Сейчас просматривают тему: 0 -> --, и гостей: 1

Доступ к локальным ресурсам Mikrotik через 2го провайдера ISP2

Ссылка на пост #1 Добавлено: 5 октября 2015 12:22
Автор темы  
Полное имя: Макс
Группа: Администраторы
Азъ: библиАтекарь
Возраст: 34 Водолей
Пол:
С нами: 9 лет 10 месяцев
Сообщений: 6696
Поблагодарил: 5723
Благодарностей: 21767
Предупреждений: 0

Награды:

      

Базовая настройка двух провайдеров на Mikrotik.

Т.к. Mirkotik способен работать одновременно с несколькими провайдерами, возникает необходимость получать доступ к самому Mikrotikу или внутренним ресурсам локальной сети также и с других провайдеров. По умолчанию Mikrotik доступен только с провайдера, шлюз которого используется по умолчанию. Поэтому ув. erazel попытается “на яблоках” объяснить что нужно сделать для полноценного использования второго или другого провайдера, подключенного к роутеру.

Пример будет для второго провайдера Укртелеком.
Будем считать что у вас два аплинка со статическими ip адресами, в случае с динамическими ip, необходимо будет порвань несколько бубнов и использовать скрипты для изменения gateway провайдера.

1. Даем метку для дефолтного маршрута через ISP2 и маршрута к шлюзу(что бы роутер знал через какой интерфейс обращаться к шлюзу)

Доступ к локальным ресурсам Mikrotik через 2го провайдера ISP2


Код:[Выделить]
/ip route add distance=1 dst-address=0.0.0.0/0 gateway=195.5.147.1 routing-mark=oo scope=10


195.5.147.1 – gateway Укртелекома, у вас будет другой ip

Доступ к локальным ресурсам Mikrotik через 2го провайдера ISP2


2. Весь входящий трафик через интерфейс ISP2 и не имеющий еще маркировки, мы маркируем соответствующим конекшн-марком

Доступ к локальным ресурсам Mikrotik через 2го провайдера ISP2


Код:[Выделить]
/ip firewall mangle add action=mark-connection chain=prerouting comment=oo connection-mark=no-mark in-interface=ISP2 new-connection-mark=ISP2


Доступ к локальным ресурсам Mikrotik через 2го провайдера ISP2Доступ к локальным ресурсам Mikrotik через 2го провайдера ISP2


3. Трафик вошедший в роутер через второй аплинк ISP2 и выходящий не в интерфейс локалки (тоесть трафик самого роутера идущий как ответный на запросы из интернета) мы отправляем по маркированому маршруту

Код:[Выделить]
/ip firewall mangle add action=mark-routing chain=output connection-mark=ISP2 new-routing-mark=oo out-interface=!bridge-local

Доступ к локальным ресурсам Mikrotik через 2го провайдера ISP2Доступ к локальным ресурсам Mikrotik через 2го провайдера ISP2


Для чего это? Иначе пакет будет смотреть основную таблицу маршрутизации, а там указан основным шлюзом ISP1

4. Трафик идущий от клиентов локалки (подсеть 192.168.0.0/16) и имеющий нужный конекшнмарк мы тоже отправляем через маркированый маршрут. Мы могли или сами до этого промаркировать трафик по нужному критерию или же это ответный трафик на запросы из интернета(если у нас есть проброс портов)

Код:[Выделить]
/ip firewall mangle add action=mark-routing chain=prerouting connection-mark=ISP2 new-routing-mark=oo src-address=192.168.0.0/16


или

Код:[Выделить]
/ip firewall mangle add action=mark-routing chain=prerouting connection-mark=ISP2 in-interface=bridge-local new-routing-mark=oo


Доступ к локальным ресурсам Mikrotik через 2го провайдера ISP2Доступ к локальным ресурсам Mikrotik через 2го провайдера ISP2


так же вместо src-address= можно указать интерфейс локалки in-interface= . В чем кардинальная разница? Ну во втором случае у нас могут быть за одним портом/бриджом несколько разных подсетей, с данным параметром не придется для каждой делать отдельное правило.

Этих правил хватит что бы сам роутер жил с двумя аплинками и успешно пробрасывал порты с двух внешних интерфейсов.
Если же вы хотите еще и разделять клиентов локалки по разным аплинкам динамически то надо читать статью из заголовка.
если же нам надо сугубо конкретные адреса/порты то достаточно простого правила типа такого:

Код:[Выделить]
/ip firewall mangle add action=mark-routing chain=prerouting dst-port=22 new-routing-mark=ukrtelecom protocol=tcp src-address=192.168.0.62


Не обязательно использовать все поля. Можно обойтись только src.адресом если нам надо весь трафик конкретной машины отправить через второй шлюз. Если же мы укажем еще и порт то весь трафик кроме этого порта пойдет через дефолтный маршрут, а трафик к этому порту пойдет через маркрированый маршрут. Полезно если мы не хотим забивать торентами основной канал. Достаточно указать срц.порт=порту_торент_клиента.

Англоязычную полную информацию можно найти по адресу Manual:PCC

Материал подготовил erazel

Наша группа в Viber, Наша группа в Telegram, Наша группа в ФБ, Наша группа в ВК, Мы на Youtube
«Все постоянно твердят об авторских правах, но никогда - об авторских обязанностях.» © Жан-Люк Годар

Мой телевизор: Samsung LE-32C550J1WXUA, Samsung UE55D6100, Samsung UE65°ES8007

Мой ресивер: Sat-Integral S-1210 HD Aron, Sat-Integral TH-7200 PVR I, iNeXT HD1, GI Vu+ Duo 2

Мои спутники: 4°W+4.8°E+9°E+13°E+36°E+75°E+85°E+90°E

Информация

Посетители, находящиеся в группе Гости, не могут оставлять сообщения в данной теме.
Наш паблик Telegram Наш паблик Viber

    Телесериалы ведущих мировых каналов — теперь в базовом пакете НТВ?ПЛЮС

    Бесплатный доступ к каналу Amedia HIT весь сентябрь!

    «Мультимания» и «Первый Вегетарианский» — новые каналы на платформе НТВ?ПЛЮС

    Канал «Мультимания» вошел в пакет «Детский Запад», «Первый Вегетарианский» – в пакет «Развлекательный Запад».

    Подключите цифровое телевидение и получите 5000 рублей на счет!

    Отличная новость для новых абонентов НТВ?ПЛЮС: подключайтесь до 30 ноября и получите 5000 бонусных рублей на счёт!

    Изменение в вещании НТВ?ПЛЮС

    20 сентября 2017 года на платформе НТВ?ПЛЮС прекращается вещание телеканала CBS Drama.

    Обновляется программное обеспечение для ТВ приставок NTV?PLUS 1 HD VA и NTV?PLUS 1 HD VA PVR

    Доступна новая версия программного обеспечения – 4.3.

    10000 на счёт – «Телекарта» продлевает акцию для новых абонентов!

    Стартует сентябрьский розыгрыш для абонентов с услугой «Приоритет»

    «Приоритет» – это комплексная услуга для абонентов «Телекарты», предоставляющая своим пользователям право на эксклюзивное обслуживания, уникальные услуги и предложения.

    Подарок от «Телекарты» для абонентов: бесплатный доступ к телеканалу «AMEDIA Hit» в течение месяца!

    Начиная с 1 сентября абоненты «Телекарты» получают прекрасную возможность смотреть лучшие сериалы и фильмы на телеканале «AMEDIA Hit».

    Все каналы SPI – теперь в «Телекарте Онлайн»!

    Изменения в программе лояльности «Телекарта Бонус»

    Информируем вас, что C 21 августа вносятся изменения в программу лояльности «Телекарта Бонус»

Телепрограмма

СТБ
01:10 - "Следствие ведут экстрасенсы".
03:00 - Ночной эфир.
-
-
Футбол 1
01:10 - Кристал Пэлас - Саутгемптон. Чемпионат Англии.
03:05 - Чемпионат Англии. Обзор тура.
04:00 - Леганес - Жирона. Чемпионат Испании.
-
ICTV
01:25 - Т/с "Молодой Волкодав", 4-6 с.
03:40 - Анекдоты по-украински.
04:20 - Студия Вашингтон.
04:25 - Факты.
Кинопремьера HD
01:55 - Х/ф "Дом напротив".
03:50 - Х/ф "Разрушение".
-
-
Вся телепрограмма

Мы в Вконтакте

Мы в Facebook

Голосование

Сколько телевизоров у Вас дома?

1
2
3
4
5
6
7

Случайное фото

Sat-integral club

ПО Sat-Integral S-1225 HD Able версии 2.20

 Sat-Integral S-1225 HD Able ПО версии 2.20. Когда хочешь зайти в   Контроль доступа ...

ПО Sat-Integral S-1218HD / S-1228HD версии 2.30

Вычисления какой базы перегревают процессор?  Сколько там байт базы каналов? Список каналов в ...

Списки каналов для ресивера Sat-Integral S-1227 HD Heavy Metal

Цитата: Чили от Вчера в 20:53:24Доброго вечера, перестали работать Дискавери и анимал помогите с ...

Списки каналов для ресивера Sat-Integral S-1227 HD Heavy Metal

Доброго вечера, перестали работать Дискавери и анимал помогите с новым софткамом, заранее спасибо

ПО Sat-Integral S-1218HD / S-1228HD версии 2.30

Цитата: zenit от 19 Сентябрь 2017, 23:43:16Почему такое тянется ещё с самых первых сатинтегралов? ...

mysqltuner и mytop на Centos 6.8

Оптимизация ...