Mikrotik - dual WAN - pravidla pro skupiny adres

Ahoj, potřeboval bych radu...
Jak nastavit Mikrotik pro provoz se dvěma WAN linkami?

Jde mi o to, že tak nějak nastaveno už mám, na obou linkách je veřejná IP, přes obě linky jsem schopný se dostat na správu Mikrotiku a na obou mi funguje DSTNAT - jsem schopný se dostat třeba na Web server za mikrotikem.
Ale teď bych potřeboval poslat jednu skupinu IP adres přes jednu linku a druhou skupinu (menší) přes druhou linku. Takže jsem si udělal adres list WAN1, kde mám 192.168.10.0/24, 192.168.200.0/23 a adres list WAN2, kde z této skupiny dávám vyjímky, např. 192.168.10.100, 192.168.200.150, 192.168.201.0/24...

Nastavil jsem něco v manglu a chodilo mi to zevnitř ven dobře, ale, z zvenku přes WAN1 se nešlo dostat na vyjímkové IP. Z WAN2 to šlo. A z WAN2 se nešlo zase dostat do té druhé skupiny. A aby toho nebylo málo, z LAN 192.168.10.0/24 se nešlo dostat na 192.168.200.0/23 (což předtím normálně chodilo). Takže jsem ty manglovací pravidla zase zrušil...

Teď jsem momentálně v koncích a připadá mi, že jsem prolezl půlku netu a bez výsledku...

Nastavení:
WAN1: 213.192.x.x
WAN2: 31.30.x.x (PPPoE VDSL)
LAN1: 192.168.200.0/23 (WLAN síť)
LAN2: 192.168.10.0/24 (vnitřní síť)

routy:
0.0.0.0/0 GW 213.192.x.y reachable WAN1 distance 1
0.0.0.0/0 GW 10.26.x.x reachable PPPoE distance 1 routing mark RWAN2
(plus dynamické routy co si vytváří MK sám)

rules:
31.30.x.x, action=lookup, table TWAN2
routing mark RWAN2, action=lookup table TWAN2

mangle:
prerouting, in interface WAN2, new connection mark MWAN2
prerouting, in interface LAN1, connection mark MWAN2, new routing mark RWAN2
prerouting, in interface LAN2, connection mark MWAN2, new routing mark RWAN2

a to samé pro WAN1

NAT:
srcnat, out interface WAN1, connection mark MWAN1, src-nat to IP 213.192.x.x
srcnat, out interface WAN2, connection mark MWAN2, src-nat to IP 31.30.x.x

Co včil?
Ď

Předmět	Autor	Datum
Je logicke, ked mas omanglovany pcaket a urcis mu routing na WAN2, ze sa na tento pc nedostanes zvon… fleg 05.02.2020 17:05	fleg	05.02.2020 17:05
jde to, mangling zvnitřku musíš omezit na stavy new, naopak related a established je třeba nechat pů… touchwood 05.02.2020 17:58	touchwood	05.02.2020 17:58
Ano, přesně toho stavu potřebuju dosáhnout. Teď jsem ve stavu, že zvenku se dostanu kamkoliv přes kt… mia 05.02.2020 19:00	mia	05.02.2020 19:00
Použil bych maškarádu, pokud ty IPny nemáš na tuty. edit: chain routing neexistuje (dá se vytvořit,… touchwood 05.02.2020 19:12	touchwood	05.02.2020 19:12
Ok zabudol som, že si môžem na fw definovať packet aj podľa stavu. fleg 05.02.2020 19:06	fleg	05.02.2020 19:06
Flegu, ale mi to teď chodí z obou WAN kamkoliv, problém mám z LAN ven, tam potřebuju "ukázat dveře" mia 05.02.2020 19:02	mia	05.02.2020 19:02
Ak pri preroutingu spravíš Mark routy a mas označenú routu týmto Markom tak packet ide von cez túto… fleg 05.02.2020 19:05	fleg	05.02.2020 19:05
Zkusil jsem ty mangly co jsem tam dělal minule s tím, že jsem nechal connection state "new" a zdá se… mia 05.02.2020 19:24	mia	05.02.2020 19:24
Mne to pride, ze to mas riesene strasne komplikovane. Ja to riesim jednoduchym maglovanim, nehram sa… poslední fleg 05.02.2020 19:31	fleg	05.02.2020 19:31

Je logicke, ked mas omanglovany pcaket a urcis mu routing na WAN2, ze sa na tento pc nedostanes zvonku cez WAN1, kedze jeho packet je vzdy omarkovany, aby siel na WAN2. Nejde to, ze jednymi dverami dnu a druhymi von.
Je nejaky dovod, aby si chodil do vnutra siete na pc cez WAN1?
Na komunikaciu smerom dnu pouzi VPNku.

jde to, mangling zvnitřku musíš omezit na stavy new, naopak related a established je třeba nechat původní.

něco podobného řeší zde: https://forum.mikrotik.com/viewtopic.php?t=135991

edit: kdysi jsem kdesi takové řešení měl nasazeno, ale už si nepamatuju kde a jsem dnes lehce mentálně indisponovaný. Kouknu se do svých uložených konfigů..

Ano, přesně toho stavu potřebuju dosáhnout. Teď jsem ve stavu, že zvenku se dostanu kamkoliv přes kterýkoliv WAN. Už mi zbývá jen to pravidlo, které by zevnitř (ano, nově vytvořená spojení) posílalo na rozhraní podle IP z tabulek. Resp. přidělilo jim routing marky a routy si to převezmou podle nich. Ještě dotaz - bude lepší použít maškarádu nebo src-nat? V tom odkazu už jsem se hrabal, ale mám pouze chainy prerouting, postrouting, input, output a forward. Nenašel jsem chain routing. A nejsem moc zběhlý v příkazech, radši to dělám winboxem...

Použil bych maškarádu, pokud ty IPny nemáš na tuty.

edit: chain routing neexistuje (dá se vytvořit, ale zběžným pohledem tam nic takového nevidím). Existují dva defaultní chainy, prerouting a postrouting.
edit2: na směrování zevnitř stačí policy route a dvě podtabulky - zejména pokud to máš odlišeno IP rozsahy.

Ok zabudol som, že si môžem na fw definovať packet aj podľa stavu.

Flegu, ale mi to teď chodí z obou WAN kamkoliv, problém mám z LAN ven, tam potřebuju "ukázat dveře"

Ak pri preroutingu spravíš Mark routy a mas označenú routu týmto Markom tak packet ide von cez túto routu predsa.

Zkusil jsem ty mangly co jsem tam dělal minule s tím, že jsem nechal connection state "new" a zdá se že to chodí. Dostanu se zvenku kamkoliv kteroukoliv WAN linkou a zevnitř to jede podle tabulek jak jsem chtěl.

mangle:
prerouting, src-adr-list WAN1, connection state new, new connection mark MWAN1

na to navazuje:
prerouting, connection mark MWAN1, connection state new, src-adr-list WAN2, new connection mark no-mark

a další:
prerouting, connection mark MWAN1, connection state new, dst-adr-list LOCAL, new connection mark no-mark

a chodí mi to zevnitř kam chci

u WAN2 routy jsem zrušil hlídání routing mark, takže co má mark RWAN1, jde přes první wan a co nemá, jde přes druhou

Mne to pride, ze to mas riesene strasne komplikovane.
Ja to riesim jednoduchym maglovanim, nehram sa na stav packetu vobec, vsade mam maskaradu a vstup do vnutornej siete zvonku je mozny len cez vpn.
To, co mas ty krkolomne nastavene xy pravidlami mam ja spravene dvoma (mark routy a mangle prerouty).

Zpět do poradny Odpovědět na původní otázku Nahoru