3X WAN без load balancing и failover локалните IP не виждат публичните wan адреси на рутера ?

[Николай Илиев]

Конфигурацията е с policy routing по мрежа.

wan1(static ip)—>192.168.1.0/24

wan2 (pppoe)   —>192.168.2.0/24

wan3 (pppoe)   —>192.168.3.0/24

Всичко си работи както трябва но единствения проблем е че локалните IP не виждат (нямат пинг) единствено към публичните wan адреси на рутера а към всички други адреси няма проблем.

Какво правило трябва да се добави за да станат видими wan адресите от вътре?

[Самуил Арсов]

За да ти се отговори на този въпрос трябва да си покажеш конфигурацията и по специално:

ip route export compact

По принцип когато добавящ ип адрес в main таблицата на рутера се вдигат автоматично routing към интерфейса но когаро имаш други таблици освен main трябва да си ги добавиш ръчно нещо от рода на:

/ip route
add distance=1 dst-address=192.168.2.0/24 gateway=pppoe1 routing-mark=ISP1

И все пак пастни конфига, че да го огледаме ...

[Николай Илиев]

Ето го конфига с рутинг правилата. wan1 е без routing-mark но ако го маркирам и него спира да работи днс сървара на микротика.

# nov/06/2014 22:55:42 by RouterOS 6.18# software id = 00J2-C37D
#
/ip route
add check-gateway=ping distance=1 gateway=wan2-pppoe pre
    routing-mark=mark_wan2
add check-gateway=ping distance=1 gateway=wan3-pppoe pre
    routing-mark=mark_wan3
add distance=1 gateway=wan1 pref-src=192.168.1.1

  

###############################################

  ip route print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0          192.168.2.1     wan2-pppoe                1
 1 A S  0.0.0.0/0          192.168.3.1     wan3-pppoe                1
 2 A S  0.0.0.0/0          192.168.1.1     wan1                      1
 3 ADC  78.83.x.xx/32      92.247.xxx.xx  wan2-pppoe                0
                                           wan3-pppoe        
 4 ADC  93.152.xxx.x/17    93.152.xxx.xxx  wan1                      0
 5 ADC  192.168.1.0/24     192.168.1.1     internet                  0
 6 ADC  192.168.2.0/24     192.168.2.1     internet                  0
 7 ADC  192.168.3.0/24     192.168.3.1     internet                  0

Редактирано 9 Ноември, 2014 от 111111

[111111]

не е маркиран трафика

[Николай Илиев]

Маркиран е в мангле:

 

/ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic 
 0 X chain=prerouting action=mark-routing new-routing-mark=mark_wan1 
     passthrough=no src-address=192.168.1.0/24 


 1   chain=prerouting action=mark-routing new-routing-mark=mark_wan2 
     passthrough=no src-address=192.168.2.0/24 


 2   chain=prerouting action=mark-routing new-routing-mark=mark_wan3 
     passthrough=no src-address=192.168.3.0/24 

Редактирано 9 Ноември, 2014 от 111111

[Самуил Арсов]

Ако правилно съм разбрал мисля, че трябва да е така:

/ip route
add dst-address=192.168.1.0/24 gateway=wan1 routing-mark=mark_wan2
add dst-address=192.168.3.0/24 gateway=wan3-pppoe routing-mark=mark_wan2
add dst-address="мрежа" gateway="интерфейс" routing-mark=mark_wan2

add dst-address=192.168.1.0/24 gateway=wan1 routing-mark=mark_wan3
add dst-address=192.168.2.0/24 gateway=wan2-pppoe routing-mark=mark_wan3
add dst-address="мрежа" gateway="интерфейс" routing-mark=mark_wan3

Не е нужно ако имаш 3 мрежи да имаш 3 таблици, едната я остави за main ...

Редактирано 7 Ноември, 2014 от samyil

[Николай Илиев]

И така няма промяна. Както и преди 192.168.1.0/24 вижда външните адреси на wan1, wan2-pppoe и wan3-pppoe.

192.168.2.0/24 и 192.168.3.0/24 си имат интернет съответно през wan2-pppoe и wan3-pppoe но не виждат нито собствения нито адресите на другите интерфейси.

[Самуил Арсов]

Първо интересно е от къде ги пингваш и второ каква е мрежата на лан-а ?

За да правиш policy routing на три wan-a трябва да имаш поне 3 lan мрежи.

Редактирано 7 Ноември, 2014 от samyil

[Николай Илиев]

Лан мрежите са 3 ->192.168.1.0/24, 192.168.2.0/24 и 192.168.3.0/24 

Пингвам от които и да е адрес от мрежа 192.168.1.0/24 и няма проблем.

От които и да е адрес от мрежа 192.168.2.0/24 и 192.168.3.0/24 няма пинг към 192.168.1.1 , 192.168.2.1 и 192.168.3.1 също няма пинг и към WAN адресите но пък има пинг навсякъде другаде и си има интернет.

[Самуил Арсов]

Грешката е моя ( а спецовете всички мълчите ) - LAN мрежата идва от интерфейс internet следователно така трябва и да се добави в таблиците.

 

Мисля, че така трябва да изглежда таблицата mark_wan2

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=mark_wan2 src-address=192.168.2.0/24

/ip route
add dst-address=0.0.0.0/0 gateway=wan2-pppoe routing-mark=mark_wan2
add dst-address=192.168.1.0/24 gateway=internet routing-mark=mark_wan2
add dst-address=192.168.3.0/24 gateway=internet routing-mark=mark_wan2
add dst-address=78.83.x.xx/32  gateway=wan2-pppoe routing-mark=mark_wan2
add dst-address=93.152.xxx.x/17 gateway=wan1 routing-mark=mark_wan2

забележи, че 3,4,5 и 6-ти ред рутера ги е вдигнал автоматично в main таблицата без опцията routing-mark=mark_wan2. Същите тези маршрути ги добавяш в таблица mark_wan2 ръчно за да може тази таблица да знае кои са и съседни мрежи. Това нещо има логика защото все пак има варианти (не като твоя) в които не искаш таблицата да знае тези маршрути.

 

Нямам навика а и смятам за нередно да описвам интерейса с име (например internet) това при една по сериозна конфигурация обърква положението затова те съветвам опиши интерфейсите с коментари. Това нещо сега ще заработи и след три месеца като влезеш ще ти е чудно кое какво е при липса на документация тоест коментари.

Редактирано 8 Ноември, 2014 от samyil

[Николай Илиев]

И така не става. Мисля че схванах логиката и съм го написал правилно но няма никаква промяна.

ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=prerouting action=mark-routing new-routing-mark=mark_wan2 passthrough=no src-address=192.168.2.0/24
1   chain=prerouting action=mark-routing new-routing-mark=mark_wan3 passthrough=no src-address=192.168.3.0/24

/ip route
add check-gateway=ping distance=1 gateway=wan2-pppoe routing-mark=mark_wan2
add distance=1 dst-address=78.83.x.xx/32 gateway=wan3-pppoe routing-mark=mark_wan2
add distance=1 dst-address=93.152.xxx.x/17 gateway=wan1 routing-mark=mark_wan2
add check-gateway=ping distance=1 dst-address=192.168.1.0/24 gateway=internet routing-mark=mark_wan2
add check-gateway=ping distance=1 dst-address=192.168.3.0/24 gateway=internet routing-mark=mark_wan2
add check-gateway=ping distance=1 gateway=wan3-pppoe routing-mark=mark_wan3
add distance=1 dst-address=78.83.x.xx/32 gateway=wan2-pppoe routing-mark=mark_wan3
add distance=1 dst-address=93.152.xxx.x/17 gateway=wan1 routing-mark=mark_wan3
add distance=1 dst-address=192.168.2.0/24 gateway=internet routing-mark=mark_wan3
add distance=1 gateway=wan1

ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                                         wan2-pppoe                1
 1 A S  78.83.x.xx/32                                 wan3-pppoe                1
 2 A S  93.152.xxx.x/17                                   wan1                      1
 3 A S  192.168.1.0/24                                     internet                  1
 4 A S  192.168.3.0/24                                     internet                  1
 5 A S  0.0.0.0/0                                         wan3-pppoe                1
 6 A S  78.83.x.xx/32                                 wan2-pppoe                1
 7 A S  93.152.xxx.x/17                                   wan1                      1
 8 A S  192.168.2.0/24                                     internet                  1
 9 A S  0.0.0.0/0                                               wan1                     1
10 ADC  78.83.x.xx/32     92.247.xxx.xxx  wan2-pppoe               0
                                                                   wan3-pppoe        
11 ADC  93.152.xxx.x/17    93.152.xxx.xxx    wan1                      0
12 ADC  192.168.1.0/24      192.168.1.1         internet                  0
13 ADC  192.168.2.0/24      192.168.2.1         internet                  0
14 ADC  192.168.3.0/24      192.168.3.1         internet                  0

internet  се казва бриджа на лан портовете

Редактирано 9 Ноември, 2014 от 111111

[Самуил Арсов]

Само за теста, направи всички правила в mangle неактивни и изпълни тези:

/ip route rule
add src-address=192.168.2.0/24 table=mark_wan2
add src-address=192.168.3.0/24 table=mark_wan3

Просто искаме да разберем от маркирането ли е проблема или в маршрутите ....

[Николай Илиев]

Така почти стана благодарение на Samyil. 

Остана обаче един проблем: сървър с KVM виртуализация с една LAN карта с адрес 192.168.1.150 и KVM виртуална машина с LAN macvtap virtio VEPA mode и адрес 192.168.2.150 през същата LAN карта, не се виждат нито през вътрешната мрежа нито по външна през отворените портове. Знам че може да виждат през вътрешен бридж но това създава други проблеми за това трябва да стане през рутера.

Някакви идеи как да стане това?

[Самуил Арсов]

Хм, а сигурен ли си, че от рутера ги пингваш и двете ?

[Николай Илиев]

Да от рутера има пинг и към хостинг машината и към виртуалната. Но между тях няма пинг обаче има пинг от хостинг машината към външното ИП на виртуалната и обратното. Обаче не се виждат защото пакетите достигат само до wan порта на рутера.

Предполагам трябва hairpin nat за да ги върне обратно но нещо не мога да уцеля правилата. 

Пробвам нещо такова:

chain=dstnat action=dst-nat to-addresses=192.168.1.150 
     dst-address="WAN1 IP" 


 chain=srcnat action=src-nat to-addresses="WAN1 IP" 
     src-address=192.168.2.150 


 chain=srcnat action=masquerade src-address=192.168.1.0/24 
     dst-address=192.168.2.0/24

 

Така  до 192.168.1.150 идват пакети но пакетите са със грешен подател - WAN1 IP

Редактирано 10 Ноември, 2014 от 111111
форматирай си постовете

[Самуил Арсов]

Ами мисля, че първо трябва да видим какво има налято като маршрути в таблица mark_wan2 тъй като ip route rule води 192.168.2.0/24 натам

ip route print where routing-mark=mark_wan2

Сравни маршрутите с таблица main по този начин, вероятно някой маршрут липсва

ip route print where connect

При положение, че и двете мрежи 192.168.1-2.0/24 са в бриджа те трябва да се виждат ако всички маршрути са наляти в двете таблици.

Що се отнася до hairpin nat, там идеята е частният ип адрес да види друг частен ип адрес през публичния такъв (казвам това защото много хора искат да видят собствения си частен адрес през публичния е няма да стане) Ако съм те рзбрал правилно искаш двата частни адреса да се виждат а не през публичния ?

 

Има още един вариант но нека да не стигаме до него преди да прегледме таблиците отново който е лесно изпълним. Двете мрежи могат да станат една - 192.168.1.0/23 и всички адреси в този реиндж ще имат един deafult gateway 192.168.1.1. Това за ip route rule няма да е проблем и затова няма да го пипаме (той си знае кои адреси накъде да ги маршрутизира)  В този вариант въпросните адреси дори няма да се виждат през рутера защото са в една маска.

Редактирано 10 Ноември, 2014 от samyil