Mikrotik - dual WAN - pravidla pro skupiny adres
Ahoj, potřeboval bych radu...
Jak nastavit Mikrotik pro provoz se dvěma WAN linkami?
Jde mi o to, že tak nějak nastaveno už mám, na obou linkách je veřejná IP, přes obě linky jsem schopný se dostat na správu Mikrotiku a na obou mi funguje DSTNAT - jsem schopný se dostat třeba na Web server za mikrotikem.
Ale teď bych potřeboval poslat jednu skupinu IP adres přes jednu linku a druhou skupinu (menší) přes druhou linku. Takže jsem si udělal adres list WAN1, kde mám 192.168.10.0/24, 192.168.200.0/23 a adres list WAN2, kde z této skupiny dávám vyjímky, např. 192.168.10.100, 192.168.200.150, 192.168.201.0/24...
Nastavil jsem něco v manglu a chodilo mi to zevnitř ven dobře, ale, z zvenku přes WAN1 se nešlo dostat na vyjímkové IP. Z WAN2 to šlo. A z WAN2 se nešlo zase dostat do té druhé skupiny. A aby toho nebylo málo, z LAN 192.168.10.0/24 se nešlo dostat na 192.168.200.0/23 (což předtím normálně chodilo). Takže jsem ty manglovací pravidla zase zrušil...
Teď jsem momentálně v koncích a připadá mi, že jsem prolezl půlku netu a bez výsledku...
Nastavení:
WAN1: 213.192.x.x
WAN2: 31.30.x.x (PPPoE VDSL)
LAN1: 192.168.200.0/23 (WLAN síť)
LAN2: 192.168.10.0/24 (vnitřní síť)
routy:
0.0.0.0/0 GW 213.192.x.y reachable WAN1 distance 1
0.0.0.0/0 GW 10.26.x.x reachable PPPoE distance 1 routing mark RWAN2
(plus dynamické routy co si vytváří MK sám)
rules:
31.30.x.x, action=lookup, table TWAN2
routing mark RWAN2, action=lookup table TWAN2
mangle:
prerouting, in interface WAN2, new connection mark MWAN2
prerouting, in interface LAN1, connection mark MWAN2, new routing mark RWAN2
prerouting, in interface LAN2, connection mark MWAN2, new routing mark RWAN2
a to samé pro WAN1
NAT:
srcnat, out interface WAN1, connection mark MWAN1, src-nat to IP 213.192.x.x
srcnat, out interface WAN2, connection mark MWAN2, src-nat to IP 31.30.x.x
Co včil?
Ď
Je logicke, ked mas omanglovany pcaket a urcis mu routing na WAN2, ze sa na tento pc nedostanes zvonku cez WAN1, kedze jeho packet je vzdy omarkovany, aby siel na WAN2. Nejde to, ze jednymi dverami dnu a druhymi von.
Je nejaky dovod, aby si chodil do vnutra siete na pc cez WAN1?
Na komunikaciu smerom dnu pouzi VPNku.
Flegu, ale mi to teď chodí z obou WAN kamkoliv, problém mám z LAN ven, tam potřebuju "ukázat dveře"
Ak pri preroutingu spravíš Mark routy a mas označenú routu týmto Markom tak packet ide von cez túto routu predsa.
Zkusil jsem ty mangly co jsem tam dělal minule s tím, že jsem nechal connection state "new" a zdá se že to chodí. Dostanu se zvenku kamkoliv kteroukoliv WAN linkou a zevnitř to jede podle tabulek jak jsem chtěl.
mangle:
prerouting, src-adr-list WAN1, connection state new, new connection mark MWAN1
na to navazuje:
prerouting, connection mark MWAN1, connection state new, src-adr-list WAN2, new connection mark no-mark
a další:
prerouting, connection mark MWAN1, connection state new, dst-adr-list LOCAL, new connection mark no-mark
a chodí mi to zevnitř kam chci
u WAN2 routy jsem zrušil hlídání routing mark, takže co má mark RWAN1, jde přes první wan a co nemá, jde přes druhou
Mne to pride, ze to mas riesene strasne komplikovane.
Ja to riesim jednoduchym maglovanim, nehram sa na stav packetu vobec, vsade mam maskaradu a vstup do vnutornej siete zvonku je mozny len cez vpn.
To, co mas ty krkolomne nastavene xy pravidlami mam ja spravene dvoma (mark routy a mangle prerouty).