روت کردن کاربران به Gateway های مختلف در میکروتیک

خواهش میکنم.

خوشحالم که بدون مشکلی انجام شد و در حال کار کردن هست

به نظرم یه قسمت از کانفیگی که انجام دادم مشکل داره چون کلاینت‌ها خیلی راحت از شبکه و اینترنت استفاده می‌کنند ولی از داخل روتر نمی‌تونم پینگ به سمت اینترنت بگیرم و با پیغام no route to host مواجه می‌شم. در واقع الان که قصد دارم از سرویس DNS روتر استفاده کنم چون خود روتر اینترنت رو نمی‌بینه DNS با آی‌پی روتر روی کلاینت‌ها کار نمی‌کنه (فعلا به جای اون از 8.8.8.8 استفاده کردم). ممنون می‌شم راهنمایی بفرمایید.

/ip address
add address=192.168.127.2/24 comment=ISP1 interface=ether6 network=192.168.127.0
add address=172.20.16.2/24 comment=ISP2 interface=ether7 network=172.20.16.0
add address=192.168.10.1/24 comment=LAN interface=ether1 network=192.168.10.0
/ip firewall address-list
add address=192.168.10.100 list=User-ISP2
add address=192.168.10.101 list=User-ISP1
add address=192.168.10.0/24 list="LAN Network"
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list="!LAN Network" \
    in-interface=ether1 new-routing-mark=LAN-ISP2 passthrough=yes \
    src-address-list=User-ISP2
add action=mark-routing chain=prerouting dst-address-list="!LAN Network" \
    in-interface=ether1 new-routing-mark=LAN-ISP1 passthrough=yes \
    src-address-list=User-ISP1
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT for ISP1" out-interface=\
    ether6 src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="NAT for ISP2" out-interface=\
    ether7 src-address=192.168.10.0/24
/ip route
add comment="LAN to ISP2" distance=1 gateway=172.20.16.1 routing-mark=\
    LAN-ISP2
add comment="LAN to ISP1" distance=1 gateway=192.168.127.1 routing-mark=\
    LAN-ISP1

متشکر از راهنماییتون

خیلی کنجکاو شدم بدونم ترافیک مربوط به خود روتر (یعنی ترافیکی که احتمالا ورودیش از اینترفیس‌های فیزیکی نیست) چطور قابل تفکیک از ترافیک کلاینت‌ها است، در واقع راهی وجود داره که با فایروال (مثلا مانگل) ترافیک مربوط به روتر رو یه جوری تشخیص بدیم یا مارک کنیم؟ یا شاید بهتر باشه این طوری سوالم رو مطرح کنم با چه ویژگی‌هایی ترافیک روتر رو میشه شناسایی کرد؟

با تشکر

سلام مجدد

ترافیک رو اگه بخوایم خیلی ریز واردش نشیم با ادرس مبدا و مقصد تفکیک میشه.یه قسمتی از پکت برای درج ادرس مبدا و مقصد استفاده میشه و در واقع از همونجاست که تحویل گیرنده و تحویل دهنده بسته ها مشخص میشن.

حالا در مورد روتر هم به طور کلی همینطور هست.یعنی ترافیک میتونه از مبدا روتر باشه یا به مقصد روتر.برای ترافیکهای روتر chain های input و output وجود دارند که میشه بر اساس اونها تصمیم گیری کرد.ولی در نهایت اینترفیس فیزیکی هم درگیر ماجرا خواهد بود.فقط یه مورد در حال حاضر به ذهنم میرسه که ترافیک روتر کاری به اینترفیس نداشته باشم اونم اینکه داخل خود روتر از خود روتر پینگ بگیریم :))

نه موردی نداره چون در یک زمان از یک گیت وی میتونه استفاده کنه برای همین مابقیش رو غیرفعال نگه میداره.شما میتونین به گیت وی هاتون اولویت بدین.با تغییر Distance میتونین بگید که میخوام گیت وی اصلیم کدوم باشه.عدد کمتر اولویت بالاتر داره و بنظرم این اولویت رو ایجاد کنید.

حالا برای اینکه کار بهتر هم بشه از ابزار Netwatch میکروتیک استفاده کنید که اگه یه وقت اینترنت گیت وی اصلیتون قطع شد خودش اتوماتیک بره روی گیت وی بعدی.چون در حالت عادی با غیرفعال شدن(دستی یا مثلا کشیده شدن کابلش) یک گیت وی، بعدیش فعال میشه و چون شما در واقع دارید از روتر به عنوان DNS Server هم استفاده میکنین لازم هست که خود روتر همیشه اینترنت داشته باشه.بهش میگن Failover کردن و پیاده سازیش هم راحته و بد نیست که برای دو تا از خط هاتون اینکار رو انجام بدین.توی سایت اموزشش هست اگه پیداش نکردین یا توضیحی لازم بود بپرسید در خدمتتون هستم.

در مورد قسمت دوم شما روی ether1 سرویس DHCP رو راه انداختید.به منوی Intefaces برید و روی ether1 دابل کلیک کنید یه قسمت داره به اسم ARP.اون رو بزارید روی reply-only

ممنون از راهنمایی شما دوست عزیز

اگر تغییری در IP های لوکال و سابنت‌ها ایجاد نکنم و فقط از Firewall -> Address List اون‌ها رو گروه بندی کنم باز هم امکان استفاده از روش پیشنهادی شما رو دارم؟

با تشکر

این کانفیگی که قرار دادین روت کم داره واسه همین هست که برای پینگ 8.8.8.8 پیغام no route to host رو نشون میده.

شما ترافیک مربوط به کلاینهاتون رو روت کردین ولی برای مابقیه ترافیکها روتی تعیین نشده که کجا و از کدوم اینترفیس به عنوان Gateway خارج بشن.برای همین اینجا فقط 10.100 و 10.101 و یا هر کلاینت دیگه ای که روتینگ مارک رو داره میتونه به اینترنت وصل بشه.

بایستی به تعداد خطوط اینترنتی که دارید روت معمولی(بدون روتینگ مارک) بنویسید.یعنی یکبار 0.0.0.0/0 رو به سمت 172.20.16.1 بفرستید.بعدش 0.0.0.0/0 رو به سمت 192.168.127.1 بفرستید و الی آخر.

در آخر دو تا سوال دارم برای اطلاعات خودم.شما اینترنت هاتون چیه و از چه طریقی به وارد روتر کردین؟یعنی ADSL دارید یا از طریق لینک وایرلس و ... ؟ و اینکه ایا مودم رو بریج کردین و روی روتر کانکشن ساختید و ...؟

در خصوص اینکه فرمودید به تعداد ISP ها باید روت معمولی بنویسم فقط یکی از روت‌ها Active میشه و بقیه اکتیو نیست از این بابت مشکلی پیش نمیاد؟

این قسمت متوجه نشدم که فرمودید در تنظیمات اینترفیسی که DHCP راه اندازی شده ARP رو روی reply-only بذارید. در واقع پیدا نکردم.

آهان.ممنون

بله معمولش این هست که مودم بریج باشه چون اگه سرویس هایی داخل شبکه باشه بریج بودن مودم کار رو ساده تر میکنه و دیگه لازم نیست یه بار روی مودم هم پورت فوروارد انجام بشه ولی منعی هم نداره کاری که شما کردید

اون روشی که پرسیدین من تست نکردم تا حالا ولی فکر میکنم مشکل ساز بشه برای کار و جواب نده.یه موقعی خواستین تست کنین اول یه بک آپ بگیرید از تنظیمات که اگه یه موقع دسترسیتون به روتر بسته شد بتونین برگردونین تنظیمات رو و وقتتون صرفش نشه

برای رفع مشکلتون راه ساده تری هم هست.شما روتها رو بنویسید ولی از ARP کمک بگیرید.توی IP---->ARP لیستی از سیستمهاتون و مک اونها هست اگه هم نبود از اون سیستم یه پینگ بگیرید به این لیست اضافه میشه.هر کدوم رو نیاز دارید با کلیک راست به استاتیک تبدیل کنید و اونایی که لازم نیست رو حذف کنید.بعدش هم توی تنظیمات اینترفیسی که DHCP روی اون راه اندازی شده وارد بشید و قسمت ARP رو بزارید روی reply-only.

با اینکار اگه سیستم جدیدی هم وارد بشه چون مک و IP منطبق با اون مک در اینجا براش تعریف نشده دسترسی نخواهد داشت.حتی با عوض کردن IP، با IP که در این لیست تعریف شده هم امکان دسترسی براشون فراهم نمیشه چون روتر به این جدول نگاه میکنه و فقط به کلاینتهای تعریف شده جواب میده

سلام

دوستان مطالب را مطالعه کردم  ولی یک سوال داشتم که در چت های شما تا آخر رفتید ولی نتیجه را ننوشتید

اگه بتونید به این سوال هم جواب بدید کمک بزرگی میکنید

دو اینترنت دارم که یکی ای پی استاتیک داره و دیگری ایپی استاتیک نداره

برای کلاینت ها و دیوایس های شبکه failover  راه اندازی شده و با  netwacth در صورت قطعی یکی از اینترنت ها ، اتومات میره سراغ بعدی و defaultrout تغییر می کنه

مشکلی که دارم اینه که وقتی روتر و کلاینت ها داره از اینترنتی که بدوی آی پی استاتیک هست استفاده می کنه،  نمی تونم به صورت اینترنتی به خود میکروتیک دسترسی بگیرم. مثلا نمی تونم  اینترنتی به وینباگس وصل بشم( چون اینترنت ای پی استاتیک نداره)

چه طور می تونم طوری تنظیم کنم که در حالی که failover داره کارش رو انجام میده، به خود مودم همیشه فقط با یک اینترنت ثابت دسترسی داشته باشم و با اون پای پی استاتیک وصل بشم

احتمالا باید با  mangle باشه ولی نتونستم تنظیم دقیق را پیدا کنم

ممنون می شم راهنمایی بفرمایید

در خصوص سوال شما عرض کنم دو لاین ADSL و یک رادیو داریم که کانکشن pppoe روی مودم تعریف شده، هر چند شنیدم معمول هست که مودم رو روی حالت bridge قرار میدن و اطلاعات کانکشن رو درون روتر تعریف می‌کنن. البته نیاز اصلی با رادیو برطرف می‌شه ولی به خاطر اینکه رادیو گاها قطعی داره از ADSL به عنوان بکاپ استفاده می‌کنیم.

در مورد توضیحاتتون مجددا تشکر می‌کنم.

نوشتن روت معمولی ممکنه باعث این بشه که دیوایس‌های جدید با گرفتن آی‌پی از dhcp به اینترنت دسترسی پیدا کنند و به صورت خودکار به اینترنت متصل بشن مثل افرادی که بدون هماهنگی لپتاپ شخصی رو به شبکه متصل می‌کنن.

آیا این امکان هست که به جای نوشتن روت معمولی آی‌پی اینترفیس‌های روتر رو در یک address list جدید قرار بدم و به کمک mangle و مارکینگ، ترافیک خود روتر رو توسط یک روت جدید به مقصد 0.0.0.0./0 و gateway مورد نظر عبور بدم؟ این امکان هست که به این روش بتونم ترافیک مربوط به خود روتر و سرویس‌های مربوطه مثل DNS رو مارک و بعد روت کنم؟

بسیار عالی بود. به خوبی کار می‌کنه

ممنون از توضیحات شما

بسیار ممنون از توضیحات خوبتون

در حال اجرای این روش هستم اگر به مشکلی برخوردم مزاحمتون میشم.