Доступ к Mikrotik из вне по WAN1 WAN2

Тема в разделе "Маршрутизация", создана пользователем samokish, 15 ноя 2016.

  1. samokish

    samokish Новый участник

    Всем привет, столкнулся с такой проблемой в настройках, не могу достучаться до микротика из вне, в локалке интернет работает, наты на сервера, рдп и тд. пробрасываются и работают, но к самому микротику болт! Что я делаю не так?))

    # nov/15/2016 09:16:28 by RouterOS 6.36.4

    add address=192.168.71.0/24 list=LocalNet
    add address=192.168.72.0/24 list=LocalNet

    /ip firewall filter
    #Думал всё дело в этих правилах но нет...
    add action=accept chain=input dst-address=1.1.1.1 in-interface=ether1
    add action=accept chain=input dst-address=2.2.2.2 in-interface=ether2
    add action=accept chain=output out-interface=ether1
    add action=accept chain=output out-interface=ether2
    #


    add action=accept chain=input comment="Accept ICMP" protocol=icmp
    add action=accept chain=forward protocol=icmp

    add action=accept chain=input comment="Accept Established connections" \
    connection-state=established
    add action=accept chain=forward connection-state=established

    add action=accept chain=input comment="Accept Related connections" \
    connection-state=related
    add action=accept chain=forward connection-state=related

    add action=drop chain=input comment="Drop Invalid connections" \
    connection-state=invalid
    add action=drop chain=forward connection-state=invalid

    add action=accept chain=input comment="Accept UDP connections" protocol=udp
    add action=accept chain=forward protocol=udp


    add action=accept chain=forward comment="Internet for users" out-interface=\
    ether1 src-address=192.168.71.0/24
    add action=accept chain=forward out-interface=ether2 src-address=\
    192.168.71.0/24
    add action=accept chain=forward out-interface=ether2 src-address=\
    192.168.72.0/24
    add action=accept chain=forward out-interface=ether1 src-address=\
    192.168.72.0/24


    add action=accept chain=input comment=\
    "Accept connect to router from local network" src-address=192.168.71.0/24
    add action=accept chain=input src-address=192.168.72.0/24


    add action=drop chain=input comment="Drop All"
    add action=drop chain=forward


    /ip firewall mangle
    add action=mark-connection chain=input dst-address=1.1.1.1 \
    in-interface=ether1 new-connection-mark="ISP 1 -> Input" passthrough=no
    add action=mark-routing chain=output connection-mark="ISP 1 -> Input" \
    new-routing-mark="ISP 1" passthrough=no
    add action=mark-connection chain=input dst-address=2.2.2.2 \
    in-interface=ether2 new-connection-mark="ISP 2 -> Input" passthrough=no
    add action=mark-routing chain=output connection-mark="ISP 2 -> Input" \
    new-routing-mark="ISP 2" passthrough=no

    #В адрес листе group1 и group2 у меня указаны конкретные IP адреса которые маршрутизируются
    add action=mark-routing chain=prerouting comment="Group Users1" dst-address-list=\
    !LocalNet new-routing-mark="WAN 1" passthrough=no src-address-list=\
    Group1


    add action=mark-routing chain=prerouting comment="Group Users2" dst-address-list=\
    !LocalNet new-routing-mark="WAN 2" passthrough=no src-address-list=\
    Group2



    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=ether1
    add action=masquerade chain=srcnat out-interface=ether2

    /ip route
    add distance=1 gateway=ISP1_GW routing-mark="ISP 1"
    add distance=1 gateway=ISP2_GW routing-mark="ISP 2"

    add check-gateway=arp distance=10 gateway=ISP1_GW routing-mark=\
    "WAN 1"
    add check-gateway=arp distance=11 gateway=ISP2_GW routing-mark=\
    "WAN 1"
    add check-gateway=arp distance=10 gateway=ISP2_GW routing-mark=\
    "WAN 2"
    add check-gateway=arp distance=11 gateway=ISP1_GW routing-mark=\
    "WAN 2"

    #Netwatch
    add distance=1 dst-address=8.8.4.4/32 gateway=ISP2_GW
    add distance=1 dst-address=8.8.8.8/32 gateway=ISP1_GW
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Уж сколько раз твердили миру, что должен быть хотя бы один маршрут на 0.0.0.0/0 немаркированный. Пусть вообще в странное место ведет (например в LAN), но он должен быть.
    Прикладываю диаграмму обработки трафика
    Обратите внимание на выход из Local Process. Чтобы пакет попал в Output, сначала надо пройти решение об маршрутизации. И там еще нет маркировок.
    А вот в Output Routing Adjustment уже будут учтены маркировки.

    Ваш роутер получив пакет в Input не может ответить, потому что на Routing Decision получает что такого маршрута нет.
    [​IMG]
     
  3. samokish

    samokish Новый участник

    Благодарю Вас Илья, всё получилось.
     
  4. VerstaK

    VerstaK Новый участник

    А уточнить можно - как должен выглядеть немаркированный маршрут на 0.0.0.0/0?
     
  5. Денис Друженков

    Денис Друженков Администратор Команда форума

    Должно быть заведомо большая дистанция от ваших основных маршрутов, и на любой интерфейс с состоянием Runnig

    ip route dst-adddress=0.0.0.0/0 add distance=30 gateway=bridge
     
  6. dronclub

    dronclub Участник

    А книжки нет на русском)))
     
  7. Денис Друженков

    Денис Друженков Администратор Команда форума

  8. dronclub

    dronclub Участник

    Спасибо за приглашение в Питер, был правда 1 раз, понравилось.
    Мне задачку подкинули хорошую lte l2tp и еще спутник хотят и что б на спутник можно было самому включаться и смс слал если авария. Курс наверное как раз для меня))) а книжечки курсовые табу!