Mikrotik 2WAN - 2LAN egy routeren

Hálózatok általános

Sziasztok!

Egy furcsa megoldásra lenne szükségem. Adott egy Mikrotik 951G router.

ether1 porton: (pppoe kliens) Telekom 15/1 Mbit ppp adsl - vagyis ez a port kapja a külső címet a telekomtól pl. 81.185.....

ether2 porton: (dhcp kliens) ide csatlakozik egy Telenor 50 Mbit mobilnetes router egyik lan portja, tehát ezen egy belső ip cím jelenik meg 192.168.0.51 átjáró 192.168.0.1

ether3 semmi
ether4 semmi
ether5 : 24 portos switch és ezen a számítógépek

Vagyis van 2 netkapcsolat amit időszakosan hol ezt, hol azt szeretnék használni, mindenféle kábel kihúzgálás, ip átírás, vlanozás nélkül. Hogy miért így? Mert akik gép előtt ülnek nem tudják hogy kell átírni egy ip címet vagy átdugni a kábelt stb. Egyetlen dologhoz értenek, pptp kapcsolatot létrehozni windowsban.

Alapból a telekom kapcsolat van minden gépnek kinatolva a 192.168.67.0/24 tartományban. Dhcp-n kapnak címet. Minden működik hibátlanul kivéve hogy lassú. Ezért néha szükség lenne arra, hogy néhány percig míg mondjuk egy nagyobb fájl feltöltése megy, addig a telenor (eth2) neten menjen az gép aki éppen feltölt, de csak az.
Ezt úgy kérnék megoldani hogy egy másik ip tartomány legyen a routerben pl. 10.10.10.0/24, amire mondjuk pptp-n csatlakozva időszakosan az a gép felcsatlakozna aki épp nagyobb forgalmat generál. Ekkor átkerülne az eth2-re kinatolt hálózatra. Mikor végzett lecsatlakozik és továbbra is megy a telekom (eth1) neten.
Ja és a pptp-re kivülről nincs szükség. Csak és kizárólag a belső hálón.

Egyszerűnek tűnhetne átállni a telenorra minden géppel, de ez azért nem jó mert nincs külső ip amire néha szükség van. A másik meg hogy nem mindig megy tökéletesen.
Más szolgáltató nincs az épületben. A T nem tud nagyobb sávot adni. Ezeket már végigjártuk.

Megoldható ez valahogy? Ha igen írnátok egy megoldást?

Köszönöm!

  • 2202 megtekintés

( junior013 | 2018. 08. 14., k – 10:26 )

Nem megoldhatatlan, de
1., túlbonyolított
2., a user-ek nem lesznek szabálykövetőek.

Én a helyedben inkább dinamikusan (load balancing + failover) használnám a 2 kapcsolatot. Tűzfalban szépen lehet szabályozni, hogy milyen forgalmak menjenek az egyiken, mi a másikon (pl. e-mail a T-n; Web, FTP a Telenor-on). A T külső IP-je bejövő kapcsolatoknál mindig lekezelhető, illetve hiba esetén mindegyik kapcsolatnak a másik a backup-ja.

Ha csak nem korlátos és drága a Telenor, akkor én inkább így csinálnám.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Azon túl, hogy a PPTP kapcsolatokat nyilván default route-al húzod fel a gépeken, a MT-n hasonló a dolog kialakítása, mintha load balancolnál: A tűzfal Mangle szabályaiban megjelölöd a 192.x.x.x-ből és a 10.x.x.x-ből jövő és kifelé célzott kapcsolatokat 2 különböző connection mark-al, a connection mark alapján pedig minden csomagot routing mark-al. Ez alapján pedig fel tudsz venni 2 külön default gw-t: Az egyik mark-ot küldöd a T-re, a másikat a Telenor-ra.

Pl. ez alapján ki tudod logikázni: https://aacable.wordpress.com/tag/mikrotik-howto-combine-multiple-wan-l…

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Csak elvi síkon kérdezem: nem elég, ha csak a pptp-s csomagok kapnak mark-ot, és akiknek van markerük, az X irányba megy, a többi meg (akinek nincs markere) Y-ba? (Nem ismerem az MT-féle policy routing-ot.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

( bennyh | 2018. 08. 14., k – 14:11 )

Konkrét oldalakra/címekre kell nagy állományokat tölteni?

( Elbandi v | 2018. 08. 14., k – 14:25 )

ha adott ipre kell feltolteni, akkor azt at tudod "iranyitani" a mobilnetes kapcsolatra, minden mas meg megy a telekomrol.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( royal v | 2018. 08. 14., k – 20:06 )

A 951G-nek van USB portja, ahova lehet mobilnetes sticket dugni. A Telenornál ha nem az "online", hanem a "net" APN-t használod, akkor publikus IP címet kapsz.
Így sem lenne érdemes átállni teljesen a mobilkapcsolatra? Több helyen használunk 0-24-ben Telenor LTE kapcsolatot, jellemzően szép, stabilan működik (igaz, nem stickkel, hanem RBwAPR-2nD vagy RB912R-2nD eszközökkel)

--
http://eVIR.hu
Elektronikus Vállalatirányítási Információs Rendszer

( dentzol | 2018. 08. 14., k – 21:46 )

Egy vezetékes hálózat ADSL uplinkkel és egy külön WLAN a mobilnetes kapcsolat szórására nem alternatíva?

( wpeople v | 2018. 08. 14., k – 23:18 )

Amennyiben a kérdéses művelet (fel/letöltés) proxy-val megoldható, akkor talán azt tenném.
A mikrotikben van egy elég lightweight proxy. Sajnos a forráshoz csak ipcímet lehet benne megadni, interface-t nem, de ezt esetleg a netwatch segítségével meg lehet oldani.

( csabka v | 2018. 08. 15., sze – 00:16 )

Szerintem ne PPTP -t hanem PPPoE -t használj helyi hálózaton, szebb megoldás.... valamint VRF lesz a megoldás számodra.

1. létrehozol egy PPPoE szervert, valamint ppp secret-ben user+pass -t illetve IP-t vagy IP-pool-t hozzá.

2. csinálsz egy pppoe server binding-ot, hogy az adott felhasználónak ne Dynamic-os interfész jöjjön létre amikor felépül a kapcsolat, hanem ugyan az legyen mindig az interfész (VRF feltétele... bár lehet, hogy lehet scriptelni, vagy bridge-be tenni ami VRF-ben van... de első körben a fentit javasolnám. )

3. az ether2 -t és a pppoe server binding-ot beteszed egy pl "telenor" nevű routing-mark alá IP/Routes -> VRF -nél keresd (elég a név és a két interfész, nem feltétlen kell a többi opciót piszkálni)
- hatására az IP/Route táblába a default: main (üres) és telenor routing-mark-os bejegyzések lesznek... mind a kettő routing táblában kell lennie 0.0.0.0/0 -s (default route)-nek, ha nincs akkor valamit nem jól csináltál

4. Ne csak az ether1 -re, hanem
a., az ether2-re is legyen MASQUERADE szabály
vagy:
b., A dupla NAT nem túl szerencsés, ha tud a Telenor router static route-ot akkor érdemes vissza routolni a PPPoE kliens alhálózatot a Mikrotik felé és rávenni a Telenor router-t hogy NAT-olja a Mikrotik mögötti tartományt is... ha buta akkor marad az a., megoldás és dupla NAT

Hatására amíg DHCP-n kapcsolódik a Telekom, amint PPPoE kapcsolat felépül a Telenoron netezik az adott gép.
Fontos, hogy a VRF-be tett interfészeken a Mikrotik csökkentett szolgáltatásokat nyújt (azaz nincs IP/Services egyik portja sem nyitva rajta, így azon keresztül nem lehet pl managelni...)

Így nem bonyolult (még ha elsőre annak hangzik), nincs csomó mangle szabály, gyorsabban is működik, kevesebb erőforrást éget így el a Mikrotik.

1. a pppoe szervernél elsősorban interfész kell, ahonnan a PPPoE session érkezik (pl ha az ether5 LAN_bridge -ben van akkor az, ha nincs akkor csak az ether5 )
- érdemes lehet még
keepalive timeout pl 15
default profile: valami sajátot (nem érdemes a default-ot tekerni inkább másold le)

2. pont-pont kapcsolat miatt elvileg mindegy mi van a local address és remote addressnél, mert /32-es, de később tűzfal szabálynál, masqueradenál nem árt ha le tudod fedni a címteret pl /24-el.
legyen pl 10.10.10.1 a local és 10.10.10.100-254 ig hozz létre egy IP/pool-t és a pool neve legyen a remote address... amennyiben azt szeretné az ember hogy az adott user mindig ugyan azt az ip-t kapja pppoe-n akkor az adott secret-nél felül lehet bírálni a remote address-t 10.10.10.2-99 közötti értékre

- bár ha jól értem csak 1 gép lesz mindig aki felcsattan, így akár azt is lehet hogy csak 1 ip-t állítasz és Limit-nél beállítod hogy only-one tudja használni az adott felhasználónevet+jelszót... és betenni mondjuk egy idle / session timeout-ot :-) a kliensnél meg lekapcsolni az auto connect/reconnect-et.

3. dns-hez olyan dns-t kell amit el is tud érni az adott kliens... miután 2 internet szolgáltató van ezért nem szerencsés szolgáltatói dns-t használni a mikrotik IP/DNS részben majd őt engedni remote request-el, szóval marad valamelyik opendns pl a 8.8.8.8 és 8.8.4.4 hogy azért legyen 2db,

4. user az a felhasználónév (ppp secret-nél a name) a service pedig az ami a pppoe szervernél is van service name-ként (azaz pl default üres)

Amit én nagyon hiányolok a default route-ot a VRF-ben. Amit nem lehet látni a MANGLE tábla tartalmát, gondolom ott szerepel valami hasonló sor:
/ip firewall mangle add chain=prerouting action=mark-routing disabled=no src-addres=x.x.x.x new-routing-mark=telenor_vrf passthrough=yes

Mangle nem kell VRF esetén, ha az interface benne van a VRF be... Akkor kell csak mangle ha csomag szinten akarod átemelni másik VRF-be...

Viszont valóban hiányzik default route a telenor routing mark-al is kell. Nem lehet, hogy a dhcp client ben a ether2-n kikapcdoltad a az add default route pipát?

Az kelleni fog, vagy legalább kézzel kell létrehozni egy default route-ot a telenor routing mark al a hogy a 0.0.0.0/0 a 192.168.0.x re mutasson (x a telenor router címe gondolom .1, de nem látszott a képen)