Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Mikrotik 2011UiAS-2HnD - Konfiguracja dwóch bram w jednej podsieci (DHCP)

02 Dec 2014 15:30 2895 22
  • Level 34  
    Generalnie sprawa wygląda tak:
    Mam dwa routerboardy, które są bramkami. Jeden ma uruchomiony serwer DHCP, przydziela adresy statycznie. Teraz potrzebuję zrobić tak, aby ten serwer przydzielał dwóm komputerom bramę - drugiego mikrotika. I tu mam problem - jak to zrobić?
    Łopatologicznie:
    Jeden mikrotik: 192.168.1.1
    Drugi mikrotik: 192.168.1.254
    Wszystkie komputery dostają bramkę 192.168.1.1. Potrzebuję aby dwa komputery dostały bramkę 192.168.1.254.
    Komputery muszą być w jednej sieci ze względu na udostępnianie plików, i pracę z drukarkami sieciowymi.
  • Level 43  
    IMO - Statyczna konfiguracja IP na tych dwóch wyjątkowych komputerach

    Próbuj Przez DHCP w MT, ale wszystkie DHCP przydziały z bramą muszą być x.1 muszą być statyczne (po mac-u)
  • Level 34  
    Statyczna konfiguracja odpada.
    Przydziały w DHCP są wszystkie statyczne. Nie widzę nigdzie opcji zmiany bramy w DHCP server. Cały czas przydziela z ustawień w "Networks". Już kombinuję nad wycięciem ruchu DHCP przez filtry, i uruchomieniem drugiego serwera DHCP na 192.168.1.254.
  • Level 38  
    Świr wrote:
    Statyczna konfiguracja odpada.
    Przydziały w DHCP są wszystkie statyczne. Nie widzę nigdzie opcji zmiany bramy w DHCP server. Cały czas przydziela z ustawień w "Networks". Już kombinuję nad wycięciem ruchu DHCP przez filtry, i uruchomieniem drugiego serwera DHCP na 192.168.1.254.

    Nie tedy droga.
    Rozwiazaniem jest Mangle.
    Oznaczasz ruch od dwoch wyjatkowych komputerow ktore maja pojsc na druga brame.
    Mikrotkiku masz dwie bramy, ale ta druga bedzie dzialac tylko dla zamarkowanego ruchu.

    marcin
  • Level 34  
    Nie jestem obryty w Mangle. Na razie zrobiłem to przez włączenie dwóch DHCP (192.168.1.1 i 192.168.1.254) i filtrem odciąłem ruch na portach 67 i 68 pomiędzy urządzeniami.
  • Level 38  
    Świr wrote:
    Nie jestem obryty w Mangle. Na razie zrobiłem to przez włączenie dwóch DHCP (192.168.1.1 i 192.168.1.254) i filtrem odciąłem ruch na portach 67 i 68 pomiędzy urządzeniami.

    Tam nie ma co obrywac. Przeszukaj na trzepak.pl postow usera ko20. Pisalem komus jak to dokaldnie zrobic krok po kroku. Trwa to pare minut.
  • Level 43  
    Kolega m.jastrzebski ma rację, poprawnie to należy zrobić przez policy based routing.

    Quote:

    /ip firewall mangle
    add action=mark-routing chain=prerouting comment="route via wan2" \
    dst-address-list=!local-net dst-address-type="" in-interface=szkola \
    new-routing-mark=wan2

    /ip route
    add distance=1 gateway=10.46.0.1 routing-mark=wan2


    poprawny mangle sobie wyklikasz do twojego przypadku, to jest mój przykładowy.
  • Level 34  
    Zrobiłem to wg sposobu opisanego na trzepaku. A więc:
    Firewall > Mangle
    Chain prerouting
    SRC address 192.168.1.151 (adres jednego z komputerów, który ma wychodzić drugą bramą)
    Action - mark routing.
    New Routing Mark przekierowanie_bramy>WAN2

    Dalej IP>Routes:
    Nie pojawił mi się wpis z Routing Mark. Dodałem go ręcznie.
    Dst. Address: 0.0.0.0/0
    Gateway: 192.168.1.254
    Routing Mark: przekierowanie_bramy>WAN2

    Niestety - nie przekierowało ruchu na WAN2.
  • Level 43  
    /ip firewall mangle export

    /ip route export

    Dodano po 1 [minuty]:

    a także
    /ip route print
  • Level 34  
    /ip firewall mangle export
    # dec/02/2014 18:35:34 by RouterOS 6.18
    # software id = GYTR-8D0C
    #
    /ip firewall mangle
    add action=mark-routing chain=prerouting in-interface=vlan_LAN \
    new-routing-mark=przekierowanie_bramy>WAN2 passthrough=no src-address=\
    192.168.1.151

    /ip route export
    # dec/02/2014 18:37:11 by RouterOS 6.18
    # software id = GYTR-8D0C
    #
    /ip route
    add distance=1 gateway=192.168.1.254 routing-mark=przekierowanie_bramy>WAN2
    add distance=1 gateway=46.x.x.x
    add disabled=yes distance=1 gateway=192.168.1.5

    /ip route print
    Flags: X - disabled, A - active, D - dynamic,
    C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
    B - blackhole, U - unreachable, P - prohibit
    # DST-ADDRESS PREF-SRC GATEWAY DISTANCE
    0 A S 0.0.0.0/0 192.168.1.254 1
    1 A S 0.0.0.0/0 46.x.x.x 1
    2 X S 0.0.0.0/0 192.168.1.5 1
    3 ADC 46.x.x.x/29 46.x.x.x bridge_WAN 0
    4 ADC 192.168.1.0/24 192.168.1.1 bridge_LAN 0
  • Level 43  
    Wszystko w mangle pokazałeś ? nie masz tam jakiś regułek wcześniej które robią passthrough=no i dlatego nie chododzi do twojej regułki ?

    Dodano po 51 [sekundy]:

    "przekierowanie_bramy>WAN2" może użyj prostego identifikatora, tylko litery i cyfry.
  • Level 34  
    Jeszcze raz mangle:

    [admin@MikroTik_bramka] /ip firewall mangle> /ip firewall mangle export
    # dec/02/2014 19:45:41 by RouterOS 6.18
    # software id = GYTR-8D0C
    #
    /ip firewall mangle
    add action=mark-routing chain=prerouting in-interface=vlan_LAN \
    new-routing-mark=WAN2 passthrough=no src-address=192.168.1.151
    [admin@MikroTik_bramka] /ip firewall mangle>

    Identyfikator już zmieniłem.
  • Level 43  
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=wan2 to-addresses=0.0.0.0

    Czyli pakiety wychodzące przez wan2 trzeba jeszcze zamaskowac IP wan2 routera.
  • Level 34  
    Ale po co? Na drugim routerboardzie jest włączony NAT.
    Problem nie jest w maskowaniu, tylko regułka nie przekierowuje pakietów na drugą bramkę. Komputer z IP 192.168.1.151 internet ma, z tym że wychodzi on przez bramkę 192.168.1.1 a nie 254.
  • Level 43  
    Ops, ale wtopa, policy based routing nie będzie działać ponieważ masz nie przekierowanie na wan2 RB1 ale inny router !!

    Aby to działało trzeba by podłączyć RB2 do RB1 jako wan2 interface.

    Czyli kompy widza tylko RB1 ale ruch idzie RB1.wan1 lub RB2.wan2 w zależności od ustawień, chcesz/możesz/dasz tak rady to ustawic ?
  • Level 34  
    Hehe :)
    Na upartego dałoby radę - musiałbym robić jeszcze VLANy, albo EoIPy, a wolałbym uniknąć targania pakietów po wewnętrznej sieci. Chodzi o to, że są dwa łącza DSL. Jeden jakiś tam zwykły 10Mbps, a drugi z podwyższonym uploadem do 8Mbps. Z tego zwykłego komputery korzystają aby mieć internet itp itd, a drugie łącze o wyższym uploadzie ma zapewnić komunikację ze światem dla dwóch serwerów. Stąd też dwa MT. Może jednak zostanę przy dwóch niezależnych DHCP i filtrach wycinających ruch pomiędzy nimi? Może będzie to mniej awaryjne rozwiązanie?
  • VIP Meritorious for electroda.pl
    Nie możesz uruchomić drugiego łącza na tym samym miktroiku - będzie dużo prościej to zrobić.
  • Level 34  
    Jedno łącze od drugiego jest oddalone o jakieś 150 metrów. A jak już wyżej napisałem - nie chcę tunelować łącza dla serwerów. Zostanę przy dwóch DHCP i filtrze. Działa to jak należy, więc już nie będę kombinował.
  • Level 43  
    Masz tam vlany na switchu ? pewnie byś spiał te dwa RB vlanem bez tuneli.
    Daj schemat sieci.
  • Level 34  
    Mikrotik 2011UiAS-2HnD - Konfiguracja dwóch bram w jednej podsieci (DHCP)

    Tak to mniej więcej wygląda. Pominąłem drukarki sieciowe (dwie podłączone do RB1, i jedna do RB2, oraz NAS podłączony do RB1). Ale nie będę już grzebał - w tej chwili cała instytucja już działa, i na razie nie ma możliwości odłączenia serwerów. Chociaż chętnie poczytam jak by to można rozwiązać. Być może w przyszłości łącze WAN2 będzie przeniesione do budynku gdzie jest WAN1.
    VLANów działających w tej chwili nie mam.
  • VIP Meritorious for electroda.pl
    Ustaw na połączeniu między routerami dodatkowo VLAN - za jego pomocą przerzucisz ruch do serwerów.
  • Level 43  
    Mi Trudno się rozeznać w schemacie fizycznych połączeń

    Czy <=> oznacza fizyczne połączenie czy logiczne ?

    Jak masz switcha zarządzalengo z vlan-ami i wszystko (routery, komputery, serwery) wpięte do switcha to możesz ustawić pożadaną konfigurację (gdzie komputery widzą tylko RB1, RB1 ma dwa wan-y, jeden WAN1 drugi link do RB2)
  • Level 34  
    mbo wrote:
    Ustaw na połączeniu między routerami dodatkowo VLAN


    Zgadzam się - już pomyślałem o tym. Tylko nie przerzucam ruchu z serwera do RB1, a przerzucam DHCP z RB1 do komputerów podłączonych w RB2. Poza tym na jednym i drugim RB jest włączony filtr wycinający DHCP.

    bogiebog wrote:
    Czy <=> oznacza fizyczne połączenie czy logiczne ?


    To połączenie fizyczne (w nim jest VLAN przerzucający DHCP dla komputerów z RB1).
    VLAN uruchomiłem przed chwilą i ten patent spisuje się świetnie.

    bogiebog wrote:
    możesz ustawić pożadaną konfigurację (gdzie komputery widzą tylko RB1, RB1 ma dwa wan-y, jeden WAN1 drugi link do RB2)

    Tylko wtedy działanie RB2 byłoby uzależnione od RB1. Teraz mogą pracować niezależnie. Przy awarii RB1 stacje robocze umieszczone w filiach będą mogły pracować.