mikrotik-2Канала -BGP-Nat

[max_m 92]

Незнаю может это изврат но суть проблемы такова:

1) Есть локальная сеть вида 10.10.10.Х/24

2) Биллинг.

3) Mikrotik маршрутизатор.

4) Блок PI адресов к примеру (88.88.88.0/24)

5) 2-Канала BGP разные провайдеры, 1-й канал по BGP получаем 0.0.0.0/0 ,2-й канал получаем UA-IX.

 

Внизу схема в файле 11-07-2011-BGP...

 

 

1-й вариант клиент 10.10.10.5 проходит через биллинг (роутингом) далее попадает на (Mikrotik), а там в зависимости от вида траффика (мир)Натит за (55.55.55.2/30)или(ua-ix)Натит за (44.44.44.2/30).

2-й вариант клиент 88.88.88.130 проходит через биллинг (роутингом) далее попадает на (Mikrotik), а там в зависимости от вида траффика роутица в нужный канал (мир)или(ua-ix).

 

Все что выше описано уже работает !!!

 

Тут возникает вопрос как на Mikrotike создать что то на подобие виртуального интерфейса присвоить ему Ip 88.88.88.6/30 и создать вот такой маршрут:

Клиент 10.10.10.5 проходит через биллинг (роутингом) далее попадает на (Mikrotik), а там Nat на Ip 88.88.88.6/30 , а далее уже с Ip 88.88.88.6 роутингом в нужный канал (мир)или(ua-ix)...

 

Заранее спасибо, понимаю что схема нестандартная.

[spaul 69]

Вам нужно отметить пакеты в зависимости от Routing Table. А вообще то что вы хотите сделать абсолютно стандартная схема и должна работать по умолчанию. Маркировать нужно только в случае разных скоростей на мир и украину.

[mih 8]

Трохи не в тему.

Який Мікротік стоїть?

Скільки мегабіт/пакетів пропускає?

Скільки он-лайн користувачів?

Які в основному тарифні пакети?

Яка при цьому загрузка?

[max_m 92]

Вам нужно отметить пакеты в зависимости от Routing Table. А вообще то что вы хотите сделать абсолютно стандартная схема и должна работать по умолчанию. Маркировать нужно только в случае разных скоростей на мир и украину.

Или вы не правельно поняли или я не так описал суть проблемы.

 

Вариант клиент 10.10.10.5 проходит через биллинг (роутингом) далее попадает на (Mikrotik), а там в зависимости от вида траффика (мир)Натит за (55.55.55.2/30)или(ua-ix)Натит за (44.44.44.2/30).

 

Все что выше описано уже работает !!!

 

Но мне необходимо

Клиент 10.10.10.5 проходит через биллинг (роутингом) далее попадает на (Mikrotik), а там Nat на Ip 88.88.88.6/30 , а далее уже с Ip 88.88.88.6 роутингом в нужный канал (мир)или(ua-ix)...

 

В этой схеме не хватает интерфейса как его сделать ?

[max_m 92]

Трохи не в тему.

Який Мікротік стоїть?

Скільки мегабіт/пакетів пропускає?

Скільки он-лайн користувачів?

Які в основному тарифні пакети?

Яка при цьому загрузка?

Mikrotik OS Level 4

100-150 Mb/s

100 он-лайн

????

????

[varzoni 4]

Вы тут намудрили, поднимите внешний айпи, на vpn на конечном пользователе, да и всё раз у вас есть внешний блок айпи.

 

или создайте список сетей ua-ix и заверните на на Ip который под натом.

[max_m 92]

Вы тут намудрили, поднимите внешний айпи, на vpn на конечном пользователе, да и всё раз у вас есть внешний блок айпи.

 

или создайте список сетей ua-ix и заверните на на Ip который под натом.

Ничего мудреного, по схеме посмотрите. У меня сеть 88.88.88.128/25 пророучена через маршрутизатор и билиниг, мне необходимо занатить сеть 10.10.10.0/24 на маршрутизаторе (Mikrotik) за один из моих выделеных IP 88.88.88.6/30 но так что бы 88.88.88.6/30 работал роутингом через оба канала мир и ua-ix, в схеме они помечены. В обычном варианте я бы просто включил нат на биллинге и все, но тут необходимо на маршрутизаторе(Mikrotik)прописать что то наподобие третьего интерфейса как бы виртуального присвоить ему IP 88.88.88.6/30 заныкать за него подсеть 10.10.10.0/24 и выпустить в мир и ua-ix роутингом с моим вы деленым IP 88.88.88.6/30.

Обе подсети 10.10.10.0/24 и 88.88.88.128/25 проходят до маршрутизатора роутингом а далее сеть 88.88.88.128/25 роутица согласно таблицы маршрутизации полученой по BGP на мир и ua-ix, а сеть 10.10.10.0/24 проходя через маршрутизатор (Mikrotik) натиться за IP которые мне выдали вышестояшие провайдеры (мир)Натит за (55.55.55.2/30)или(ua-ix)Натит за (44.44.44.2/30). Для того что бы разрулить сеть 10.10.10.0/24 в необходимый канал мир или ua-ix мне приходиться содержать еще таблицу которую я получаю по BGP для сети 88.88.88.128/25 в адрес листе что не есть удобно, это во первых во вторых некоторые сайты некоректно работают с такой схемой та как при обращении к сайту который находиться в миру я свечусь с IP 55.55.55.2/30 но когда сайт перенаправляет мой запрос к ресурсу этого сайта который находиться в ua-ix я попадаю с IP 44.44.44.2/30 ресурс понимает что это неправильно и отклоняет мой запрос. Для Ip адресов из сети 88.88.88.128/25 такой проблемы нет так как в обоих случаях они светятся сo своими реальными IP, к примеру клиент с ip 88.88.88.130 что на мир будет светиться с этим ip что на ua-ix. Поэтому я и ищу как решить эту проблему, выдать всем клиентам сети 10.10.10.0/24 реальные IP не вариант и ставить между биллингом и маршрутизатором лишний НАТ нету желания.

[max_m 92]

Пример сайта который находиться в миру:

Трассировка маршрута к filmix.net [91.206.231.179]

с максимальным числом прыжков 30:

 

5 8 ms 7 ms 7 ms telemost-tr.ua-kiev.datagroup.ua [80.91.170.157]

 

6 51 ms 51 ms 48 ms Te8-1.1107.ar3.FRA4.gblx.net [208.48.238.5]

7 48 ms 50 ms 49 ms 64.209.110.98

8 107 ms 129 ms 144 ms cat09.Moscow.gldn.net [194.186.193.242]

9 59 ms 59 ms 59 ms te1-1.maxwell.msk.wahome.ru [195.239.10.202]

10 59 ms 59 ms 59 ms core.galantgroup.com [91.212.135.33]

11 58 ms 59 ms 59 ms mail.hostvar.ru [91.206.231.179]

Ресурс данного сайта находиться в UA-IX :

Трассировка маршрута к video-2.filmix.net [212.113.35.231]

с максимальным числом прыжков 30:

 

5 8 ms 9 ms 9 ms telemost-ua.ua-kiev.datagroup.ua [80.91.180.53]

 

6 8 ms 9 ms 8 ms utel-40G-gw.ix.net.ua [195.35.65.227]

7 * * * Превышен интервал ожидания для запроса.

8 60 ms 58 ms 55 ms 212.113.35.231.dc.ukrtelecom.ua [212.113.35.231]

 

Для наглядности!!!

Первые 4 прыжка убраны.

[max_m 92]

Всем спасибо, проблему решил как оказалось все намного проще и в тоже время никогда такого в голову не пришло еслиб не испытательный стенд ...

[pegas2012 1]

Всем спасибо, проблему решил как оказалось все намного проще и в тоже время никогда такого в голову не пришло еслиб не испытательный стенд ...

Подскажите, как вы решили эту проблему, сейчас аналогичная ситуация.

[sashok606 0]

+1

[Сергей Л 2]

Что значит +1 ?

[sashok606 0]

Как реализовать на routerOS разделяние на мир и ua-ix между двумя провайдерами?

 

Відредаговано 2018-02-23 11:12:18 sashok606

[lemosh 60]

3 часа назад, sashok606 сказал:

Как реализовать на routerOS разделяние на мир и ua-ix между двумя провайдерами?

 

Аплинков с. BGP?

[sashok606 0]

Пока один, но будет два

[dandul 42]

Доброго дня. Апну тему. Скажите пожалуйста знатоки mikrotik, реально ли нормально НАТить на свои анонсированные адреса на одной машине с BGP.

[Dimkers 1 600]

Т.е. НАТ+БГП на одной железке? А почему это должно быть нереально?

[dandul 42]

39 минут назад, Dimkers сказал:

Т.е. НАТ+БГП на одной железке? А почему это должно быть нереально?

Та оно то работает, но такое ощущение что-то не так. Перечитал куча всего, вот выдержка одного из форумов: "Иначе получается, что когда вы натите - весь ваш трафик льется от имени IP адресов, которые прибиты на сетевой карте для организации BGP сессии. В данную схему все же требуется включить дополнительный роутер."

У меня настроен src-nat -> to address: x.x.x.x , для определенных серых адресов, адрес пингуется из инета, тот же спидтест показывает айпишку через которую натится, а tracert показывает, что уходит со стыка /30 подсетки с пиром. И собственно ощущение, что некоторые сервисы не правильно что-то понимают. К примеру Самсунг смартхаб тв некоторых моделей перестали работать у клиентов.

п.с. пиры бгп подняты для анонсов друг другу с вышестоящими магистралом. своей АС нету.

[KaYot 3 708]

23 минуты назад, dandul сказал:

вот выдержка одного из форумов: "Иначе получается, что когда вы натите - весь ваш трафик льется от имени IP адресов, которые прибиты на сетевой карте для организации BGP сессии. В данную схему все же требуется включить дополнительный роутер."

Это мнение какого-то дурня.

НАТ никак не связан с маршрутизацией, и тем более BGP-сессиями. Нет никаких ограничений по использованию на 1 железке BGP и NAT.

Проблемы у вас скорее из-за того что часть трафика бежит через пиринги куда-то не туда, или натится при этом в другие адреса.

[KaYot 3 708]

Ну, или что еще более вероятно,  для snat забыт ключик persistent. Не знаю как оно в MT ставится. Как раз такие симптомы и бывают, вроде все работает, но часть сервисов глючит.

[Matou 83]

2 часа назад, dandul сказав:

а tracert показывает, что уходит со стыка /30 подсетки с пиром

Так правильно он вам показывает - ибо это и есть первый маршрутизатор на пути следования пакета.

[dandul 42]

1 час назад, Matou сказал:

Так правильно он вам показывает - ибо это и есть первый маршрутизатор на пути следования пакета.

да, то я что-то туплю

[dandul 42]

Более детально опишу, когда появился трабл. Может я лишнее кипишую, и это просто где-то адреса самсунга попали в бан или наши у них забанили, потому как не у всех, а возможно опять какой-то "тизенос", было несколько лет назад, прошло само. И это совпадение по времени. У нас раньше было два аплинка от разных провайдеров, которые оба выгребались.  Иногда добавлялись третий, четвертый от партнеров-коллег, когда что-то падало в марте-апреле по прилетам, но основные два. Один давал /27. Стыки были просто через /30 подсети. Все прекрасно работало с помощью мангл, нат, роут, марк-коннекшн, марк-роутинг и т.д.. При падении одного переключалось и все такое. Стало нам мало канала, расширили один канал до 10тки, отключили второй, и подняли с расширенным линк через второе направление. Подняли с ним БГП по основной линии, пир established, но пров не гасил старый статик маршрут через /30 подсеть, пока я "докуривал" BGP.  Анонсы /27-х подсетей улетели, я погасил все манглы, роуты, которые были, потому как второй пир просто как резерв должен быть по другому направлению, и маркировать трафик собственно не нужно, адреса на интерфейсах остались, создал несколько src-nat-> to address, пров погасил старый статистический маршрут, и трафик полился через первый пир BGP. Все вроде бы заработало, но вылезли траблы с самсунг. Потом у нас что-то не поднимался второй пир, по поколдовали, и пир2 established. Анонсы анонсятся, при падении переключает, все норм, но ...

Правила нат стандартные такого вида:
      chain=srcnat action=src-nat to-addresses=9.9.3.66
      src-address-list=nat out-interface-list=WAN log=no log-prefix=""

п.с. сори за много букв

[dandul 42]

4 часа назад, KaYot сказал:

Ну, или что еще более вероятно,  для snat забыт ключик persistent. Не знаю как оно в MT ставится. Как раз такие симптомы и бывают, вроде все работает, но часть сервисов глючит.

Почитаю, спасибо.