Резервирование канала и правильный проброс портов в маршрутизаторах Mikrotik
Vložit
- čas přidán 28. 03. 2018
- В данном видео рассказывается как подключить резервный канал интернета, о группировке интерфейсов и правильном пробросе портов.
Добавление провайдера 0:17
Автоматическое переключение каналов 2:25
Проброс портов 5:19
UPnP 11:11 - Věda a technologie
Входящий на наш роутер пакет имеет IP адрес источника (source) и IP адрес назначения (destination).
Входящий пакет знает о внешний адресе нашего роутера и ничего не знает о локальных адресах роутера.
Предположим что мы хотим этот пакет перенаправить на сервер в локальной сети, который имеет локальный адрес.
Что нам нужно сделать? Догадайтесь с первого раза! Конечно! Поменять адрес назначения - destination address.
А какая цепочка меняет адрес назначения? Правильно, она так и называется - dstnat.
Chain: dstnat - цепочка для внешних пакетов поступающих внутрь NAT сети
Условия при которых действия будут предприняты (если все условия совпадут):
Protocol: tcp
Dst. Port: 880 - порт назначения
In. Interface: ether1 - входящий интерфейс
Действие (если пакет имеет протокол TCP, порт назначения 880 и защёл через ether1):
Action: dst-nat - поменять адрес и/или порт назначения
To Address: 192.168.88.253 - на какой адрес поменять
To Ports: 880 - на какой порт поменять
Сервер получит пакет и отправит в ответ свой пакет с адресом назначения и адресом источника
В адресе источнике он укажет свой локальный адрес.
Пакет вернётся обратно на роутер. Роутер сверится с таблицей.
И в той же самой цепочке, dstnat, произойдет обратное преобразование.
Но у ответного пакета поменяется адрес источника, как будто это ответил сам роутер, а не сервер из локальной сети.
Для чего нужна цепочка srcnat - ответ прост, для подмены локального адреса источника, если пакет выходит наружу.
Другими словами, если пакету не менять адрес источника то получатель во внешней сети получит пакет, но не сможет отправить ответ, так как не будет знать где искать отправителя.
2022г. Актуально как никогда. Только благодаря тебе смог решить поставленную задачу.
сделай пожалуйста ролик чтобы 2 провайдера работали одновременно для разных групп абонентов. к примеру: ISP1 предоставляет группе абонентов 1, а ISP2 предоставляет группе абонентов 2
На счет проброса порта 3389,там на нетмапе для внешнего адреса chain=dstnat должен быть а не srcnat иначе нифига работать не будет.А так зачетно!
молодец, внимательный :)
@Kameron Caiden I don't even know what Instagram is
Подписался, натыкал лайков)) спасибо за канал. Может, еще сделаете видео об организации туннелей между точками(офисами) на базе микротиков? С интересом посмотрел бы.
Спасибо) Как раз то что было нужно)
отличные обзоры!
Я ходил на курсы 4 дня. И за 18 минут я понял больше, чем на этих курсах. Спасибо автору.
Благодарю за высокую оценку моей деятельности)
Не понял, а заучил инструкцию. Курсы как раз учат понимать.
@@mike_ravenson понял то может и понял, только в видосе ТОННА ошибок
Хорошие видео по настройке! Если не сложно хотелось бы видео по настройки впн с разными вариантами подключения.
Есть такое видео) 4й выпуск (VPN и агрегирование портов)
спасибо ! Увидел
Парень ты отлично подготовил и изложил материал!
Делай больше видосов!
Где он правильный? ты вообще в курсе для чего netmap? правильный проброс делается через dst-nat
Добрый день. Или я что-то не понимаю, или Ваш скрип в нетвоче не отрабатывает. Дело в том, что в показанном примере просто сработало "переключение маршрута" по дистанции. Если бы сработал скрипт, то "задизабленый" маршрут д.б. сделаться "серым". Это легко проверяется в том-же винбоксе enable/disable на конкретном маршруте.
Здравствуйте, Михаил!
Проброс портов для RDP по Вашей инструкции не сработал (другие на использовал).
Вот как настраивал я:
Вкладка General
Chain: dstnat
протокол правильно
порт правильно, но я всегда использую нестандартный
In. Interface: выбираем наш интерфейс интернета
Applay
Вкладка Action
Action: dst-nat
To Addresses: IP адрес локального компьютера
To Ports: 3389
Applay
После такой настройки всё заработало.
При отвале линка у первого провайдера, пинг на 8.8.8.8 автоматом пойдет через первого. В таком случае лучше принудительно в файрволе запретить пинг 8.8.8.8 через ISP2. Ну и конечно же проверять второго провайдера тоже необходимо.
Если добавить доп маршрут на 8.8.8.8 (2:37) то дальнейших извращений не понадобится
@@mike_ravenson При падении линка, этот дополнительный маршрут станет не активным, даже если не включать механизм check gateway(а Вы включили) и трафик пойдет через второго провайдера.
1. В вашем примере netwatch не отработал, а отработал check gateway. Это видно по тому, что маршруты стали unreacheble, а не disabled. Более того, Ваша схема, из-за netwatch будет флапать каждую минуту в ситуации, когда шлюз активен, но 8.8.8.8 через этот шлюз не пингуются.
2. Как справедливо заметили выше, для публикации серверов наружу используется чейн dst-nat. И в Вашем случае action=dst-nat предпочтительнее netmap.
3. Вы плохо понимаете механизм Хаирпин NAT. В Вашем случае нет необходимости копировать три правила, достаточно указать одно:
/ip firewall nat add action=masquerade chain=srcnat src-address=172.17.1.0/24 out-interface=bridge_main
День добрый. Сделал резервирование канала по вашему совету. И выявилась такая проблемка. В IP->Route после перезагрузки образуется автоматический маршрут DAS и интернет отваливается, пока не удалишь его вручную. Это всегда происходит на соединения типа PPoE.
Скажите пожалуйста, а почему не через днс стат отражение к почтовому серверу сделали ?
11:16 меня заинтересовала именно последние минуты вашего видео. не как не получается нормально заработать мТорен. всё что там я увидел выполнил, зашёл вкладку NAT и там поднял верх появившиеся интерфейсы. вопрос такой, а надо ли что то настраивать фильтры фаервола Mikrotik? если надо то как это будет выглядеть правильном варианте?
Добрый день. UPnP достаточно, при апстриме он сам создаст нужные динамические правила (IP - Firewall - NAT).
Нужно так же учитывать, что провайдер должен давать "белый" IP. Если относительно провайдера Вы за NAT, то работать не будет.
@@mike_ravenson спасибо с этим разобрался. У меня теперь есть другая проблема и бес знающего человека не как. Для Cloudflare сгенерировал их утилитой WGCF (wgcf_2.2.16_windows_amd64.exe) конфигурационный файл wgcf-profile.conf под виндой wireguard хорошо работает, а вот на роутере Mikrotik запустить в работу не выходит, просто не хватает знаний, понимания и умения. Может вы сможете снять видео или написать инструкцию, как и что, куда там.
Добрый день! Спасибо за видео. Можно ли на микротике сделать сегментацию локальной сети на две -три подсети , созданием двух - трёх мостов(bridge)?
Для полноценного хардвэйр-оффлоуд, лучше делать бридж один (или по количеству коммутаторских чипов). А сегментацию вланами.
Можно ли с помощью данного устройства, создать 2ую подсеть и вывести туда всю айпи телефонию, если да, то не подскажите как ?
Без дополнительного оборудования, если нет, то что необходимо.
Добрый, подскажите по LAN кабелю камеру видно из интернета которая работает через облако хикконект, но когда подключаю камеру к роутеру по вай фай она не в сети, роутер MikroTik wAP LTE kit
ДОБРОГО ВРЕМЕНИ СУТОК Михаил как настроить микротик под модем второй день ищу инфу но везде такой бред что даже далекому человеку понятно сами браны таких же и учат но бестолку помогите пожалуйста
при переключении на второго провайдера проброс портов перестанет работать ведь вы зачем то указали внешний айпишник в правиле проброса)
В целом с моей стороны ошибкой было 2 темы запихивать в одно видео. По сути, нужно было бы либо делить на два маленьких, либо добавлять историю с цепочкой Mangle (а такой цели у меня не было изначально).
если оставить srcnat ругается "Couldn't change NAT Rule - incoming interface matching not possible in output and postrouting chains (6)" а с dstnat не работает
Здравствуйте, Михаил, огромное спасибо за Ваши труды!) У меня такой вопрос. Настроил переброс Wan каналом, переброс работает и туда и обратно, но вот сам интернет не подхватывается, только если перезагрузить микрот. Может я что-то упустил?
Кстати, netwatch работает не коректно. При падении одного из каналов (физическое отключение кабеля) mikrot автоматом перебрасывает на второй rout , а статус нетвотча остаётся UP .
Скиньте конфиг, гляну что не так
В winbox нажать кнопку терминал, ввести команду export.
Вывод можете прислать в ВК (m.vorontcov) либо на почту m.vorontcov(собака)arxotech.net
9:36 Разве правило маскарадинга под номером 0 не делает то же самое что и отдельные правила, но только для всех dst адресов, портов, протоколов? Для чего тогда отдельные правила?
Михаил, после выполнения проброса портов как обезопасить свою сеть от извне? Спасибо!
Задействовать адрес-лист если у пользователей белая статика, а иначе никаких пробросов, а только VPN!
немного поверхностно про двух провов, на нднях ка разкурю эту тему , пока 8ки не доабвли в фаревол они все равно пниговалсья через другйо провайдер хотя марушру тя сделал токо для первого , сорня за ошибки)))еще вопрос а ка же МАНГЛ нужен или нет??а то в некторых манах маркируют пакеты в других нет...
Есть тока вопрос вот можно пользоваться UPnP на обоих входящих портах?
Разумеется
Михаил
Ситуация следующая есть предприятие на нем две сети выход в инет в одной без прокси в другой через прокси но без логин пароля
подскажите ка настроите раздачу интернета в третью сеть.
Микротик RouterBOARD wAP 2nD r2
первая сеть
10.10.10
вторая
10.70.53.
третья
192.168.0
Так а в чем проблема?
@@mike_ravenson Проблема в том, что не могу понять как правильно это сделать. 1. в адресе прописываю все три сети, 2. настраиваю Wi-Fi. 3 Подключаю бридж - тут на моем компе с которого все делаю отваливаеться инет. 4. пытаюсь настроит Firewall тут для меня пока тёмный лес.
@@user-ib5yl3or2l зачем прописываете все три сети? И как? Или одна из сетей будет провайдером?
Могу настроить в частном порядке. vk.com/m.vorontcov
@@mike_ravenson Хотелось бы разобраться. В контакт зайду позже - редко пользуюсь не помню данные для входа.
В чем разница между действием netmap и dst-nat?
Lar4en существенно с точки зрения использования никакой. Фактический netmap это развитие dst-nat. Теоретически netmap должен работать быстрее, однако ни на одном роутере прироста скорости отмечено не было.
Спасибо. В описании из мануала тоже разницы не заметил. Для таких задачь использовал dst-nat, поэтому спросил.
Netmap будет работать с большими затратами. На MUM это подробно разжевали
@@mike_ravenson Разница между netmap и dst-nat есть, она заключается в том, что netmap прокидывает сети целиком, это нужно, когда объединяются два филиала с одинаковыми IP адресами. В таком случае используется подмена адресов подсетей. А dst-nat необходим именно для проброса портов. Поэтому если вам нужно только пробросить порт, не используйте netmap.
@@mike_ravenson netmap и dst-nat это разные вещи, 80% в интернете пишут что это улучшенная версию dst-nat, как попугаи и вы туда же. netmap нужен для объединения сетей с одинаковыми адресами. Если делаете обучающее видео проверяете себя на ошибки.
Как net-map? Не советую же его? Делаем Accept правило в цепочке Forward для нужно интерфейса. Во вкладке Nat делаем такое же правило dstnat с Action dstnat на нужный интерфес. По путно если это резервный канал был упущен маскарад и во вторых в мангле мы не промаркировали с какого интерфейса пришел пакет и соответственно в ройтинге не создали правила for forward incomming если мы уж заговорили о входящем трафике. Плюсом автор вот так вот "высунул в инет" то что ни один здравомыслящий админ не высунет - RDP. 10:19. А если правил 100? Есть же в адвансетах src list. Завтра мы соберемся переезжать в другую подсеть. Что делать? Менять везде адреса в каждом правиле?
Запоздал с ответом, но, как говорится, лучше поздно, чем никогда:
1. Маскарад был настроен на список интерфейсов (6:34)
2. По "выплёвыванию" RDP - для упрощения не меня dst-port, Вы, разумеется, вольны использовать любой другой. Напомню, это пример настройки, а не проповедь.
3. Если правил 100+ - то скорее всего вы опытный СА (со всякими корочками CCNA и т.д.), и вам вряд ли нужно смотреть данное видео.
Напомню, это видео для начинающих, а не для матёрых (хотя как напомниалка и для последних имеет место быть).
а как нету IP 2-го проадера, (не завели но надо нстроить).. ?
dhcp клиент?
10:13. Адрес подсети 172.1.1.0 -Опечатка? Должно быть 172.17.1.0
Зачем городить скрипты, если есть рекурсия ) на один из пров.
Для маршрута, который был получен от провайдер по DHCP коммент нельзя установить
Что мешает прописать руками?
Изложение ясное. Но зачем накладывать квакающий фон? Только раздражение от неуместности и неуважения к зрителю.
У меня такой стиль видео и изложения. Если Вам не подходит - то это не моя проблема.
Правильно говорить не микрОтик, а микротИк
Выбил мозги своим бумбоксом.
Первое --> убери музыку (если ты думаеш что кто то оценит ошибаешся). Второе побольше подробностей про то что ты делаеш! Фейковые аккаунты помогают ставить лайки, но это не на долго. Ставлю неуд.
А чё музыка такая тихая, мы ведь тут все собрались музычку послушать
Чем больше хорош интернет, так это тем, что всегда можно найти что то другое, если что то не нравится