podelnuk
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
[more] Всем здравствуйте! Кто может помочь подтолкнуть на истинный путь. Бьюсь который день уже! Есть два провайдера с белыми статическими IP. Задача организовать простейшее резервирование каналов, с возможностью доступа к локальному web серверу, rdp серверу по двум каналам одновременно.
Подробнее ниже:
Mikrotik RB2011iL OS 6.34.3
ISP1: Провайдер 1
ip: 195.58.XX.125/30
gw: 195.58.XX.126
ISP2: Провайдер 2
ip: 217.XX.178.36/28
gw: 217.XX.178.33
Локальная сеть
ip: 10.0.0.4/24
1. Присвоил IP адреса на роутере:
> ip address print
# ADDRESS NETWORK INTERFACE
0 10.0.0.4/24 10.0.0.0 eth2_LAN
1 ;;; insis
217.XX.178.36/28 217.XX.178.32 ether7_ISP2
2 ;;; beeline
195.58.XX.125/30 195.58.XX.124 ether6_ISP1
2. Прописал маршруты:
> ip route print
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 217.XX.178.33 1
1 S 0.0.0.0/0 195.58.XX.126 5
2 ADC 10.0.0.0/24 10.0.0.4 eth2_LAN 0
3 ADC 195.58.XX.124/30 195.58.XX.125 ether6_ISP1 0
4 ADC 217.XX.178.32/28 217.XX.178.36 ether7_ISP2 0
Соответственно ISP2 основной канал (distance 1), ISP1 - резервный (distance 5)
Хотел провести проверку доступности роутера по обеим адресам.
С внешнего адреса, основной канал ISP2(217.XX.178.36) пингуется нормально.
Резервный канал ISP1(195.58.XX.125), с большим параметром dictance - не пингуется.
Казалось бы все нормально так и должно быть.Ведь в данный момент работает маршрут именно по умолчанию ISP2.
НО, когда я меняю местами каналы, т.е. ISP1 - основной ISP2 - резервный
> ip route print
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 S 0.0.0.0/0 217.XX.178.33 5
1 A S 0.0.0.0/0 195.58.XX.126 1
2 ADC 10.0.0.0/24 10.0.0.4 eth2_LAN 0
3 ADC 195.58.XX.124/30 195.58.XX.125 ether6_ISP1 0
4 ADC 217.XX.178.32/28 217.XX.178.36 ether7_ISP2 0
В такой ситуации пингуются оба канала - ISP1 и ISP2.
И в этом случае мне совершенно не понятно почему доступен пинг по резервному каналу???
Правила файрвола по всем цепочкам пустые
Пошёл дальше.
Принял решения маркировать пакеты по интерфейсам, чтобы можно было извне заходить по терминалу и/или на сайт по двум каналам.
Первое что я сделал, это утстановил метки в firewall Mangle:
> ip firewall mangle print
0 chain=prerouting action=mark-connection new-connection-mark=to_ISP1 passthrough=yes connection-state=new in-interface=ether6_ISP1
1 chain=prerouting action=mark-connection new-connection-mark=to_ISP2 passthrough=yes connection-state=new in-interface=ether7_ISP2
2 chain=output action=mark-routing new-routing-mark=rt_ISP1 passthrough=yes connection-mark=to_ISP1
3 chain=output action=mark-routing new-routing-mark=rt_ISP2 passthrough=yes connection-mark=to_ISP2
Затем добавил маршруты с метками to_ISP1 и to_ISP2 соответственно. Полная таблица маршрутизации выглядит так:
> ip route print detail
0 A S dst-address=0.0.0.0/0 gateway=195.58.XX.126 gateway-status=195.58.XX.126 reachable via ether6_ISP1 distance=5 scope=30 target-scope=10 routing-mark=rt_ISP1
1 A S dst-address=0.0.0.0/0 gateway=217.XX.178.33 gateway-status=217.XX.178.33 reachable via ether7_ISP2 distance=1 scope=30 target-scope=10 routing-mark=rt_ISP2
2 A S dst-address=0.0.0.0/0 gateway=217.XX.178.33 gateway-status=217.XX.178.33 reachable via ether7_ISP2 distance=1 scope=30 target-scope=10
3 S dst-address=0.0.0.0/0 gateway=195.58.XX.126 gateway-status=195.58.XX.126 reachable via ether6_ISP1 distance=5 scope=30 target-scope=10
4 ADC dst-address=10.0.0.0/24 pref-src=10.0.0.4 gateway=eth2_LAN gateway-status=eth2_LAN reachable distance=0 scope=10
5 ADC dst-address=195.58.XX.124/30 pref-src=195.58.XX.125 gateway=ether6_ISP1 gateway-status=ether6_ISP1 reachable distance=0 scope=10
6 ADC dst-address=217.XX.178.32/28 pref-src=217.XX.178.36 gateway=ether7_ISP2 gateway-status=ether7_ISP2 reachable distance=0 scope=10
В NAT указал правило маскарадинга, и пробросил 80 порт через два внешних интерфейса, на внутренний адрес
> ip firewall nat print
0 chain=srcnat action=masquerade src-address=10.0.0.0/24
1 chain=dstnat action=dst-nat to-addresses=10.0.0.25 to-ports=80 protocol=tcp in-interface=ether7_ISP2 dst-port=80
2 chain=dstnat action=dst-nat to-addresses=10.0.0.25 to-ports=80 protocol=tcp in-interface=ether6_ISP1 dst-port=80
Запрещающих правил никаких не устанавливал, цепочки INPUT,FORWARD пустые
В итоге что имеем:
1. В случае если ISP1 (195.58.XX.125) основной, то пингуются оба канала. Сайт доступен по обоим каналам. Проброс портов работае как надо.
2. Если ISP2 (217.XX.178.36) основной, пингуюся также два канала. Но сайт доступен только по основному - ISP2.
Почемуто не работает проброс портов по резервному каналу, если основной - ISP2
WinBox, и web конфигуратор микротика работают в обоих случаях, т.е я так понимаю что до самого интерфейса трафик доходит в любом случае.
Подскажите как решить проблему с пробросом портов в этом случае??? |
