И снова 2 провайдера (не стандарт)

Тема в разделе "Вопросы начинающих", создана пользователем navig2201, 22 июл 2019.

  1. navig2201

    navig2201 Новый участник

    Доброго времени суток. Прошу помощи , ибо рога уже сточил.
    Суть проблемы - 2 провайдера , первый - обычное ппое соединение ,второй из них - инет по школьной программе ( дан ip и маска шлюза , дана сеть за ним, с оговоркой - нат, файервол должны отсутствовать).
    Проблема собственно в том , что не могу правильно смаршрутизировать сети - либо сеть по школьной программе - либо обычный инет , но не обе одновременно....
    Просьба посмотреть конфиг - ну где-то ж явная ошибка


    add admin-mac=******************* auto-mac=no comment=defconf name=bridge
    add name=bridge-lan
    /interface wireless
    set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=\
    ap-bridge ssid=MikroTik-0D6EDF wireless-protocol=802.11
    /interface vlan
    add interface=ether1 name=vlan315 vlan-id=315
    add interface=ether1 name=vlan500 vlan-id=500
    /interface pppoe-client
    add add-default-route=yes disabled=no interface=vlan315 name=pppoe-out1 password=******** user=*******
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    /ip pool
    add name=sch ranges=10.61.127.130-10.61.127.135
    add name=inet ranges=192.168.10.2-192.168.10.254
    /ip dhcp-server
    add address-pool=sch disabled=no interface=bridge name=dhcp-sch
    add address-pool=inet disabled=no interface=bridge-lan name=dhcp-inet
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether4
    add bridge=bridge comment=defconf interface=pwr-line1
    add bridge=bridge comment=defconf interface=wlan1
    add bridge=bridge-lan interface=ether2
    add bridge=bridge-lan interface=ether3
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add comment=defconf interface=ether1 list=WAN
    /ip address
    add address=10.61.127.129/27 comment=defconf interface=bridge network=10.61.127.128
    add address=192.168.10.1/24 interface=bridge-lan network=192.168.10.0
    add address=172.23.175.241/30 interface=vlan500 network=172.23.175.240
    /ip dhcp-client
    add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
    /ip dhcp-server network
    add address=10.61.127.128/27 comment=defconf dns-server=10.0.1.1 gateway=10.61.127.129 netmask=27
    add address=192.168.10.0/24 dns-server=8.8.8.8 gateway=192.168.10.1
    /ip dns
    set allow-remote-requests=yes
    /ip dns static
    add address=192.168.10.1 comment=defconf name=router.lan
    /ip firewall address-list
    add address=192.168.10.2-192.168.10.200 list=inet
    add address=10.61.127.130-10.61.127.135 list=sch
    add address=0.0.0.0/8 list=BOGONS
    add address=10.0.0.0/8 list=BOGONS
    add address=100.64.0.0/10 list=BOGONS
    add address=127.0.0.0/8 list=BOGONS
    add address=169.254.0.0/16 list=BOGONS
    add address=172.16.0.0/12 list=BOGONS
    add address=192.0.0.0/24 list=BOGONS
    add address=192.0.2.0/24 list=BOGONS
    add address=192.168.0.0/16 list=BOGONS
    add address=198.18.0.0/15 list=BOGONS
    add address=198.51.100.0/24 list=BOGONS
    add address=203.0.113.0/24 list=BOGONS
    add address=224.0.0.0/3 list=BOGONS
    /ip firewall filter
    add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked disabled=yes
    add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid disabled=yes
    add action=accept chain=input comment="defconf: accept ICMP" disabled=yes protocol=icmp
    add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" disabled=yes dst-address=127.0.0.1
    add action=drop chain=input comment="defconf: drop all not coming from LAN" disabled=yes in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" disabled=yes ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" disabled=yes ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes
    add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked disabled=\
    yes
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled=yes
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new disabled=yes \
    in-interface-list=WAN
    /ip firewall mangle
    add action=mark-routing chain=prerouting new-routing-mark=ISP1 passthrough=no routing-mark=ISP1 src-address-list=inet
    add action=mark-routing chain=prerouting new-routing-mark=ISP2 passthrough=no routing-mark=ISP2 src-address-list=sch
    add action=mark-routing chain=output connection-mark=Input/ISP1 new-routing-mark=ISP1 passthrough=no
    add action=mark-connection chain=input in-interface=pppoe-out1 new-connection-mark=Input/ISP1 passthrough=yes
    add action=mark-connection chain=input in-interface=vlan500 new-connection-mark=Input/ISP2 passthrough=yes
    add action=mark-routing chain=output connection-mark=Input/ISP2 new-routing-mark=ISP2 passthrough=no
    add action=mark-routing chain=output dst-address-list=!BOGONS new-routing-mark=ISP1 passthrough=yes src-address=192.168.10.0/24
    add action=mark-routing chain=output dst-address-list=!BOGONS new-routing-mark=ISP2 passthrough=yes src-address=10.61.127.128/27
    add action=mark-connection chain=prerouting in-interface=pppoe-out1 new-connection-mark=Forward/ISP1 passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=Forward/ISP1 in-interface=!pppoe-out1 new-routing-mark=ISP1 passthrough=no
    add action=mark-connection chain=prerouting in-interface=vlan500 new-connection-mark=Forward/ISP2 passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=Forward/ISP2 in-interface=!vlan500 new-routing-mark=ISP2 passthrough=no
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=pppoe-out1 src-address-list=inet
    /ip route
    add distance=1 gateway=pppoe-out1 routing-mark=ISP1
    add distance=1 gateway=vlan500 routing-mark=ISP2
    /ip route rule
    add action=lookup-only-in-table routing-mark=ISP1 table=ISP1
    add action=lookup-only-in-table routing-mark=ISP2 table=ISP2
    /system routerboard settings
    set auto-upgrade=yes
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN
     
  2. Tycoon

    Tycoon Участник

    Не понятно ни чего. Вот есть один провайдер по ppoe тут понятно. Второй провайдер говорите ip вам дан+маска+ шлюз, а по факту я вижу включенный dhcp client т.е. вы автоматом настройки получаете от второго провайдера. Ну дак и что вам надо сделать то? Вам нужно что бы оба провайдера были активны и часть IP с локалки выхадили только с одного провайдера, а часть со второго или что? IP оба белые? Если у вас 2 провайдера, почему правило в NAT только для ppoe создано?
     
    Последнее редактирование: 22 июл 2019
  3. navig2201

    navig2201 Новый участник

    Таки да - обое два и на разные порты. ППОЕ на 2 и 3 порты , статика ( обзову так) на 4 порт (haplite - 4 порта всего) . Зачем дхсп на 4 порту - ну , 27 сеть как-бы подразумевает 30 устройств , сделал для того , что бы подключая при проверке ноут не прописывать настройки на сетевой . Я собственно чего ( на чего) обращаю внимание - второй - тот что на 172........ на влан 500 работает - вот он должен сеть 10..... пропускать без ната , если нат включен , компы с 10 сетки куда надо не попадут. Шлюз на 172.23........ похоже как соединение точка-точка , а железки с адресацией 10.61.... прозрачно смотрят через него .
    Если говорить честно ( я начинающий) у меня получалось ( смешно конечно) - если через ругаемый всеми визард настраивать соединение по 500 влану - то ок , оно пашет , но ума правильно разрулить поднимаемое следом ппое по 340 влану не получалось ( поднялось , ипишник получил , гугл пингуется и т.д) но срулить правильно с маскарадом - никак , если наоборот - поднял по визарду ппое - все ок , но тогда с соединением по 500 влану никак . На тек момент наваял - но просьба просмотреть творение , проверять приходится на живой системе и к сожалению моему поздно по времени , хотелось бы устранить найденные косяки , а не стучать лбом :) Буду очень благодарен за помощь