Mikrotik, tři WAN pro tři virtuální servery s jedním intranetem

Gucky · 2022-09-27T17:33:35+00:00

Dobrý den, mám nastaven MikroTik tak, aby měl tři různé WAN s jednou lokální sítí 172.16.15.0/24. V lokální síti je XEN se třemi VM, které fungují jako serv...

Gucky

Zkusím to nastínit přesněni.

Původní konfigurace:
ip route
add dst-address=0.0.0.0/0 gateway=92.114.86.1 routing-mark=WAN-A check-gateway=ping
add dst-address=0.0.0.0/0 gateway=78.45.36.1 routing-mark=WAN-B check-gateway=ping
add dst-address=0.0.0.0/0 gateway=89.103.223.1 routing-mark=WAN-C check-gateway=ping

Nyní je konfigurace:
ip route
add dst-address=0.0.0.0/0 gateway=92.114.40.1 check-gateway=ping

Při zadání hodnoty do "routing-mark" je routa nefunkční.

Modem je nastaven tak, že jen předává nastavení IP adres pro koncová zařízení, v mém případě MikroTiku.

Gucky

Zjednodušené schéma sítě ( v síti je vícero PC i mobilů a také další zařízení jako kamery s NVR, klimatizace, čtečky RFID a další):

mirek_k

NAT 1:1 (3x DST NAT a SRC NAT) by nepomohl?

dacesilian

Gucky Já bych to taky viděl na bridge/jedno rozhraní a pak přiřazovat src adresu podle potřeby.. Brána to akceptuje a je to.

Gucky

OK, díky za radu. Jakmile budu u toho, tak to vyzkouším a dám vědět.

martas

Zajímala by mě jedna věc, a to ta, proč do jednoho modemu vedou 3 kabely. Předpokládám, že konekt nebude víc, jak 1 Gbit, takže ke všemu stačí jeden kabel, 3 IP adresy na jednom ifacu a řešit NAT. Jestli jsem něco pochopil špatně, tak mě prosím opravte.

drakgon

martas viděl bych to stejně… taky jsem nepochopil ty 3 kabely..

jenda_master

Typoval bych to na byvale UPC.
Ty davali k nejakym tarifum 3 dynamicke verejky pres DHCP. Proto tri kabely…

Gucky

Ano je to tak, ty tři kabely jsou tam kvuli UPC. Již jsem psal, že jsem zkoušel dát více IP adres na jeden eth, ale to prostě nefunguje, musí to být DHCP.

Jinak asi potřebuji více vysvětlit ten bridge "NAT 1:1 (3x DST NAT a SRC NAT)", protože jesm se to snažil večer přenastavit a skončil jsem úplně nefunkčním nastavením a obnovoval konfiguraci ze zálohy.

Momentálně je eth01_WAN-A přes maškarádu a ostatní dva WANy přes SRC NAT plus Route Marky.

martas

Udělal bych to takto: 3x WAN, 3x DHCP client, a potom na dané rozsahy maškaráda na danou WAN IP adresu a potom v Mangle routing mark na danou routu (v routách bude 3x 0.0.0.0/0 na ipbrány a iface jako - x.x.x.x%ether1 nebo x.x.x.x%ether2 a daná routing mark) a samozřejmě tam musí v těch mangle být src. ip rozsahu. DST NAT už potom klasicky. Pokud chceš směřovat všechny porty na nějaký stroj tak potom NAT 1:1.

Gucky

Tak jsem asi udělal něco blbě, pravděpodobně ta část záznamu 94.112.40.1%eth01_WAN-A. Když to tam žádám, tak routa nefunguje vůbec. Bez toho je to ale asi stále špatně, protože mě se ve všech třech routách ukazuje jako reachable interface stále jeden jedinej interface (eth03-WAN-C) a funguje jen třetí maskarada.

Tu část za % jsem nikdy nepoužil. Co přesně ta syntaxe znamená?

martas

Gucky Že to pošle přes ten iface, který je za procentem. Bude tam jedna hlavní routa třeba na prvním wan portu bez routing marku a potom 2x ty další routy s routing markem, které budou označené tím manglem.

pixall

Pri statickom routingu nema v jednej routovacej tabulke zmysel viac ako jedna default gateway (default moze byt len jeden, ak ich tam napchate viac, plati ta s najnizsou metrikou). Principialne ak chcete viac default gatewayov, tak musi byt viac routovacich tabuliek, a nejakym pravidlom (napriklad podla zdrojovej/cielovek IP) sa musi paket najprv zaklasifikovat do konkretnej routovacej tabulky (to je inak vcelku vopruz, ani neviem ci to mrkvotik zvladne).

majklik

Zrada bude tím, jak potřebuje DHCP pro konfiguraci té WAN adresy a sleje se mu to dohromady do jednoho interface, tak to pak vystupue vše pod jednou MAC adresou, což bude filtrováno. Stejně tak víc DHCP klientů na jednom iface mu nepomůže, bude to žádat se stejnou MAC adresou a tak fungovat jen ta poslední.
Mohlo by fungovat to použití tří WAN portů, kařdý port definovat jako samostatnou VRF instanci (respektive WANA s LAN jako main VRF instance a WANB a WANC port pak vyčlenit do samostatné VRFB a VRFC) a pak každý by měl fungovat nezávisle, přestože budou mít stejný IP rozsah/bránu. Pokud to pak chci házet do jedné společné vitřní LAN z wanb/wanc, tak k tomu musím udělat patřičné statické intra VRF routy. Asi se to tu řešilo historicky už několikrát.

pixall

Btw, naco sa tam pcha ten mikrotik? Ked su tam 3 servery, 3 porty a 3 ipcky, co brani tomu, aby sa kazdy server pripojil napriamo k ISP?

majklik

Nevím, ale píše, že tam chce mít i něco dalšího - NAS a mají se ty servery vidět i po LAN. Určiě je to možnost, že virutálům dám dvě sítťovky, jednu přivedu na ten kabelový modem přímo a každý virtuál si požádá přes DHCP o svoji vlastní veřejku a na druhé síťovce je propojím mezi sebou v LAN i s tím NAS na neveřejnýh adresách. Mikrotika tam mohu cpát třeba i kvůli firewallu?

Gucky

Kdysi jsem zkoušel mít kabely z modemu přímo do VM, ale vyžadovalo to 4 síťové karty ( 1 sdílená všemi VM pro LAN a po jedné kvůli veřejné IP - jiná konfigurace mi nefungovala), ale s MikroTikem a jeho firewallem to fungovalo o parník lepe. S MikroTikem je to odolnější i stabilnější.

Mohu poprosit o vysvětlení co je VRF instance? To jsem asi ještě nikdy neřešil.

majklik

XEN neznám, ale nezdá se mi, že by to nešlo udělat s jednou síťovkou celé, pokud je podporovaná korektní bridge podobně, jak v KVM, VMware, ...
Ale pokud to chceš přes ROS, tak pod ROS6 by to mohlo být takto a ani nepotřebuješ 3x kabel (stačí 1x kabel od ether1 do modemu v bridge režimu):
/interface bridge add admin-mac=02:00:00:00:06:01 auto-mac=no name=bridge-lan protocol-mode=none add admin-mac=02:00:00:01:00:00 auto-mac=no name=bridge-wan protocol-mode=none /interface vrrp add interface=bridge-wan name=vrrp-wana priority=255 v3-protocol=ipv6 vrid=101 add interface=bridge-wan name=vrrp-wanb priority=255 v3-protocol=ipv6 vrid=102 add interface=bridge-wan name=vrrp-wanc priority=255 v3-protocol=ipv6 vrid=103 /interface bridge port add bridge=bridge-wan interface=ether1 hw=no add bridge=bridge-lan interface=ether2 add bridge=bridge-lan interface=ether3 add bridge=bridge-lan interface=ether4 add bridge=bridge-lan interface=ether5 /ip address add address=172.16.15.1/24 interface=bridge-lan network=172.16.15.0 /ip dhcp-client add disabled=no interface=bridge-wan add default-route-distance=2 disabled=no interface=vrrp-wana use-peer-dns=no use-peer-ntp=no add default-route-distance=2 disabled=no interface=vrrp-wanb use-peer-dns=no use-peer-ntp=no add default-route-distance=2 disabled=no interface=vrrp-wanc use-peer-dns=no use-peer-ntp=no /ip firewall nat add action=masquerade chain=srcnat out-interface=bridge-wan add action=masquerade chain=srcnat out-interface=vrrp-wana add action=masquerade chain=srcnat out-interface=vrrp-wanb add action=masquerade chain=srcnat out-interface=vrrp-wanc add action=dst-nat chain=dstnat in-interface=vrrp-wana to-addresses=172.16.15.11 add action=dst-nat chain=dstnat in-interface=vrrp-wanb to-addresses=172.16.15.12 add action=dst-nat chain=dstnat in-interface=vrrp-wanc to-addresses=172.16.15.13 /ip route rule add action=lookup-only-in-table dst-address=172.16.15.0/24 table=main add action=lookup-only-in-table src-address=172.16.15.11/32 table=vrfa add action=lookup-only-in-table src-address=172.16.15.12/32 table=vrfb add action=lookup-only-in-table src-address=172.16.15.13/32 table=vrfc add action=lookup-only-in-table interface=vrrp-wana table=vrfa add action=lookup-only-in-table interface=vrrp-wanb table=vrfb add action=lookup-only-in-table interface=vrrp-wanc table=vrfc /ip route vrf add interfaces=vrrp-wana routing-mark=vrfa add interfaces=vrrp-wanb routing-mark=vrfb add interfaces=vrrp-wanc routing-mark=vrfc
WAN strana je ether1 s napojeným bridge-wan a nad ním je 3x VRRP fiktivní interface. Měl by ti získat 4x veřejku na brdige-wan (obencý odchozí z LAN provoz jde přímo přes brodge-wan) a pro každé to VRRP iface, které odpovídá těm třem XEN serverům. Ty jsou pak směrovaný na LAN IPčka 172.16.15.11, 172.16.15.12, 172.16.15.13. Pro tyto IPčka podobně provoz od nich je tlačen ven přes příslušěné vrrp-wana/b/c tak, že odchozí provoz má správné MAC adresy. Konfigurace potřebuje mít zapnutý IPv6 balíček, jinak nebude fungovat správně použitá konfigurace vrrp.

Gucky

Tak jsem provedl reset konfigurace a použil script. Výsledek je, že IP dostane jen bridge-wan a v Interface List sviti červeně tři záznamy vrrp-wana, vrrp-wanb a vrrp-wanc. Zřejmě problém s IPv6. Jdu se kouknout jak se zapína balíček IPv6.

Gucky

Tak jsem povolil IPv6 balíček:

/system package enable ipv6

Výsledek se tady na testovacím MikroTiku zdá funkční. Zkusím to předělat na ostrý MikroTik a dám vědět jak jsem dopadl.

Ještě mě napadá ohledně rychlosti přenosu, tak to bude asi gigabit dohromady na všechny čtyři IP adresy, bo je to vše na jednom fyzickým portu. No nedělám si iluze, ta stará konfigurace těžko zvládala víc.

« Předchozí stránka Další stránka »