еще один филиал ?. Сложнее настраивать файрволы и прочеее для ограничения доступа между офисами. В общем случае если нет приложений и оборудования, для работы которого необходимо, чтобы они находились в одном broadcast домене. Нет никакого смысла обьединять офисы по L2, пожалуйста рассмотрите вариант с L3.
    Теперь на тему как дебажить: 1) Переделать переключение каналов как указано выше. Далее выкинуть EoIP из бриджей. Чтобы исключить влияние RSTP. Отключить IPSEC. B посмотреть поднялись ли оба туннеля с включенным KeepAlive. (см статус должен быть R). Вам уже написали Выше, скорее всего, проблема в том, что роутер зверушка глупая, и отправляет свои пакеты в соответствии с таблицей маршрутизации. В итоге получается следующая история пусть гл офис 3.3.3.3. Основной провайдер в филиале 1.1.1.1 резевный - 2.2.2.2. Роутеру сказано организуй туннель между 3.3.3.3 и 2.2.2.2 роутер что делает: формирует EoIP пакет, и отправляет его.... тадам в соотвествии с таблицой маршрутизации. А у нас кто основной правайдер ? 1.1.1.1 В итоге запрос на установку соединения туннеля с 2.2.2.2-3.3.3.3 прилетел через другой канал 1.1.1.1. D В общем случае это не то, что мы хотели, но туннель поднялся бы если бы не.... вторая проблема: посылает 3.3.3.3 запрос на установку соединения на 2.2.2.2. Ок пакет пришел мы что то с ним сделали и отвечаем... внимание в соответсвии с таблицой маршрутизации где написано что ? если работает 1й провайдер отвечать с 1.1.1.1. В итоге головной офис ждет ответ от 2.2.2.2 на запрос а получает ответ от 1.1.1.1. И его отбрасывает. Итого вам нужно сделать грубо говоря две вещи 1) чтобы роутер отвечал с того интерфейса, на который получил запрос, 2) EoIP соединения из филлиала с 2.2.2.2-3.3.3.3 должны уходить таки через интерфейс 2.2.2.2 :) Решается это все с помощью mangl'о магии.
    Ответ написан
    Комментировать

Лучшие вопросы пользователя

Все вопросы (7)