Главная
Главная Руководства Роутеры Mikrotik › MikroTik, подключаемся к Ростелеком



Автор:

Статья опубликована: 2020-03-13 00:54:10
Последние правки: 2021-08-31 22:51:46

Статья третья. Подключаем в качестве второго провайдера Ростелеком на 4-м порту. Каждый клиент из LAN будет выходить в интернет через одного из провайдеров. Внимание! Настройку необходимо производить подключившись к LAN роутера, так как шаги, описанные в этой статье, могут привести к потере связи с роутером извне!

  • ether4

    Во второй статье мы подключились к Дом.ру на пятом порту, к Ростелекому будем подключаться на четвертом. Четвертый порт у нас в составе bridge1, а потому его надо оттуда предварительно удалить.
    Открывам "Bridge", вкладка "Ports", где из списка удаляем "ether4".





  • PPPoE Ростелеком

    - "PPP" -> "Interface" -> "Add New" -> "PPoE Client".



    Interfaces = "ether4". Задаем User и Password.



    Ждем, когда статус сменится на "connected".



    Готово! Мы подключились к провайдеру!

    В настройках каждого провайдера необходимо снять флажок "Add Default Route".
    Но помните, если вы планируете использовать DNS сервер роутера, а также проверять с него обновления, то маршрут по умолчанию необходим, нужно оставить галочку на предпочтительном провайдере, а в значение параметра "Default Route Distance" записать 2.

  • NAT

    - "IP" -> "Firewall" -> Вкладка "NAT" -> "Add New".

    - Chain = srcnat
    - Out.Interface = pppoe-out2
    - Action = masquerade

    Итого, у нас в списке должно быть два правила, для Дом.ру и Ростелекома.


  • Белые списки

    После настройки для Дом.ру у нас есть только белый список, где записаны ip-адреса тех устройств, которым можно в интернет. Теперь же мы сделаем два списка, где будут разрешенные ip для каждого из провайдеров. Один и тот же IP должен быть только в одном списке. Также, нам необходим список "LAN", где будет записана локальная подсеть.

    - "IP" -> "Firewall" -> Вкладка "Address Lists" -> "Add New".

    Делаем список с локальной подсетью.
    - Enabled = ON
    - Name = LAN
    - Address = 192.168.25.0/24 <- укажите свою подсеть

    Затем, каждый ip-адрес, которому можно в интернет, разносим по двум спискам, например, "LAN-TO-DOMRU" и "LAN-TO-RT"


  • Маршруты по умолчанию

    В PPPoE соединениях для обоих провайдеров мы сняли флажки для "Add Default Route" (если не сняли, то идите и снимите). И теперь у нас нет маршрутов по умолчанию. Добавим их руками. Обратите внимание, что для каждого маршрута задан свой "Routing Mark", в зависимости от провайдера.

    - "IP" -> "Routes" -> "Add New".







  • Маркировка маршрутов и соединений

    Для того, чтобы правильно маршрутизировать пакеты в первого или второго провайдера, мы будем использовать маркировку пакетов на основе списков адресов, которые мы создали на предыдущем этапе, а также маркировку соединений.

    - "IP" -> "Firewall" -> Вкладка "Mangle" -> "Add New".



    Mangle правило номер 0

    - Comment = LAN to ISP-DOMRU
    - Enabled = ON
    - Chain = prerouting
    - Src.Address List = LAN-TO-DOMRU
    - Dst.Address List = ! LAN
    - Action = mark routing
    - New Routing Mark = ISP-DOMRU <- помните, мы заводили маршрут по умолчанию для Дом.ру и промаркировали его как раз ISP-DOMRU

    Как работает: если устройство с ip из списка LAN-TO-DOMRU обращается не к ip из списка LAN (т.е., ломится в интернет), то маркируем этот пакет для отправки через маршрут для провайдера Дом.ру

    Mangle правило номер 1

    - Comment = LAN to ISP-RT
    - Enabled = ON
    - Chain = prerouting
    - Src.Address List = LAN-TO-RT
    - Dst.Address List = ! LAN
    - Action = mark routing
    - New Routing Mark = ISP-RT <- маршрут по умолчанию для Ростелекома, мы промаркировали его как ISP-RT

    Как работает: если устройство с ip из списка LAN-TO-RT обращается не к ip из списка LAN (об этом говорит включенный перед LAN восклицательный знак), то маркируем этот пакет для отправки через маршрут для провайдера Ростелеком.

    Следующие четыре правила нужны, если вы хотите гарантированно достучаться снаружи до админки своего роутера, и предназначены, чтобы пакеты, пришедшие от каждого провайдера, отправлялись ему же. У меня они отключены и хакеров ожидает своего рода лотерея.

    Mangle правило номер 2

    - Comment = input from ISP-DOMRU
    - Enabled = ON
    - Chain = input
    - In. Interface = pppoe-out1
    - Action = mark connection
    - New Connection Mark = FROM-ISP-DOMRU

    Как работает: если есть входящий пакет от провайдера Дом.ру, то маркируем соединение как "FROM-ISP-DOMRU".

    Mangle правило номер 3

    - Comment = to ISP-DOMRU
    - Enabled = ON
    - Chain = output
    - Connection Mark = FROM-ISP-DOMRU
    - Action = mark routing
    - New Routing Mark = ISP-DOMRU

    Как работает: все исходящие соединения, промаркированные как "FROM-ISP-DOMRU", отправляем по маршруту с меткой "ISP-DOMRU".

    Mangle правило номер 4

    - Comment = input from ISP-RT
    - Enabled = ON
    - Chain = input
    - In.Interface = pppoe-out2
    - Action = mark connection
    - New Connection Mark = FROM-ISP-RT

    Как работает: если есть входящий пакет от провайдера Ростелеком, то маркируем соединение как "FROM-ISP-RT".

    Mangle правило номер 5

    - Comment = to ISP-RT
    - Enabled = ON
    - Chain = output
    - Connection Mark = FROM-ISP-RT
    - Action = mark routing
    - New Routing Mark = ISP-RT

    Как работает: все исходящие соединения, промаркированные как "FROM-ISP-RT", отправляем по маршруту с меткой "ISP-RT".


  • Firewall



    Брандмауер. Настройки отличаются от настроек на одного провайдера.

    1, 2 - правила, запрещающие "неправильные" пакеты:
    - Chain = input
    - Connection State = invalid
    - Action = drop
    ----------
    - Chain = forward
    - Connection State = invalid
    - Action = drop

    3 - правило, разрешающее локальные интерфейсы:
    - Chain = Input
    - In.Interface = bridge1
    - Action = accept

    4 - правило, разрешающее IP-адресам из списка LAN-TO-DOMRU, выходить в интернет через провайдера Дом.ру:
    - Chain = forward
    - In.Interface = brudge1
    - Src.Address List = LAN-TO-DOMRU
    - Action = accept

    5 - правило, разрешающее IP-адресам из списка LAN-TO-RT, выходить в интернет через провайдера Ростелеком:
    - Chain = forward
    - In.Interface = brudge1
    - Src.Address List = LAN-TO-RT
    - Action = accept

    6, 7 - правила для ICMP-пакетов (у меня они заблокированы, но если вам надо делать трассировку до роутера или ping, то их нужно разрешить):
    - Chain = input
    - Protocol = 1 (icmp)
    - Action = accept
    ------
    - Chain = forward
    - Protocol = 1 (icmp)
    - Action = accept

    8, 9 - правила блокирующие входящие пакеты провайдера Дом.ру:
    - Chain = input
    - In.Interface = ppoe-out1
    - Action = drop
    ------
    - Chain = input
    - In.Interface = ether5
    - Action = reject
    - Reject With = icmp network unreachable

    10, 11 - правила блокирующие входящие пакеты провайдера Ростелеком:
    - Chain = input
    - In.Interface = ppoe-out2
    - Action = drop
    ------
    - Chain = input
    - In.Interface = ether4
    - Action = reject
    - Reject With = icmp network unreachable

    12, 13 - разрешаем все установленные соединения:
    - Chain = input
    - Connection state = established, related
    - Action = accept

    15 - запрещаем все остальное
    - Chain = forward
    - Action = drop

    Вы спросите - как после 13 правила идет сразу 15 и я вам отвечу - это фотошоп. У меня были добавлены другие правила, для проброса портов снаружи, к этой статье они не относятся и я их удалил.

    С целью убыстрения работы, правила 12 и 13 рекомендую разместить сразу за правилом 2. У меня они перенесены, но картинку править лень.