@Otselot12

Здравствуйте! Ситуация такая: на микротик приходят два провайдера (WAN1 и WAN2), один основной второй резервный. Если не работает первый, работает второй.Подскажите пожалуйста или приведите пример как настроить микротик, что бы работая через основного провайдера можно было достучаться до второго. Что бы пользуясь трафиком основного канала можно пользоваться трафиком резервного, например использовать белый IP резервного при работе основного канала.

0

@insect_87

https://mum.mikrotik.com/prese... 525958.pdf
https://habr.com/ru/post/244385/
https://habr.com/ru/post/443788/
https://habr.com/ru/post/463813/

И далее гуглите на тему multiwan mikrotik

0

@.None

не понятно что вы хотите
в каком смысле достучаться? откуда и для чего?
в смысле? что хотите сделать? для чего?

0

@insect_87

.None, видимо, чтобы TC мог попадать на микротик снаружи по резервному адресу.
Проброс портов через резервный адрес.
Часть определенного трафика пускать из lan в wan с резервного интерфейса.

В общем итоге все сведется к маркировке соединений и маршрутов в mangle

0

@Otselot12

у меня два провайдера, от первого провайдера использую белый айпи для подключения к впн извне. пришлось временно добавить пк с двумя сетевыми и развернуть второй впн сервер на нем для доступа потом на пк который находиться в изолированной сети. вот мне и нужен второй белый айпи второго провайдера... может я неправильно что то объясняю сори но суть такая

0

@.None

тогда ознакомьтесь с ссылками выше

вам нужно в mangle отмаркировать новые транзитные соединения пришедшие на интерфейс резервного провайдера
а потом по этой метке сделать routing mark на таблицу маршрутизации, которая указывает на транзитного провайдера

и дальше в NAT как обычно сделать dst-nat необходимых портов и протоколов на тот ПК где будет ВПН сервер
+ убедится что пакеты не дропаются в firewall filter

если сами не разберетесь, показывайте /ip firewall export и /ip route export
укажите какой тип ВПН планируется использовать на ПК где 2 сетевых, а также его ip адрес в сети микротика

а вообще мне кажется у вас что-то не так с дизайном сети, почему хотите использовать ip резервного провайдера?

0

@insect_87

http://mum.mikrotik.com/presen... 717194.pdf
Вот еще вам ссылка, multiwan и destination nat - разобранный пример

0

@Otselot12

[rtmaster@MAIN-router] > /ip firewall export
# mar/26/2020 09:11:46 by RouterOS 6.39.2
# software id = 2A34-D0IQ
#
/ip firewall address-list
add address=192.168.1.1-192.168.1.120 disabled=yes list="Internet for all"
add address=192.168.3.1-192.168.3.30 disabled=yes list="internet for BUH"
add address=192.168.1.11-192.168.1.29 list=8-kab_ViddilTO
add address=192.168.1.30-192.168.1.34 list=2,3-kab
add address=192.168.1.35-192.168.1.39 list=5-kab
add address=192.168.1.40-192.168.1.44 list=6-kab
add address=192.168.25.64/28 list=7-kab_SERVERNAYA
add address=192.168.1.45-192.168.1.49 list=9-kab
add address=192.168.1.50-192.168.1.59 list=10-kab
add address=192.168.1.60-192.168.1.64 list=11-kab
add address=192.168.1.65-192.168.1.69 list=14-kab
add address=192.168.1.70-192.168.1.74 list=15-kab
add address=192.168.1.75-192.168.1.79 list=16-kab
add address=192.168.1.80-192.168.1.89 list=17-kab
add address=192.168.3.11-192.168.3.19 list=BUH_3-kab
add address=192.168.3.20-192.168.3.24 list=BUH_4-kab
add address=192.168.3.25-192.168.3.29 list=BUH_5-kab
add address=10.0.1.0/26 list=WLAN-MAIN
add address=10.0.2.0/26 list=WLAN-BUH
add address=10.0.3.0/26 list=WLAN-FOND
/ip firewall filter
# Ukrtelekom-pppoe not ready
add action=drop chain=output dst-address=8.8.8.8 out-interface=Ukrtelekom-pppoe
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1
add action=masquerade chain=srcnat out-interface=WAN2
add action=masquerade chain=srcnat out-interface=WAN2
add action=netmap chain=dstnat comment="WEB SRVER port 192.168.25.71" dst-port=\
80 in-interface=WAN2 protocol=tcp to-addresses=192.168.25.71 to-ports=80
add action=netmap chain=dstnat comment="WEB SRVER port 192.168.25.71" dst-port=\
80 in-interface=WAN1 protocol=tcp to-addresses=192.168.25.71 to-ports=80
add action=dst-nat chain=dstnat comment="RESERV-CHAT port 192.168.25.77" \
dst-port=1814 in-interface=WAN1 protocol=tcp to-addresses=192.168.25.77 \
to-ports=1814
add action=dst-nat chain=dstnat comment="RESERV-CHAT port 192.168.25.77" \
dst-port=1814 in-interface=WAN1 protocol=udp to-addresses=192.168.25.77 \
to-ports=1814
add action=dst-nat chain=dstnat comment="\C4\EE\F1\F2\F3\EF \EA \D7\C0\D2\D3 \E8\
\E7 \EF\EE\E4\F1\E5\F2\E8 192.168.1.0" dst-address=91.195.90.89 dst-port=\
1814 protocol=tcp src-address=192.168.1.0/25 to-addresses=192.168.25.77 \
to-ports=1814
add action=dst-nat chain=dstnat comment="ssh oto-srv GIGABIT" dst-port=1922 \
in-interface=WAN1 protocol=tcp to-addresses=192.168.25.72 to-ports=1922
add action=dst-nat chain=dstnat comment="ssh oto-srv UKRTEL" dst-port=1922 \
in-interface=WAN2 protocol=tcp to-addresses=192.168.25.72 to-ports=1922
add action=dst-nat chain=dstnat comment=tel dst-port=5060 in-interface=WAN1 \
protocol=tcp to-addresses=192.168.1.97 to-ports=5697
add action=dst-nat chain=dstnat comment="CAMERAS ukrtel" dst-port=2555 \
in-interface=WAN2 protocol=tcp to-addresses=192.168.1.4 to-ports=2555
add action=dst-nat chain=dstnat comment="CAMERAS Gigabit" dst-port=2555 \
in-interface=WAN1 protocol=tcp to-addresses=192.168.1.4 to-ports=2555
add action=dst-nat chain=dstnat comment="SSH 192.168.25.72 \EE\F2\EE \F1\E5\F0\
\E2\E5\F0 \E4\EE\F1\F2\F3\EF \EF\EE ssh \E8\E7 \E8\ED\F2\E5\F0\ED\E5\F2\E0 \
\F7\E5\F0\E5\E7 \EF\EE\F0\F2 2572" dst-port=2572 in-interface=WAN1 \
protocol=tcp to-addresses=192.168.25.72 to-ports=1922
add action=dst-nat chain=dstnat comment="SSH 192.168.25.67 \E4\EE\F1\F2\F3\EF\EE\
\_\EF\EE SSH \E8\E7 \E8\ED\F2\E5\F0\ED\E5\F2\E0 kioc srv \F7\E5\F0\E5\E7 \EF\
\EE\F0\F2 2567" dst-port=2567 in-interface=WAN1 protocol=tcp to-addresses=\
192.168.25.67 to-ports=1922
add action=netmap chain=dstnat comment=VPN-udp-192.168.25.75 dst-port=500 \
in-interface=WAN1 protocol=udp to-addresses=192.168.25.75 to-ports=500
add action=netmap chain=dstnat comment=VPN-udp-192.168.25.75 dst-port=500 \
in-interface=WAN2 protocol=udp to-addresses=192.168.25.75 to-ports=500
add action=netmap chain=dstnat comment=VPN-192.168.25.75 dst-port=1723 \
in-interface=WAN1 protocol=tcp to-addresses=192.168.25.75 to-ports=1723
add action=netmap chain=dstnat comment=VPN-192.168.25.75 dst-port=1723 \
in-interface=WAN2 protocol=tcp to-addresses=192.168.25.75 to-ports=1723
add action=netmap chain=dstnat comment=VPN-192.168.25.75 dst-port=47 \
in-interface=WAN1 protocol=tcp to-addresses=192.168.25.75 to-ports=47
add action=netmap chain=dstnat comment=VPN-192.168.25.75 dst-port=47 \
in-interface=WAN2 protocol=tcp to-addresses=192.168.25.75 to-ports=47
add action=netmap chain=dstnat comment=VPN-192.168.25.75 dst-port=1701 \
in-interface=WAN1 protocol=tcp to-addresses=192.168.25.75 to-ports=1701
add action=netmap chain=dstnat comment=VPN-192.168.25.75 dst-port=1701 \
in-interface=WAN2 protocol=tcp to-addresses=192.168.25.75 to-ports=1701
add action=netmap chain=dstnat comment=VPN-192.168.25.75 dst-port=443 \
in-interface=WAN1 protocol=tcp to-addresses=192.168.25.75 to-ports=443
add action=netmap chain=dstnat comment=VPN-192.168.25.75 dst-port=443 \
in-interface=WAN2 protocol=tcp to-addresses=192.168.25.75 to-ports=443
add action=dst-nat chain=dstnat comment="\C4\EE\F1\F2\F3\EF \EA \F1\E0\E9\F2\F3 \
\E8\E7 \EF\EE\E4\F1\E5\F2\E8 192.168.1.0" dst-address=91.195.90.89 \
dst-port=80 protocol=tcp src-address=192.168.1.0/25 to-addresses=\
192.168.25.71 to-ports=80
add action=dst-nat chain=dstnat comment="\C4\EE\F1\F2\F3\EF \EA \F1\E0\E9\F2\F3 \
\E8\E7 \EF\EE\E4\F1\E5\F2\E8 192.168.3.0" dst-address=91.195.90.89 \
dst-port=80 protocol=tcp src-address=192.168.3.0/27 to-addresses=\
192.168.25.71 to-ports=80
add action=dst-nat chain=dstnat dst-address=46.201.246.101 dst-port=80 \
protocol=tcp src-address=192.168.1.0/25 to-addresses=192.168.25.71 \
to-ports=80
add action=dst-nat chain=dstnat dst-address=46.201.246.101 dst-port=80 \
protocol=tcp src-address=192.168.3.0/27 to-addresses=192.168.25.71 \
to-ports=80
add action=netmap chain=dstnat dst-port=500 in-interface=WAN1 protocol=udp \
to-addresses=192.168.1.74 to-ports=500
add action=netmap chain=dstnat dst-port=500 in-interface=WAN2 protocol=udp \
to-addresses=192.168.1.74 to-ports=500
add action=netmap chain=dstnat dst-port=1723 in-interface=WAN1 protocol=tcp \
to-addresses=192.168.1.74 to-ports=1723
add action=netmap chain=dstnat dst-port=1723 in-interface=WAN2 protocol=tcp \
to-addresses=192.168.1.74 to-ports=1723
add action=netmap chain=dstnat dst-port=47 in-interface=WAN1 protocol=tcp \
to-addresses=192.168.1.74 to-ports=47
add action=netmap chain=dstnat dst-port=47 in-interface=WAN2 protocol=tcp \
to-addresses=192.168.1.74 to-ports=47
add action=netmap chain=dstnat dst-port=1701 in-interface=WAN1 protocol=tcp \
to-addresses=192.168.1.74 to-ports=1701
add action=netmap chain=dstnat dst-port=1701 in-interface=WAN2 protocol=tcp \
to-addresses=192.168.1.71 to-ports=1701
add action=netmap chain=dstnat dst-port=443 in-interface=WAN1 protocol=tcp \
to-addresses=192.168.1.74 to-ports=443
add action=netmap chain=dstnat dst-port=433 in-interface=WAN2 protocol=tcp \
to-addresses=192.168.1.74 to-ports=443
/ip firewall service-port
set sip disabled=yes ports=5090,5091,5092,5093,5094,5095,5096,5099

[rtmaster@MAIN-router] > /ip route export
# mar/26/2020 09:14:21 by RouterOS 6.39.2
# software id = 2A34-D0IQ
#
/ip route
add distance=1 gateway=91.195.90.65
add distance=1 gateway=46.201.240.1
add distance=1 gateway=WAN1,WAN1,WAN1,WAN2
add distance=2 gateway=Ukrtelekom-pppoe
add distance=1 dst-address=8.8.8.8/32 gateway=91.195.90.65
add comment="RFC 1918" distance=249 dst-address=10.0.0.0/8 type=blackhole
add comment="RFC 1918" distance=249 dst-address=172.16.0.0/12 type=blackhole
add comment="RFC 1918" distance=249 dst-address=192.168.0.0/16 type=blackhole
add distance=1 dst-address=192.168.3.0/27 gateway=192.168.1.6
add comment="\C4\EE\F1\F2\F3\EF \E8\E7 \E8\ED\E5\F2\E0 \E2 \F1\E5\F0\E2\E5\F0\ED\F3\FE \EF\EE\E4\F1\E5\F2\FC" distance=1 dst-address=192.168.25.64/28 gateway=WAN1
/ip route rule
add comment="Access to provider gateway only via corresponding interfaces to ensure ping check works properly" disabled=yes dst-address=91.195.90.65/32 table=rmISP1
add disabled=yes dst-address=46.201.246.1/32 table=rmISP2


Тип впн РРРТ, его адрес 192.168.1.74

0

@insect_87

Otselot12, так что все-таки именно вы хотите сделать?
Опишите задачу подробно с указанием портов и адресов

0

@.None

insect_87, нужно пробросить 1723 и gre на 192.168.1.74 через резервный канал WAN2 (Ukrtelekom-pppoe)

в NAT какой-то хаос интересный маневр, даже не знаю как это работает, вернее знаю, но это полная бессмыслица

0

@Otselot12

Хочу настроить подключение, что бы можно было подключиться извне к временному пк на котором впн сервер (его IP 192.168.1.74) с использованием второго внешнего айпи второго провайдера или если можно через первого провайдера.

0

@insect_87

1. В firewall mangle в chain=prerouting маркируете все соединения меткой con-pptp-wan2, от пакетов, пришедших на in-interface=WAN2 на TCP порт назначения 1723.
2. В firewall mangle в chain=prerouting маркируете маршрут меткой rm-pptp-WAN2 по соединению с меткой con-pptp-wan2, от пакетов, пришедших на in-interface-list=!WAN-list
3. В ip route добавляете дефолтный маршрут (до 0.0.0.0/0) через шлюз второго провайдера и routing-mark=rm-pptp-WAN2
4. В ip firewall nat должно быть правило:
с action=dst-nat, все пакеты пришедшие на in-interface=WAN2 и dst-port=1723 по protocol=tcp транслировать адрес назначения в адрес 192.168.1.74 и порт 1723
5. В ip firewall filter в цепи forward должно быть правило: разрешать (action=accept) все пакетына dst-address=192.168.1.74 и dst-port=1723 по protocol=tcp.
правило: разрешать (action=accept) все пакетына dst-address=192.168.1.74 и protocol=gre.
правило с action=accept для established, related соединений выше всех запрещающих правил в цепочке forward

Потом то же самое проделать только для gre протокола, а не tcp

0

@Otselot12

Что то не получилось( во втором пункте у меня нету !WAN-list, можно поставить только all

0

@insect_87

Так вы интерфейс-лист новый создайте с именем WAN, добавьте туда WAN1 и WAN2.
Я вам ссылок надавал, по последней ссылке даже пример есть.
GRE пробросили?

0

@Otselot12

Извиняюсь за поздний ответ. Создал, добавил. Вроде бы пробросил... Что то все равно не получилось.

0

@insect_87

GRE пробросили?

Покажите

0

@romsan

Otselot12, у меня похожая схема. Только не два прова, а две учетки РРРоЕ от одного прова. Одна учетка 100Мбит для офиса (серая динамика), вторая 10Мбит (белая статика). На РРРоЕ-100 сидит весь офис, по РРРоЕ-10 настроены RDP, подняты туннели между другими микротами (туннели ipip), настроены пробросы до видеорегов. Если интересно, дам настройки. Со всем этим хозяйством помогал мне .None, за что ему большое спасибо и респект.

0