Mikrotik, tři WAN pro tři virtuální servery s jedním intranetem

Gucky · 2022-09-27T17:33:35+00:00

Dobrý den, mám nastaven MikroTik tak, aby měl tři různé WAN s jednou lokální sítí 172.16.15.0/24. V lokální síti je XEN se třemi VM, které fungují jako serv...

Gucky

Kdysi jsem zkoušel mít kabely z modemu přímo do VM, ale vyžadovalo to 4 síťové karty ( 1 sdílená všemi VM pro LAN a po jedné kvůli veřejné IP - jiná konfigurace mi nefungovala), ale s MikroTikem a jeho firewallem to fungovalo o parník lepe. S MikroTikem je to odolnější i stabilnější.

Mohu poprosit o vysvětlení co je VRF instance? To jsem asi ještě nikdy neřešil.

martas

Gucky Že to pošle přes ten iface, který je za procentem. Bude tam jedna hlavní routa třeba na prvním wan portu bez routing marku a potom 2x ty další routy s routing markem, které budou označené tím manglem.

majklik

XEN neznám, ale nezdá se mi, že by to nešlo udělat s jednou síťovkou celé, pokud je podporovaná korektní bridge podobně, jak v KVM, VMware, ...
Ale pokud to chceš přes ROS, tak pod ROS6 by to mohlo být takto a ani nepotřebuješ 3x kabel (stačí 1x kabel od ether1 do modemu v bridge režimu):
/interface bridge add admin-mac=02:00:00:00:06:01 auto-mac=no name=bridge-lan protocol-mode=none add admin-mac=02:00:00:01:00:00 auto-mac=no name=bridge-wan protocol-mode=none /interface vrrp add interface=bridge-wan name=vrrp-wana priority=255 v3-protocol=ipv6 vrid=101 add interface=bridge-wan name=vrrp-wanb priority=255 v3-protocol=ipv6 vrid=102 add interface=bridge-wan name=vrrp-wanc priority=255 v3-protocol=ipv6 vrid=103 /interface bridge port add bridge=bridge-wan interface=ether1 hw=no add bridge=bridge-lan interface=ether2 add bridge=bridge-lan interface=ether3 add bridge=bridge-lan interface=ether4 add bridge=bridge-lan interface=ether5 /ip address add address=172.16.15.1/24 interface=bridge-lan network=172.16.15.0 /ip dhcp-client add disabled=no interface=bridge-wan add default-route-distance=2 disabled=no interface=vrrp-wana use-peer-dns=no use-peer-ntp=no add default-route-distance=2 disabled=no interface=vrrp-wanb use-peer-dns=no use-peer-ntp=no add default-route-distance=2 disabled=no interface=vrrp-wanc use-peer-dns=no use-peer-ntp=no /ip firewall nat add action=masquerade chain=srcnat out-interface=bridge-wan add action=masquerade chain=srcnat out-interface=vrrp-wana add action=masquerade chain=srcnat out-interface=vrrp-wanb add action=masquerade chain=srcnat out-interface=vrrp-wanc add action=dst-nat chain=dstnat in-interface=vrrp-wana to-addresses=172.16.15.11 add action=dst-nat chain=dstnat in-interface=vrrp-wanb to-addresses=172.16.15.12 add action=dst-nat chain=dstnat in-interface=vrrp-wanc to-addresses=172.16.15.13 /ip route rule add action=lookup-only-in-table dst-address=172.16.15.0/24 table=main add action=lookup-only-in-table src-address=172.16.15.11/32 table=vrfa add action=lookup-only-in-table src-address=172.16.15.12/32 table=vrfb add action=lookup-only-in-table src-address=172.16.15.13/32 table=vrfc add action=lookup-only-in-table interface=vrrp-wana table=vrfa add action=lookup-only-in-table interface=vrrp-wanb table=vrfb add action=lookup-only-in-table interface=vrrp-wanc table=vrfc /ip route vrf add interfaces=vrrp-wana routing-mark=vrfa add interfaces=vrrp-wanb routing-mark=vrfb add interfaces=vrrp-wanc routing-mark=vrfc
WAN strana je ether1 s napojeným bridge-wan a nad ním je 3x VRRP fiktivní interface. Měl by ti získat 4x veřejku na brdige-wan (obencý odchozí z LAN provoz jde přímo přes brodge-wan) a pro každé to VRRP iface, které odpovídá těm třem XEN serverům. Ty jsou pak směrovaný na LAN IPčka 172.16.15.11, 172.16.15.12, 172.16.15.13. Pro tyto IPčka podobně provoz od nich je tlačen ven přes příslušěné vrrp-wana/b/c tak, že odchozí provoz má správné MAC adresy. Konfigurace potřebuje mít zapnutý IPv6 balíček, jinak nebude fungovat správně použitá konfigurace vrrp.

Gucky

Tak jsem provedl reset konfigurace a použil script. Výsledek je, že IP dostane jen bridge-wan a v Interface List sviti červeně tři záznamy vrrp-wana, vrrp-wanb a vrrp-wanc. Zřejmě problém s IPv6. Jdu se kouknout jak se zapína balíček IPv6.

Gucky

Tak jsem povolil IPv6 balíček:

/system package enable ipv6

Výsledek se tady na testovacím MikroTiku zdá funkční. Zkusím to předělat na ostrý MikroTik a dám vědět jak jsem dopadl.

Ještě mě napadá ohledně rychlosti přenosu, tak to bude asi gigabit dohromady na všechny čtyři IP adresy, bo je to vše na jednom fyzickým portu. No nedělám si iluze, ta stará konfigurace těžko zvládala víc.

theitman

Spoustu příspěvků jsem přeskočil ale
mít tři kabely zemi dvěma zařízeními je blbost, proč to nutně musí přidělovat DHCP? Proč nemůžeš ty tři veřejky nastavit staticky na jednom portu?
Nejde třeba udělat bridge na tom modemu aby se všechny adresy přidělovaly rovnou na mikrotika a modem tak sloužil jen jako tupý převodník ?
Konfigurace je pak velmi jednoduchá
dst-nat VIP1 --> Server 1
Server 1 --> SRC-NAT VIP1
dst-nat VIP2 --> Server 2
Server 2 --> SRC-NAT VIP2
route 0.0.0.0/0 gateway VIP3, preffered source VIP3
0.0.0.0/0 src-nat --> VIP 3

Případně mě kontaktujte v SZ a najdeme vhodné řešení

Gucky

Nastavit tři IP na jednom portu nejde, nebo tedy jde, ale nefunguje to. Vodafone si hlídá přidělené IP adresy a bez registrace IP / MAC to prostě nejede. Možná lze přidělit tři MAC adresy jednomu eth, ale to neumím a asi by to byl dobrej svinčík.
Modem od Vodafone v režimu bridge nic neumí a nelze na něm nastavit nic jiného než povolit nebo zakázat WiFi. Toto omezení (IP na MAC) jsem zkoušel obejít asi dva týdny a pak jsem ze zoufalosti založil tohle téma. V režimu Router je pak veřejná IP jen jedna přímo na tom modemu a tam se NAT spravuje hrozně. A jiný modem u Vodafone použít nelze, pouze ten, který dodají.
Tři kabely je jediná možnost jak mít tři IP pokud nejsou udělány virtuální eth.

VRF zkouším rozchodit poprvé a zatím se mi moc nedaří. Mám tam spoustu nastavení ve fireewallu se kterými se mi výše popsaný návod byje. Ale pomalu se tím prokousávám a zatím to vypadá dobře. Jen mám obavu, že Vodafone mi přidělí pouze tři IP a ten návod vyžaduje čtyři.

theitman

Pošli mi přesný model modemu. u Vodafone nejde zařídit aby zavedli pro všechny IP stejnou MAC?

Gucky

Chtěl jsem aby mi přiřadili IP každou z jiného rozsahu, tak jak to bylo za UPC a tak jak mi to až do nedávna fungovalo. Ale u Vodafone se mi nepodařilo zařídit prakticky vůbec nic. Chtěl jsem pevnou (statisckou) IP adresu, chtěl jsem otevřít všechny potry (vypnout nějakou jejich "chytrou" kontrolu, která neustále zavíra porty - prý kvůli ohrožení mých zařízení) a i další věci. No neuspěl jsem, odpověděli, že takové služby nenabízí nebo že je to standartní nastavení, které nelze měnit. A tak musím cca jednou měsíčně předělávat DNS záznamy u registrátora domén, neustále musím volat na Vodafone, aby odblokovali nějaký port atd. Jenže na mé adrese prostě jiný rozumný internet není - bezdrátový internet 20/2MB a 50/5 DSL nepočítám. 2 potažmo 5 Mega upload je pro mě absolutně k ničemu. Pravidelně (cca dvakrát do roka) obvolávám Netbox a další poskytovatele, ale je to bez šance. Kdysi se tu prostě usadilo UPC a tím veškerá konkurence padla a né neoprávněně. Za dob UPC mi vše fungovalo absolutně bezproblémově, nastavení MikroTiku přenáším už na pátý stroj po dobu cca 17ti let a až na pár výpadků (spíše elektřiny něž internetu) bylo vše k mé spokojenosti. Ale teď to tu vede Vodafone a je to jeden veliký problém.

kozlicek

co zkusit cetin.treba ze by ti optiku natahnul.... vse je jen otazka pouziti a ceny.

Gucky

Takže je to tak jak jsem si myslel, Vodafone mi přidělí vždy pouze tři IP adresy. Momentálně mi fungují dva servery a přístup k internetu z vnitřní sítě. Když použiji terminologii z návodu, tak jede "bridge-wan", "vrrp-wana" a "vrrp-wanb". "vrrp-wanc" prostě neobdrží IP adresu. Nejde ten návod nějak upravit, tak aby nevyžadoval čtyři IP adresy, ale aby stačili pouze tři?

Druhá věc co mi nefunguje je VPN. Připojuji se kvůli správě přes pptp (android) nebo přes l2tp (Apple) a ani jedno teď nefunguje.

Každopádně mnohokrát děkuji za pomoc, už takhle jsem daleko dále a zase jsem si prohloubil znalosti práce s mikrotikem.

A co se týče Cetinu, tak to si asi nemůžeme cenově dovolit.

martas

Gucky Vše, co se týče té vrrp-wanc, prostě v konfiguraci nepoužij.

Gucky

No jo, to mi ale budou fungovat jen dva servery že tří.

Gucky

Nějaký návrh jak upravit návod od Majklik popsaný výše, tak aby nebyly zapotřebí čtyři IP adresy a stačili pouze tři?

martas

Gucky Musíš si upravit potom akorát ty routy a NAT pro ten třetí server, když odstraníš ten wanc.

majklik

Gucky To jsi na to nepřišel, jak to upravit? Vyhodit všechny řádky obsahující vrfc a/nebo vrrp-wanc, do nat přidat /ip firewall nat add action=dst-nat chain=dstnat in-interface=bridge-wan to-addresses=172.16.15.13 a ten třetí server tak bude používat tu 1. IP adresu z bridge-wan spolu s lokální LAN sítí. Pokud ten router funguje i jako VPN server, tak musíš si do dst nat dat jako první pravidlo, aby VPN přistupy nepřeposílal na tu další IP, ale accept pro daný port/protokol a spojení se tak ukončilo lokálně na routeru. Pro VPN přístup používat tu IP z bridge-wan, ty na dalších VRF ne. Změnu IP můžeš řešit pomocí nějaké dyn DNS služby (pro IP na bridge-wan ji přímo nabízí i mikrotik, viz /ip cloud).
Jinak pokud máš z routeru jednu 1 Gbps linku do gigabitového switche a za ním je server připojen opět jen s jednou 1 Gbps kartou, tak rychlostně použití té jedné linky na WAN straně je v pořádku.

Gucky

Díky za odpověď, zkoušel jsem udělat něco podobnýho a to zrušit vrf c a použít ty routy co jsou na bridge-lan. Ale něco mám špatně. Protože teď se tam nemůžu dostat, musím tam zajet fyzicky a udělat to lokálně. Asi jsem něco nedomyslel a odstřihl jsem se.

dacesilian

Gucky Pro příště se dá použít Winbox Safe mode. Jen nezapomenout ho vypnout před řádným ukončením winboxu.

martas

dacesilian Winbox naštěstí na zapnutý safe mode upozorní.

Gucky

Tak právě jsem to doklepal. Už to vše funguje k mé spokojenosti. Upřímě musím říci, že tohle je poprvé kdy se mi dostalo relevantních informací a rad na nějakém fóru. Většinou jsem byl hned odpálkován, že když něčemu nerozumím, tak ať se do toho nese... Nebo ať hledám na googlu, popřípadě arogance až urážky.

Takže tímto bych chtěl všem ze srdce velmi poděkovat a popřát hodně zdaru.

mirmo80

Gucky A zhrnul by si, prosím, ťa, kde si robil chybu/y, a ako to máš teraz, že je všetko ok?
Dík

iTomB

Gucky vis, on je problem spis v tom, ze hromada lidi sem doleze a totalne si nezkousi nic precist, nic si tu vyhledat a hned delej pomoz, me to nefunguje ... A to vetsinu zdejsich stve.
Ty jsi prisel s veci, co tu snad nikdo nikdy neresil, takze opravneny a v pohode ... No taky nekoho napadlo, jak to dorest a to je dobre, od toho si tu pomahame 😉

Ja jsem treba usmevny, kdy muj script z roku 2007 (uverenejnej zde) lita na strankach mikrotiku od roku 2013 😃

Jinak si myslim, ze by se dalo doresit s vodafonem nejaka standardni konfigurace a ne tenhle paskvil co mas ty.
TomB

« Předchozí stránka Další stránka »