• Home
  • blog
  • photos
  • projects
  • about
Menu
  • Home
  • blog
  • photos
  • projects
  • about
August 17, 2009

MiktoTik – Два провайдера – распределение по каналам

После добавления в нашу тестовую конфигурацию второго провайдера появилась проблема ответа определенных сервисов по нужному каналу, если обращаться к ним из вне через NAT.

На пример веб сервер, выведенный через NAT на IP адрес первого провайдера получает запрос, а вот вероятность того, что ответ пойдет по нужному каналу уже не 100%. Какой же он после этого веб сервер?

Решить эту проблему нам поможет механизм маркировки пакетов.

Таблица MANGLE предназначена для операций по классификации и маркировке пакетов и соединений, а также модификации заголовков пакетов. В частности нас интересует цепочка PREROUTING, которая позволяет маркировать пакет до маршрутизации.

Попробуем разобраться с веб сервером.

Допустим у нас настроен NAT 80 порта с внешнего IP 192.168.1.116 (ISP1, первый провайдер) на 80 порт веб сервера в локальной сети и необходимо гарантировать, что все ответы, которые буду идти от веб сервера попадали на шлюз первого провайдера.

Вот правило для таблицы NAT.

[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.1.116
protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.2 to-ports=80
comment="NAT 80 port from ISP1 to local web server"

[mkt@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat action=masquerade out-interface=!LOCAL

1   ;;; NAT 80 port from ISP1 to local web server
chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80
protocol=tcp dst-address=192.168.1.116 dst-port=80

Первым шагом создадим правило в таблице MANGLE.

[mkt@MikroTik] > ip firewall mangle add chain=prerouting  src-address=192.168.0.2
protocol=tcp src-port=80 action=mark-routing new-routing-mark=to-isp1

[mkt@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=prerouting action=add-src-to-address-list protocol=tcp
address-list=test_list address-list-timeout=0s dst-port=23

1   chain=prerouting action=mark-routing new-routing-mark=to-isp1
passthrough=yes protocol=tcp src-address=192.168.0.2 src-port=80

Пакеты с локального адреса 192.168.0.2 с 80 порта буду маркироваться как to-isp1.

Вторым шагом добавим правило в таблицу маршрутизации.

[mkt@MikroTik] > ip route add gateway=192.168.1.249 routing-mark=to-isp1

[mkt@MikroTik] > ip route print      
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          192.168.1.249 r... 1
1 A S  0.0.0.0/0                          192.168.1.249 r... 1
                                        192.168.1.249 r...
                                        192.168.222.1 r...
2 ADC  192.168.0.0/24     192.168.0.1     LOCAL              0
3 ADC  192.168.1.0/24     192.168.1.116   ISP1               0
4 ADC  192.168.222.0/24   192.168.222.100 ISP2               0

Все что приходит с маркером to-isp1 отправляется на шлюз первого провайдера.

Теперь усложним ситуацию, допустим второй провайдер предоставят на выгодных условиях большую локальную сеть по всему городу и через эту сеть объединены все 10 филиалов вашей фирмы. Все филиалы и офис пользуются тем же сайтом, но какой смысл ходить на него через первого провайдера, когда можно настроить доступ к нему практически локально.

В первую очередь добавляем правило в таблицу NAT, по которому все запросы, пришедшие на внешний IP адрес, который предоставляет 2-ой провайдер, на 80 порт будут переадресовываться на 80 порт локального веб сервера.

[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.222.100
protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.2 to-ports=80
comment="NAT 80 port from ISP2 to local web server"

[mkt@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=srcnat action=masquerade out-interface=!LOCAL

1   ;;; NAT 80 port from ISP1 to local web server
chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80
protocol=tcp dst-address=192.168.1.116 dst-port=80

2   ;;; NAT 80 port from ISP2 to local web server
chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=80
protocol=tcp dst-address=192.168.222.100 dst-port=80

Следующим шагом добавим в таблицу MANGLE еще одно правило:

[mkt@MikroTik] > ip firewall mangle add chain=prerouting src-address=192.168.0.2
protocol=tcp src-port=80 dst-address=192.168.222.0/24 action=mark-routing
new-routing-mark=to-isp2

[mkt@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=prerouting action=add-src-to-address-list protocol=tcp
address-list=test_list address-list-timeout=0s dst-port=23

1   chain=prerouting action=mark-routing new-routing-mark=to-isp2
passthrough=yes protocol=tcp src-address=192.168.0.2
dst-address=192.168.222.0/24 src-port=80

2   chain=prerouting action=mark-routing new-routing-mark=to-isp1
passthrough=yes protocol=tcp src-address=192.168.0.2 src-port=80 

Пакеты с локального адреса 192.168.0.2 с 80 порта буду маркироваться как to-isp2 если они предназначены для подсети второго провайдера.

Ну и в заключении правило в таблице маршрутизации:

[mkt@MikroTik] > ip route add gateway=192.168.222.1 routing-mark=to-isp2

[mkt@MikroTik] > ip route print      
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          192.168.1.249 r... 1
1 A S  0.0.0.0/0                          192.168.222.1 r... 1
2 A S  0.0.0.0/0                          192.168.1.249 r... 1
                                        192.168.1.249 r...
                                        192.168.222.1 r...
3 ADC  192.168.0.0/24     192.168.0.1     LOCAL              0
4 ADC  192.168.1.0/24     192.168.1.116   ISP1               0
5 ADC  192.168.222.0/24   192.168.222.100 ISP2               0

Теперь на запросы, пришедшие со стороны первого провайдера, ответ пойдет на шлюз первого провайдера, а на запросы со стороны второго провайдера и из подсети второго провайдера ответ пойдет на шлюз второго провайдера.

Продолжение следует…

Админево
/
howto,mikrotik,router os
/
August 17, 2009
/
40 Comments
Previous MiktoTik – Два провайдера – балансировка нагрузки Next C# – Захват содержимого экрана (.net 2.0)

40 Replies to “MiktoTik – Два провайдера – распределение по каналам”

  1. Анонимный says:
    August 19, 2009 at 06:40

    Отлично! Спасибо за труд! Хотелось бы поподробнее про QOS а конкретнее про приоритезацию трафика по типам-чтобы при включенном торренте открывались хтмл-страницы без тормозов.Заранее благодарен!

    Reply
  2. Анонимный says:
    September 8, 2009 at 06:41

    С фильтрами QOS будут примеры?

    Reply
    1. Sergey Lagovskiy says:
      September 8, 2009 at 06:42

      Будут, надо время найти, что бы написать.

      Reply
  3. Анонимный says:
    January 19, 2010 at 06:59

    А как можно поднять 2 РРРое на 450G с двух Адсл модемов включенных в бридж???? И возможно ли их сбалансировать?

    Reply
  4. Анонимный says:
    January 24, 2010 at 06:59

    Привет что у меня тут не правильно???? Есть проблемы с автгоризацией на некоторых сайтах.
    За микротиком стоит прокся каналы балансируються ну как-то не тек больше на WAN1 идет.
    /ip addres
    add address=192.168.2.1/24 network=192.168.2.0 broadcast=192.168.2.255 interface=LAN
    add address=192.168.1.2/24 network=192.168.1.0 broadcast=192.168.1.255 interface=WAN1
    add address=192.168.3.2/24 network=192.168.3.0 broadcast=192.168.3.255 interface=WAN2
    /ip firewall mangle
    chain=prerouting action=mark-connection new-connection-mark=WAN1 passthrough=no connection-state=new src-address=192.168.2.0/24 nth=2,1
    chain=prerouting action=mark-routing new-routing-mark=WAN1 passthrough=yes src-address=192.168.2.0/24 connection-mark=WAN1
    chain=prerouting action=mark-connection new-connection-mark=WAN2 passthrough=yes connection-state=new src-addresss=192.168.2.0/24
    chain=prerouting action=mark-routing new-routing-mark=WAN2 passthrough=yes src-address=192.168.2.0/24 connection-mark=WAN2
    /ip route
    add dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=255 target-scope=10 routing-mark=WAN1
    add dst-address=0.0.0.0/0 gateway=192.168.3.1 scope=255 target-scope=10 routing-mark=WAN2
    add dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=255 target-scope=10
    /ip firewall nat
    add chain=srcnat out-interface=WAN1 action=masquerade
    add chain=srcnat out-interface=WAN2 action=masquerade

    Заранее благодарен!!!!

    Reply
  5. Анонимный says:
    June 9, 2010 at 07:00

    Добрый день ! спасибо за толковые статьи. У меня так же вопрос. Есть три интерфейса 2 WAN (ADSL) и один LAN. Нужно сделать балансировку для внутренней сети, пробросить RDP(в локалку), telnet (для микротик) порты для входа снаружи, а также на mikrotik поднят pptp сервер Сделал балансировку – все ок пробросил RDP – ок, а вот pptp проблема. Этот порт пробрасывать не надо – его надо заставить ходить по тому интерфейсу по которому пришел запрос, а бывает так что запрос приходит через wan1 а ответ идет по wan2 точно так же и с telnet. Очень жду помощи

    Reply
    1. Sergey Lagovskiy says:
      June 9, 2010 at 07:01

      Сам микротик пытается ходить на шлюз по умолчанию, если у него там прописано два адреса, то он и будет пытаться раскидывать запросы.
      Я всегда стараюсь помечать пользовательский трафик, что бы потом иметь возможность направлять его по любому из каналов насильно. Как предложение – создайте шлюз по умолчанию с одним каналом, что бы им пользовался микротик. Далее пометьте трафик пользователей и создайте в таблице маршрутизации правило с балансировкой, но что бы в него попадали только пакеты, помеченные этим маркером.

      Reply
  6. Анонимный says:
    June 11, 2010 at 07:02

    тут вопрос такой: нужно подключаться к pptp серверу на микротике из вне через оба интерфейса WAN !!! (в этом самая большая проблема) и при этом балансировать каналы для внутренних пользователей

    Reply
    1. Sergey Lagovskiy says:
      June 11, 2010 at 07:02

      По моему никакой проблемы нет, два vpn, в результате для виртуальных интерфейса, да, получается некая таблица маршрутизации, которую будет создавать само vpn подключение, для хождения пользователей можно переопределить свои правила маршрутизации, используя в качестве шлюзов точки входа, которые создаются vpn-ами.

      Reply
  7. s.lebed says:
    September 6, 2010 at 07:04

    Сергей, добрый день.
    прошу помощи. есть микротики,через них идут клиенты,nat'ом.возникла необходимость части клиентов сделать роутинг,т.е. выдавать белые адреса.
    вроде как все делаю правильно, в итоге получаю то, что выхожу в интернет с реальным ip адресом, из внешней сети к моему ip можно подключиться по любому протоколу,снифер видит все входящие соединения,адреса источников верные,НО icmp на адрес не проходит,т.е. я вижу что icmp request доходит до меня, а вот мой комп почему то не хочет отвечать на него. причем если пинговать с микротика, то адрес пингуется, и если пинговать адрес микротика, который является шлюзом для абонента, то он тоже пингуется, т.е. проблема где то на микротике, уже второй день сравниваю icmp пакеты, не могу понять, где косяк.
    пните в какую нибудь сторону.
    с уважением.

    Reply
    1. Sergey Lagovskiy says:
      September 6, 2010 at 07:05

      В свое время, когда я настраивал маршрутизацию между офисами, причем задача была отдавать разные протоколы по разным провайдерам в зависимости от того к какому провайдеру подключен офис-получатель, мне сильно помог Packet sniffer, через фильтр можно ограничить что ты хочешь промониторить, на каком интерфейсе, куда и кто посылает и по какому интерфейсу уходит ответ.

      Reply
      1. s.lebed says:
        September 7, 2010 at 07:05

        packet sniffer не противоречит wireshark на тестовом компьютере. т.е. видно, что реквест прилетает на внешний интерфейс и улетает через внутренний, а в ответ тишина(хотя сам комп в своей сети на ping отвечает, даже тому же МТ, через который он выходит во внешний мир).
        сейчас вот сравнил показания с двух МТ, через один пытаемся дать белые адреса, через другой идёт опрос мониторингом коммутаторов из другой сети.
        в итоге, на том, через которые связаны несколько сетей(172.31.0.016 – промежуточная сеть – 172.30.0.016):
        http://s46.radikal.ru/i111/1009/c5/59f09ea6ce4b.jpg

        на том, через которые пытаемся смаршрутизировать белые адреса:
        http://s56.radikal.ru/i151/1009/c1/c75e5888a056.jpg

        видим, что в одном случае у нас 3 паета на одну сторону, а в другом 5, а ответа нет.
        почему такая разница может возникнуть?

        Reply
        1. Sergey Lagovskiy says:
          September 7, 2010 at 07:06

          а как для клиента сделан nat?

          Reply
  8. Анонимный says:
    September 23, 2010 at 07:06

    Сергей, здравствуйте, подскажите пожалуйста, в случае работы через прокси МТ, как правильно отмаркировать пакеты идущие с самого МТ, с целью балансировки прокси или списки адресов через нужный WAN ?

    Reply
    1. Sergey Lagovskiy says:
      September 24, 2010 at 07:07

      я бы сказал как удобнее Вам, сработает и тот и другой вариант

      Reply
      1. Анонимный says:
        September 25, 2010 at 07:09

        спросил как правильно, потому что цепочка output предназначенная вроде как для этого дела, не работает, верней работает, пакеты уходят c WAN2 (Tx)но не возвращаются – фаирвол выключен, интерфейс и шлюз рабочие…

        /ip firewall mangle
        chain=output action=mark-routing new-routing-mark=WAN2 passthrough=yes dst-port=80

        маркировал совместно с этим и конэкшены и пакеты, ни в какую…

        правило в маршрутизации соответственно тоже есть с указанием шлюза и марк-а

        какие могут быть варианты ?
        с уважением, Леонид

        Reply
        1. Sergey Lagovskiy says:
          October 1, 2010 at 07:11

          не всегда можно полностью представить картину в голове, что бы что то конкретное советовать, да я не всегда бываю прав, порой комментарий в две строчки оборачивается общением на 3-и дня в почте и удаленным подключением к микротику, что бы помочь.

          > /ip firewall mangle
          chain=output action=mark-routing new-routing-mark=WAN2 passthrough=yes dst-port=80

          > маркировал совместно с этим и конэкшены и пакеты, ни в какую…

          Вообще есть такая цепочка как prerouting, т.е. то, что до маршрутизации и именно тогда можно приклеить новый маркер, по которому потом будет отрабатывать таблица маршрутизации.

          Если попробуете по подробнее описать Вашу проблему, можно на почту, то я постараюсь свой взгляд на возможное решение.

          Reply
  9. Анонимный says:
    September 24, 2010 at 07:08

    Приветствую
    подскажите, а как быть с 3-мя провайдерами?
    то же самое что и с 2-мя или есть какие то тонкости?

    Reply
    1. Sergey Lagovskiy says:
      September 24, 2010 at 07:08

      Нет, ровно тоже самое.

      Reply
  10. Анонимный says:
    September 28, 2010 at 07:09

    Здравствуйте, очень хорошие статьи, но хотелось бы знать а пример с 2 провайдерами, когда 2 выступает в качестве резервного канала(если исп-1 отваливается, то переключается на исп-2, а когда появляется исп-1, исп-2 отключается) будут? если нет то может подскажите где подобное можно посмотреть?

    Reply
    1. Sergey Lagovskiy says:
      September 28, 2010 at 07:10

      нет, в данной конфигурации будет теряться половина запросов, если придумывать автоматическое резервное переключение, то имеет смысл смотреть на /tool netwatch, а там уже писать скрипты, которые будут переключаться с одного канала на другой в случае потери связи.

      Reply
  11. Анонимный says:
    October 12, 2010 at 07:12

    Сергей
    у меня проблема
    балансировка работает
    настраивал по Вашей статье
    а вот проблема в следующем
    имеем
    2 провайдера
    балансировка нагрузки сделана по вашему примеру
    на каждом провайдере слушается один и тот же порт и натом отправляется во внутреннюю сеть
    затык в том, что если к примеру зашли через одного провайдера к примеру по сшш
    то то же самое не получается сделать через второго
    те получается что ответы с внутреннего адреса уходят не туда, от куда идёт запрос
    из этой статьи не совсем понял как сделать
    чтобы всё что пришло с прова 1 к нему и возвращалось?
    и можно ли это сделать со всем трафиком, а не с конкретным как в примере http?

    Reply
    1. Sergey Lagovskiy says:
      October 13, 2010 at 07:12

      я такие вещи закрепляю за одним провайдером, т.е. если открыт пор, то он отрут на определенном белом адресе, все заходят на него, ответы насильно передаются на этого провайдера.

      делает очень просто, считаем что на первом провайдере у нас уже открыт nat и запросы приходят с сети первого провайдера.

      1 шаг, надо пометить ответы маркером для последующего роутинга.

      /ip firewall mangle add chain=prerouting src-address=192.168.1.1 protocol=tcp src-port=80 action=mark-routing new-routing-mark=route-to-isp1

      в результате этого все ответы с 80-го порта машины 192.168.1.1 будут помечаться маркером route-to-isp1

      2 шаг, передавать пакеты с маркером route-to-isp1 на определенный шлюз

      /ip route add dst-address=0.0.0.0 gateway=81.82.83.84 routing-mark=route-to-isp1

      у меня некоторые сервисы работают наружу для всех по одному каналу, а по другому эти сервисы доступны только для наших филиалов (аля подсеть внутри сети провайдера), в таком варианте я вывожу nat-ом порт на двух каналах, первый для всех и для него пакеты помечаются как описано выше, для второго канала, который обслуживает филиалы, первое правило чуть "уточняется ":

      /ip firewall mangle add chain=prerouting src-address=192.168.1.1 dst-address=195.195.195.195 protocol=tcp src-port=80 action=mark-routing new-routing-mark=route-to-isp2

      т.е. добавляется dst-address=195.195.195.195 что означает, что маркером route-to-isp2 будут помечены только те пакеты, которые предназначены конкретному филиалу (можно указать сразу подсеть), а дальше еще одно правило для таблицы маршрутизации, что бы передавать пакеты с маркером route-to-isp2 на шлюз второго провайдера.

      Reply
  12. Анонимный says:
    October 13, 2010 at 07:13

    зачем мне нужно слушать 2-х провайдеров
    бывают ситуации, когда один пров отвалился
    приходится переключаться на 2-ого
    а портов слушается много и все они работают

    так наверное и сделаю, повешаю на одного прова прослушку

    а вот ещё один не понятный мне момент
    балансировка работает, но вот почему то аська к примеру отваливается минут через 5 и снова потом всё ок. и так туда сюда пере подключается
    по канекшинам видно как пакеты уходят по разным маршрутам, может таким же способом надо их метить
    или в чём может быть затык?

    Reply
    1. Sergey Lagovskiy says:
      October 13, 2010 at 07:14

      > но вот почему то аська к примеру отваливается минут через 5

      это побочное действие от подобной балансировки, будут слетать сеансы, где авторизация основана на ip т.к. запросы приходят то с одного адреса, то с другого.

      Reply
  13. Анонимный says:
    October 18, 2010 at 07:14

    такой вопрос, имеется 2 lan и 1 wan, проблема в том что из каждой локальной сети есть доступ в другую локальную, как сделать чтоб они друг с другом не контачили вообще, но при этом выходили в инет?

    Reply
    1. Sergey Lagovskiy says:
      October 18, 2010 at 07:15

      Разделить по подсетям и ограничить глубиной маски, на пример первый локальный интерфейс имеет адрес 192.168.1.1/24 а второй 192.168.2.1/24, ну и клиентские адреса в каждой подсети должны иметь соответствующие маски и адреса.

      Reply
      1. Анонимный says:
        October 18, 2010 at 07:15

        Так и есть вот только почему-то я могу с 192.168.1.* зайти на 192.168.2.* и наоборот

        Reply
        1. Анонимный says:
          October 18, 2010 at 07:16

          все сети я разделил, просто добавил правило:
          > ip firewall filter chain=forward add arc-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=drop

          теперь в идеале надо чтоб с 192.168.1.* можно было зайти на 192.168.2.*, но с 192.168.2.* на 192.168.1.* нельзя, можете что-нибудь посоветовать?

          Reply
  14. Анонимный says:
    October 21, 2010 at 07:16

    Возможно глупый вопрос но ограничение скорости в Queue trees для группы применяется к каждому ИП в группе или для всех ИП в этой группе?

    Reply
    1. Sergey Lagovskiy says:
      October 21, 2010 at 07:17

      для каждого ip в группе.

      Reply
  15. Анонимный says:
    October 25, 2010 at 07:18

    Сергей, можете пояснить такой момент:

    если у нас два провайдера wan1 и wan2 и пакеты приходят с любых адресов, в отличие от:
    >=================================
    делает очень просто, считаем что на первом провайдере у нас уже открыт nat и запросы приходят с сети первого провайдера.

    1 шаг, надо пометить ответы маркером для последующего роутинга.

    /ip firewall mangle add chai…..
    >========================

    как тогда их маркировать, чтоб они уходили по тому же интерфейсу? по какому признаку?

    пробовал по наименованию входящего интерфейса – не работает.

    Reply
  16. Анонимный says:
    December 24, 2010 at 07:18

    у меня работа с двумя провайдерами и ответом тому провайдеру от которого пришел запрос, т.е. сервис одновременно работает с двумя провайдерами и отвечает на запросы с любых адресов, работает только в RouterOS 2.8, как сделать это в более новых версиях RouterOS непонятно 🙁

    Reply
  17. Анонимный says:
    December 27, 2010 at 07:31

    Как сделать Балансировку 2-х PPPOE от разных провайдеров с динамическими IP но приэтом нужно чтобы Аська, Агент, Скай и Контакт не разрывало сессий

    Reply
  18. Анонимный says:
    November 1, 2011 at 07:31

    Народ помогите и объясните как настроить два канала на mikrotik 750.
    Задача следующая, есть два подключения к интернету по IP шлюз и DNS. как сделать так, чтоб один компьютер ишёл в интернет через одно соединение, а другой через другое. тоесть привязать по IP адресам. Помогите я заплачу пожалуйста.
    Мой skype: igorstas0312

    Reply
  19. Анонимный says:
    December 5, 2011 at 07:32

    Сергей, помогите настроить на RB493 доступ к интернет для двух провайдеров: через ADSL-модем и серую сеть. Сам я совсем новичок, объясните, пожалуйста, популярно, что да как.

    Собственно, имеем:

    WAN: (ether1)
    ADSL-модем ZyXEL (сам поднимает PPPoE, раздает DHCP, он же выступает в качестве DNS, имеет IP 192.168.1.1). wan IP 192.168.1.34.

    Провайдер с серой IP-адресацией в сети: (ether2)
    IP: 192.168.240.13
    Шлюз: 192.168.240.100
    Primary DNS: 192.168.10.101
    Secondary DNS: 192.168.10.102

    LAN (внутренняя сеть организации): (ether3)
    IP: 192.168.0.0/24
    На сервере сети подняты DHCP, DNS.

    Удалось настроить выход из LAN в интернет через ether2 вот так:

    /ip address add interface= "ether2 " address= "192.168.240.13/24 "
    /ip route add gateway= "192.168.240.100 "
    /ip dns set servers= "192.168.10.101 "
    /ip dns set servers= "192.168.10.102 "

    /ip address add interface= "ether3 " address= "192.168.0.5/24 "

    /ip firewall nat add out-interface= "ether2 " chain= "srcnat " action= "masquerade "

    Для доступа в интернет на клиентских машинах указываем шлюз 192.168.0.5 и все довольны.

    Вопрос: как, что, куда надо прописать, чтобы настроить выход в интернет еще и через ADSL, через него пойдут только ограниченное число юзеров (остальные через ether2), но в случае отказа первого канала нужно будет пустить тех, кто не на ADSL, через это ADSL-подключение.

    Reply
  20. Анонимный says:
    August 16, 2012 at 07:32

    Доброго времени суток всем Добрым и Отзывчим людям!
    Да простят меня админы форума за этот отчаянный крик души.Помогите настроить роутер: Microtik RouterBoard 493G,
    За взаимную МАТЕРИАЛЬНУЮ помощь с моей стороны,
    для компенсации ваших титанических усилий и затраченного времени.

    Необходимо реализовать следующую конфигурацию:

    1.) Настроить 2 разных интернет соединения.
    a.) ISP1 проводной интернет – имеет выделенный ip.
    b.) ISP2 usb модем Yota LTE – имеет выделенный ip. ( Роутер имеет usb порт )
    причем пытался подключить по этой статье http://mikrotik.ru/forum/viewtopic.php?f=11&t=1371
    но ничего не получилось выдает ( no such item .. ) Если вдруг так и не получиться подключить
    совместными усилиями то как вариант Yota модем воткну в ноут а из него ISP2 (провод)

    2.) Организовать резервную балансировку интернет канала в случае падения основного ,
    для всех периферийных устройств находящихся в сети Lan, по одноименной повести
    легендарного человека: http://mikrotik.axiom-pro.ru/scripts/balancerv1.php
    а именно:
    a.) 2 Сервера RDP имеют Основной Канал ISP2 ( usb модем Yota LTE) – Резерв ISP 1 ( провод ).
    b.) 2 IP телефона имеют Основной Канал ISP1 (проводной интернет ) – Резерв ISP 2 ( usb Yota LTE)

    3.) Дать доступ к 2-ум серверам RDP (radmin) с обоих внешних IP ( isp 1 и isp 2 )
    по мотивам того же всем нам хорошего известного человека легенды 🙂
    http://mikrotik.axiom-pro.ru/scripts/balancerv1.php

    Мои Контакты
    Skype: euazimut
    ICQ: 617712138
    E-mail: EuroTrusts@Gmail.com

    Reply
  21. Анонимный says:
    March 28, 2013 at 07:33

    Спасибо большое, очень помогла ваша статья, я никак сам не мог додуматься как разделить пользователей по каналу. Теперь у меня пользователи из adr_list1 ходят через wan1, а из adr_list2 соответственно через wan2. Wan1 для меня "главнее ", через него вывешены сайт и почта. Шлюз на Wan1 прописан и без "маркера " для доступа к самому микротику. Все замечательно, но…
    Подключаясь по VPN не могу получить доступ к внутренней сети. Пробовал PPTP и OVPN. Подключаюсь, соединяюсь, но дальше роутера доступа нет. По torch видно что пакеты только в одну сторону ходят.
    Конфиг был взят с рабочего роутера. На нем pptp работало. Подозреваю, что проблема именно в маркировке пакетов и vpn-пакеты надо либо как то по особенному маркировать, либо никак не маркировать. Помогите плз, моего скудоумия не хватает… Файрвол пробовал вообще отключать…

    Reply
  22. Анонимный says:
    July 19, 2013 at 07:33

    Сергей, помогите пожалуйста с настройкой. Я в winbox полный чайник, а мне поставлена задача настроить роутер вот по этому принципу http://radikal.ru/fp/29213030245349a5998fcdfe26f8b7e9 Разбираясь в течении некоторого времени я понял, что дело на самом деле не сложное, но у меня все же возникли с этим проблемы.

    Reply
  23. DarkRevenger says:
    February 3, 2014 at 07:34

    Почему, когда я добавляю маркировку пакетов, у меня пропадает интернет. И как тогда раздавать пользователям одновременно каналы обоих провайдеров, если с маркировкой такой тупняк?

    Reply

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Notepads

  • Админево
  • Разработка
  • Фотография
  • Электроника
  • Разное
Menu
  • Админево
  • Разработка
  • Фотография
  • Электроника
  • Разное

Tags

Tags
antiquities (6) aquarium (1) csharp (1) dos (6) hardware (1) howto (16) linux (1) mikrotik (14) ms sql (2) netflow (1) norton commander (2) powershell (1) router os (14) sql (2) virtualbox (6) windows (2) wsus (2) мудрость (1)

Links

  •   i’m on facebook
  •   my photos on flickr
  •   my code on github
  •   write me email
  •   headhunt me
Menu
  •   i’m on facebook
  •   my photos on flickr
  •   my code on github
  •   write me email
  •   headhunt me
Яндекс.Метрика

Sergey Lagovskiy © 2009-2021 Οδύσσεια 0.6