• Konfigurace

  • Mikrotik, tři WAN pro tři virtuální servery s jedním intranetem

Dobrý den,

mám nastaven MikroTik tak, aby měl tři různé WAN s jednou lokální sítí 172.16.15.0/24. V lokální síti je XEN se třemi VM, které fungují jako servery (SSH, WEB, MySQL, FTP, SMTP, IMAP a spousta dalšího). Nyní mi ale poskytovatel internetu udělal zradu tím, že mi všechny tři veřejné IP adresy dal z jednoho subnetu se stejnou GW (eth1=94.112.41.86/23, eth2=4.112.41.84/23, eth3=94.112.41.79/23 s GW 94.112.40.1). Od této změny mi jede jen jedna WAN a to ta s nejnižší IP čili eth3.

Snažil jsem se na google najít řešení, ale našel jsem jen řešení které již mám a to vyžaduje WAN IP adresy z různými GW.

Prosím o radu, nebo alespoň nakopnutí správným směrem. Po několika týdnech marné snahy jsem už zoufalý a nevím na koho se obrátit.

Děkuji.

    Tri oddelene WAN rozhrania s jednou sietou je logicky nezmysel. Ked je to jedna siet, tie tri WAN rozhrania by mali byt spojene cez bridge, a IP siet by mala byt dvihnuta az nad tym bridgeom. Ale to je v zasade zbytocne, ked to aj tak ide potom do jedneho stroja s XEN. A tiez nie je jasne, ako tie verejne IPcky od providera suvisia s privatnym rozsahom 172.16.15/24. Chcelo by to obrazok a hlavne ozrejmit, co sa od toho caka.

    Co je cílem? - No jde o to aby každý server na XENu měl svou veřejnou IP se všemi porty a aby na sebe navzájem viděli (a sdílely jeden NAS) v lokální síti. Dokud byly veřejné IP adresy v různých segmentech a měli různou GW, tak to tak fungovalo.

    Zkoušel jsem nastavit na jeden WAN port tři různé IP, ale nejde na ně z inrnetu pingnout, asi to má ISP nějak ošetřeno.

      Gucky no divna konfigurace a to mas od nej 3 kabely?
      Normalne by to melo jit, pripadne zkus si dat switch a ten pak do WAN, pripadne ty kabely dej do bridge.
      Ale zase bacha, jestli mas vic kabelu, tak aby jsi mu to nezakruhoval 😃

        Připojení je následující: - Koaxiál do modemu VODAFONE, ten má 4x RJ45 a je nastaven na Bridge Mode. 3 kabely jsou z modenu propojeny do MikroTiku eht1 - eth3. Následuje kabel do GB Switche, z něj už je napojeno vše XEN server, NAS, WiFi, kamery a další účastníci (cca 10x PC).
        Tři různé veřejné IP využívám i tak, že účastníci připojení přes wifi jsou přes WAN 2 (připojují se tak jen návštěvy), PC připojené kabelem jsou přes WAN 1 a kamery (NVR) je připojeno přes WAN 3.

          Gucky Tak si to nastav vse na WAN1 a neres ptakoviny 😃

            S jednou WAN nebudou z internetu dostupný tři VM servery, ale pouze jeden VM server. To není řešení. Jak jsem již psal, potřebuji aby byli tři servery dostupné z internetu a každý měl svou veřejnou IP se všemi porty. A nechci zbytečně tři krabice (routery), když to do teď fungovalo přes jednu. Přece to musí nějak jít.

            V zásadě je jediný problém a to, že v route mám teď jeden záznam pro 0.0.0.0/0 přes 94.112.40.1 a established interface se sám automaticky nastaví na WAN eth, který má nejnižší IP adresu (všechny tři WAN mají stejnou GW). V minulosti, dokud to fungovalo, byly pro 0.0.0.0/0 záznamy tři, každý s jinou GW a s příslušným WAN eth. To ovšem byli veřejné IP adresy každá z jiného segmentu.

            Tak použij vlany

            Naumím si představit, jak by mi pomohly vlany, když vše co je za MikroTikem jde nyní přes jeden WAN, čili přes jednu IP adresu (více IP adres na jednom eth poskytovatel neumožňuje). Rozdělení v lokální síti je naprosto vyhovující, problém je s veřejnými adresami se stejnou / společnou GW na straně ISP.

            Nevím jestli to píši dostatečně srozumitelně. O té doby co mi ISP přiřazuje IP adresy z jednoho rozsahu a se stejnou (společnou) GW (podrobnosti jsem zde již psal výše) se MikroTik chová tak, že funguje pouze jedna routa do internetu a tím jen jeden WAN místo tří, které byli dosud. Dosud měl každy WAN svou IP adresu (každá v jiném rozsahu s jinou GW) a s ní i routu na vlastní GW a MikroTik tak byl schopen jako reachable určit správny eht. Nyní je generována pouze jedna společná routa a je u ní reachable ten eth, který má momentálně nejnižší IP adresu ze všech tří WANů. Když zadám routu ručně nemá to vliv na to který eht je MikroTikem určen jako reachable, čili ten přes který teče komunikace.

            Píšeš tři kabely z modemu do mikrotiku. Takže to tak není?
            Pošli blokové schéma.

            Zkusím to nastínit přesněni.

            Původní konfigurace:
            ip route
            add dst-address=0.0.0.0/0 gateway=92.114.86.1 routing-mark=WAN-A check-gateway=ping
            add dst-address=0.0.0.0/0 gateway=78.45.36.1 routing-mark=WAN-B check-gateway=ping
            add dst-address=0.0.0.0/0 gateway=89.103.223.1 routing-mark=WAN-C check-gateway=ping

            Nyní je konfigurace:
            ip route
            add dst-address=0.0.0.0/0 gateway=92.114.40.1 check-gateway=ping

            Při zadání hodnoty do "routing-mark" je routa nefunkční.

            Modem je nastaven tak, že jen předává nastavení IP adres pro koncová zařízení, v mém případě MikroTiku.

            Zjednodušené schéma sítě ( v síti je vícero PC i mobilů a také další zařízení jako kamery s NVR, klimatizace, čtečky RFID a další):
            img

            NAT 1:1 (3x DST NAT a SRC NAT) by nepomohl?

            Gucky Já bych to taky viděl na bridge/jedno rozhraní a pak přiřazovat src adresu podle potřeby.. Brána to akceptuje a je to.

              OK, díky za radu. Jakmile budu u toho, tak to vyzkouším a dám vědět.

              Zajímala by mě jedna věc, a to ta, proč do jednoho modemu vedou 3 kabely. Předpokládám, že konekt nebude víc, jak 1 Gbit, takže ke všemu stačí jeden kabel, 3 IP adresy na jednom ifacu a řešit NAT. Jestli jsem něco pochopil špatně, tak mě prosím opravte.

                martas viděl bych to stejně… taky jsem nepochopil ty 3 kabely..

                  Typoval bych to na byvale UPC.
                  Ty davali k nejakym tarifum 3 dynamicke verejky pres DHCP. Proto tri kabely…

                  Ano je to tak, ty tři kabely jsou tam kvuli UPC. Již jsem psal, že jsem zkoušel dát více IP adres na jeden eth, ale to prostě nefunguje, musí to být DHCP.

                  Jinak asi potřebuji více vysvětlit ten bridge "NAT 1:1 (3x DST NAT a SRC NAT)", protože jesm se to snažil večer přenastavit a skončil jsem úplně nefunkčním nastavením a obnovoval konfiguraci ze zálohy.

                  Momentálně je eth01_WAN-A přes maškarádu a ostatní dva WANy přes SRC NAT plus Route Marky.

                  Udělal bych to takto: 3x WAN, 3x DHCP client, a potom na dané rozsahy maškaráda na danou WAN IP adresu a potom v Mangle routing mark na danou routu (v routách bude 3x 0.0.0.0/0 na ipbrány a iface jako - x.x.x.x%ether1 nebo x.x.x.x%ether2 a daná routing mark) a samozřejmě tam musí v těch mangle být src. ip rozsahu. DST NAT už potom klasicky. Pokud chceš směřovat všechny porty na nějaký stroj tak potom NAT 1:1.

                  📡 Telekomunikace.cz