dvě linky na jednom router

ludvik

Nevím. Já už ti nerozumím. Snad ti poradí někdo jiný.

majklik

Nu, dle toho exportu pouštíš nd bridgem BB i CC klienta pro DHCP , co ti může přidělit default routu, oboje s distnce 0. Pak se ti sandno může stát, že paket, co se zaroutují o routeru přes bridge BB, tka budou poslán pryč přes bránu na CC.

Bidge smaozřejmě bridguje pakety jen mezi porty k němu náležijící, le pokud je nějký paket doručen na router, protože cílová MC dresa míří na něj, tak pak je routován dál na základ cílové IP adresy a tk e ti dostane do jiného bridge. Pokud chceš, ab pakety, co jsou doručeny na rouer skrz bridge BB, tk pokud mjí jít pryč, tjk jen dle dafault routy mířící někm v tom bridge BB a popodbě i s tím CC, tak musíš oddělit to pomocí VRF nebo policy routingu.

22frets

Dekuji! Tohle jsem se nikde nedocetl:-( Ted uz to je jede. Ještě jednou diky!

fikus

Dobrý den,

rád bych poprosil o radu v BGP se považuji za začátečníka. Máme na jednom vysílači velkého klienta který bere nyní cca 150M a hodně vytěžuje primární spoj. Máme na daný bod i zálohu o kapacitě 200M, kterou bych pro něj rád využil. Obě cesty pak vedou na centrálu kde je nat. Pro ilustraci obrázek pro přirovnání :

<--- ia0 -->VRF.png<--- ia0 -->

Potřeboval bych tedy všechny rozsahy směrovat přes primární GW na WAN1 a pouze jeden rozsah přes WAN2. Myslím, že cestou by mohlo být asi použití VRF - https://wiki.mikrotik.com/wiki/Manual ... Forwarding , ale nevím přesně jak to uchopit. Samozřejmě pokud vypadne jeden nebo druhý WAN všechen provoz pojede pro tom funkčním.

johnyboi

Dobrý den,

rád bych poprosil o radu v BGP se považuji za začátečníka. Máme na jednom vysílači velkého klienta který bere nyní cca 150M a hodně vytěžuje primární spoj. Máme na daný bod i zálohu o kapacitě 200M, kterou bych pro něj rád využil. Obě cesty pak vedou na centrálu kde je nat. Pro ilustraci obrázek pro přirovnání :

VRF.png

Potřeboval bych tedy všechny rozsahy směrovat přes primární GW na WAN1 a pouze jeden rozsah přes WAN2. Myslím, že cestou by mohlo být asi použití VRF - https://wiki.mikrotik.com/wiki/Manual ... Forwarding , ale nevím přesně jak to uchopit. Samozřejmě pokud vypadne jeden nebo druhý WAN všechen provoz pojede pro tom funkčním.

navazes bgp skrze obe WAN linky na centralu. Nahodis tam prependy v routing filtrech tak, aby byl jeden s tech prefixu vyhodnejsi skrze WAN2. Nepotrebujes VRF.

fikus

Dobrý den,

děkuji za radu, tomu takto rozumím. Takhle mám udělanou zálohu té centrály. Ale potřeboval bych určit, aby nějaký subnet co ten router propaguje jel přes určitý link a zbytek jinudy.

johnyboi

Dobrý den,

děkuji za radu, tomu takto rozumím. Takhle mám udělanou zálohu té centrály. Ale potřeboval bych určit, aby nějaký subnet co ten router propaguje jel přes určitý link a zbytek jinudy.

Ve filtrech si nastavite jednotlive subnety. Pro ten, ktery chcete posilat skrze WAN2 nastavite vyssi prepend pres WAN1. Pochopitelne i IN i OUT smer.

fikus

Dobrý den,

něco takovéhoto prosím :

chain=pretizeni prefix=xxx.xxx.xxx.xxx/29 prefix-length=29 invert-match=no action=accept set-bgp-prepend=12 set-bgp-prepend-path=""

To ni bohužel nejde. Filtr přetížení jsem dal jako IN i OUT na daný peer, kudy nechci, aby tento prefix tekl.

johnyboi

Dobrý den,

něco takovéhoto prosím :

chain=pretizeni prefix=xxx.xxx.xxx.xxx/29 prefix-length=29 invert-match=no action=accept set-bgp-prepend=12 set-bgp-prepend-path=""

To ni bohužel nejde. Filtr přetížení jsem dal jako IN i OUT na daný peer, kudy nechci, aby tento prefix tekl.

A vidite na centrale obe routy pro ten prefix? I tu bez prependu i tu z 12 prependama?

fikus

Dobrý den,

už jsem na to přišel, měl jsem tam úklep. Download mi jede před druhý spoj, ale upload jde stále pro tom hlavním, tedy pomocí výchozí GW. Můžu prosím ještě nějak upravit to? Nevadí nějak hodně takováto asymetrie, přeci jen každá cesta je jinak dlouhá atd. atd.

fikus

Ještě podotku, že si pomocí BGP propaguji i defalutní routu, kvůli kruhování. Potřeboval bych pro daný rozsah něco jako "vyjímku" z defaultní routy.

johnyboi

Ještě podotku, že si pomocí BGP propaguji i defalutní routu, kvůli kruhování. Potřeboval bych pro daný rozsah něco jako "vyjímku" z defaultní routy.

Ten upstream bych nechal bezet tama, kama ho skutecne posila aktivni Default routa. Slo by to omanglovat aby to jelo stejne jak download, no v pripade vypadku te wan 2 linky by se posilal upstream s toho subnetu na nefunkcni nexthop

fikus

Při nejhorším nechám tak. Hrál jsem si s Local preference a weight, ale to asi na definovaný subnet nechodí.

johnyboi

Při nejhorším nechám tak. Hrál jsem si s Local preference a weight, ale to asi na definovaný subnet nechodí.

Ano, LP je vhodny nastroj na kontrolu upstreamu. Vam ale predpokladam chodi od obou peeru jen DR. Takze bgp vam dovoli ridit pouze vsechen provoz, neumozni granularitu.

stivki19

Virtual routing and forvarding mi příjde jako routování mezi více fizyckýma routrama a ne vytvoření virtuílních routerů a pak bych mohl udělat rovnou metarouter. ano cílem je wan1-lan1 wan2-lan2 a wan3-lan3

Ano, to je už je vyšší level, že různé VRF instance z různých routerů mezi sebu kooperují, což chce přimíchat BGP a MPLS k tomu. Tobě stačí prznit jen jeden router lokálně. Předpokládejme, že ether1 až ether3 jsou LAN1-LAN3, ether4-ether6 je WAN1 až WAN3, na těch WANech je IP 1.1.1.10 (brána .1) až 3.3.3.30 (brána .3).

/ip route vrf

add routing-mark=router2 interfaces=ether2,ether5

add routing-mark=router3 interfaces=ether3,ether6

/ip address

add interface=ether1 address=192.68.1.1/24

add interface=ether2 address=192.68.2.1/24

add interface=ether3 address=192.68.3.1/24

add interface=ether4 address=1.1.1.10/24

add interface=ether5 address=2.2.2.20/24

add interface=ether6 address=3.3.3.30/24

/ip route

add dst-address=0.0.0.0/0 gateway=1.1.1.1

add dst-address=0.0.0.0/0 gateway=2.2.2.2 vrf-interface=ether5 routing-mark=router2

add dst-address=0.0.0.0/0 gateway=3.3.3.3 vrf-interface=ether6 routing-mark=router3

/ip route rule

add action=lookup-only-in-table src-address=2.2.2.20 table=router2

add action=lookup-only-in-table src-address=192.168.2.1 table=router2

add action=lookup-only-in-table src-address=3.3.3.30 table=router3

add action=lookup-only-in-table src-address=192.168.3.1 table=router3

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether4

add action=masquerade chain=srcnat out-interface=ether5

add action=masquerade chain=srcnat out-interface=ether6

DHCP na ether1 až 3 si vyrobíš obvyklým způsobem, firewall také. To by tak od boku mohlo být komplet. ether1 a ether4 (plus všechny další nevyjmenované porty v route vrf tvoří main hlavní router k tomu jsou ty další dva routery router2 a router3 po těch dvou ifacech. S tímto nastavením se ani ty routery mezi sebou vnitřkem nevidí. VRF v ROSu nefunguje pro IPv6.

A keby som chcel riešiť situáciu že mám pridelený rozsah verejných IP adries a mám jednu vnútornú sieť ale chcel by som aby určitý rozsah lokálnych IP adries prechádzal cez jednu verejnú IP a druhý rozsah cez druhú IP.

Napríklad, napríklad eth 1 = ip adresy 10.0.0.1/28, eth 2 = 192.168.1.1/24,

fikus

Moc díky johnyboi za rady.

johnyboi

Virtual routing and forvarding mi příjde jako routování mezi více fizyckýma routrama a ne vytvoření virtuílních routerů a pak bych mohl udělat rovnou metarouter. ano cílem je wan1-lan1 wan2-lan2 a wan3-lan3

/ip route vrf

add routing-mark=router2 interfaces=ether2,ether5

add routing-mark=router3 interfaces=ether3,ether6

/ip address

add interface=ether1 address=192.68.1.1/24

add interface=ether2 address=192.68.2.1/24

add interface=ether3 address=192.68.3.1/24

add interface=ether4 address=1.1.1.10/24

add interface=ether5 address=2.2.2.20/24

add interface=ether6 address=3.3.3.30/24

/ip route

add dst-address=0.0.0.0/0 gateway=1.1.1.1

add dst-address=0.0.0.0/0 gateway=2.2.2.2 vrf-interface=ether5 routing-mark=router2

add dst-address=0.0.0.0/0 gateway=3.3.3.3 vrf-interface=ether6 routing-mark=router3

/ip route rule

add action=lookup-only-in-table src-address=2.2.2.20 table=router2

add action=lookup-only-in-table src-address=192.168.2.1 table=router2

add action=lookup-only-in-table src-address=3.3.3.30 table=router3

add action=lookup-only-in-table src-address=192.168.3.1 table=router3

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether4

add action=masquerade chain=srcnat out-interface=ether5

add action=masquerade chain=srcnat out-interface=ether6

Napríklad, napríklad eth 1 = ip adresy 10.0.0.1/28, eth 2 = 192.168.1.1/24,

To pujde nastavit src-natem.

stivki19

Ano, to je už je vyšší level, že různé VRF instance z různých routerů mezi sebu kooperují, což chce přimíchat BGP a MPLS k tomu. Tobě stačí prznit jen jeden router lokálně. Předpokládejme, že ether1 až ether3 jsou LAN1-LAN3, ether4-ether6 je WAN1 až WAN3, na těch WANech je IP 1.1.1.10 (brána .1) až 3.3.3.30 (brána .3).

/ip route vrf

add routing-mark=router2 interfaces=ether2,ether5

add routing-mark=router3 interfaces=ether3,ether6

/ip address

add interface=ether1 address=192.68.1.1/24

add interface=ether2 address=192.68.2.1/24

add interface=ether3 address=192.68.3.1/24

add interface=ether4 address=1.1.1.10/24

add interface=ether5 address=2.2.2.20/24

add interface=ether6 address=3.3.3.30/24

/ip route

add dst-address=0.0.0.0/0 gateway=1.1.1.1

add dst-address=0.0.0.0/0 gateway=2.2.2.2 vrf-interface=ether5 routing-mark=router2

add dst-address=0.0.0.0/0 gateway=3.3.3.3 vrf-interface=ether6 routing-mark=router3

/ip route rule

add action=lookup-only-in-table src-address=2.2.2.20 table=router2

add action=lookup-only-in-table src-address=192.168.2.1 table=router2

add action=lookup-only-in-table src-address=3.3.3.30 table=router3

add action=lookup-only-in-table src-address=192.168.3.1 table=router3

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether4

add action=masquerade chain=srcnat out-interface=ether5

add action=masquerade chain=srcnat out-interface=ether6

DHCP na ether1 až 3 si vyrobíš obvyklým způsobem, firewall také. To by tak od boku mohlo být komplet. ether1 a ether4 (plus všechny další nevyjmenované porty v route vrf tvoří main hlavní router k tomu jsou ty další dva routery router2 a router3 po těch dvou ifacech. S tímto nastavením se ani ty routery mezi sebou vnitřkem nevidí. VRF v ROSu nefunguje pro IPv6.

Napríklad, napríklad eth 1 = ip adresy 10.0.0.1/28, eth 2 = 192.168.1.1/24,

To pujde nastavit src-natem.

No dobre ale ak chcem rozsahy IP adries rozdeliť tak stači tie IP adresy mať nadefinované v address liste ???

johnyboi

A keby som chcel riešiť situáciu že mám pridelený rozsah verejných IP adries a mám jednu vnútornú sieť ale chcel by som aby určitý rozsah lokálnych IP adries prechádzal cez jednu verejnú IP a druhý rozsah cez druhú IP.

Napríklad, napríklad eth 1 = ip adresy 10.0.0.1/28, eth 2 = 192.168.1.1/24,

To pujde nastavit src-natem.

No dobre ale ak chcem rozsahy IP adries rozdeliť tak stači tie IP adresy mať nadefinované v address liste ???

/ip firewall address-list

add address=10.0.0.0/28 list=To-PublicIP-1

add address=192.168.1.0/24 list=To-PublicIP-2

/ip firewall nat

add action=src-nat chain=srcnat src-address-list=To-PublicIP-1 to-addresses=x.x.x.x

add action=src-nat chain=srcnat src-address-list=To-PublicIP-2 to-addresses=y.y.y.y

stivki19

To pujde nastavit src-natem.

No dobre ale ak chcem rozsahy IP adries rozdeliť tak stači tie IP adresy mať nadefinované v address liste ???

/ip firewall address-list

add address=10.0.0.0/28 list=To-PublicIP-1

add address=192.168.1.0/24 list=To-PublicIP-2

/ip firewall nat

add action=src-nat chain=srcnat src-address-list=To-PublicIP-1 to-addresses=x.x.x.x

add action=src-nat chain=srcnat src-address-list=To-PublicIP-2 to-addresses=y.y.y.y

vyjadrím sa lepšie

verejná IP sú napríklad na eth1 je rozhas verených 10.0.0.0/28 ...... verejne IP príklad 10.0.0.2 a 10.0.0.3, na eth2 je druhá sieť lokálna ktorej potrebujem aby 192.168.1.2 - 192.168.1.100 preskočili cez 10.0.0.2,

a 192.168.1.101 - 192.168.1.254 preskočili cez 10.0.0.3 ..... ale trafik ide cez iba WAN - eth1 ... LAN - eth2.

« Předchozí stránka Další stránka »