Mikrotik mark/policy routing RoS v7 dvě nebo více bran v síti

mikrotik firewall featured

Oficiálně je MikroTik lotyšská společnost, která byla založena v roce 1996 za účelem vývoje směrovačů a bezdrátových ISP systémů. MikroTik nyní poskytuje hardware a software pro připojení k internetu ve většině zemí světa. Od roku 1997 i softwarový systém RouterOS coby ovládač datových rozhraní a směrovačů.

Od roku 2002 produkuje vlastní hardware pod značkou RouterBOARD. Síťové výrobky, coby levnější konkurenci společnosti Cisco, prodává celosvětově. Společnost sídlí v Rize, hlavním městě Lotyšska. Firma má zhruba 280 zaměstnanců a je specifická zvláštnímy velkoobchodnímy praktikamy.

Nastavení Mikrotik route

Nastavení routovacích pravidel na Mikrotiku s instalací dev verze RoS v7.x pro vícelinkové připojky nebo routovaní částí dat přes VPN. Routovací tabulka: Mimo defaultní routovací tabulku main (fib) přidáme pro každou bránu jednu novou. Naklikat nebo v terminálu:

1.
routing/table/add name=brana_1
routing/table/add name=brana_2

Routing policy: Přiradíme IP adresy bran k routovacím tabulkám

2.
routing/rule/add src-address=10.10.0.0/24 action=lookup table=brana_1
routing/rule/add src-address=10.20.0.0/24 action=lookup table=brana_2

Plus vychozí trasa

3.
ip route add dst-address = 0.0.0.0/0 gateway = 10.10.0.1

S uvedenou konfigurací budou zařízení s IP adresou 10.10.0.0/24 používat přípojku brana_1, zatímcozařízení s IP adresou 10.20.0.0/24 budou používat linku brana_2. Následně můžeme namapovat trasy pomocí portů nebo pomocí LAN/WAN IP adres.

4. 
ip firewall mangle add action=mark-routing chain=prerouting comment=Surfování" dst-port= 80,443 in interface-list=LAN new-routing-mark=brana_1 passthrough= no protocol=tcp

ip firewall mangle add action=mark-routing chain=prerouting comment="Pracovní email" dst port=143,993,110,995,25,426 in-interface-list=LAN new-routing-mark=brana_2 passthrough=no protocol=tcp

Nastavení vychozí brány pro každou podsíť. Značkovaní (routing-mark) je již nastavena v routing-table, stačí tedy:

5.
ip route add dst-address=0.0.0.0/0 gateway=10.10.0.1 routing-table=brana_1
ip route add dst-address=0.0.0.0/0 gateway=10.20.10.1 routing-table=brana_2

Odebráním dst-port a přidáním src-address list do mangle pravidel (č. 4) můžeme routovat LAN provoz branou 1 nebo 2 – dle v adress listu definovaných LAN IP adres (nebo adresních rozsahů).

ip firewall mangle add action=mark-routing chain=prerouting comment=brana_1_comment" src-addr-list= bypass in interface-list=LAN new-routing-mark=brana_1 passthrough= no protocol=tcp

ip firewall mangle add action=mark-routing chain=prerouting comment=brana_2_comment" src-addr-list= vpn in interface-list=LAN new-routing-mark=brana_2 passthrough= no protocol=tcp
ip firewall/address-list/add address=10.0.10.10-20 comment=bypass
ip firewall/address-list/add address=10.0.10.30-40 comment=vpn

Odebráním dst-port a přidáním dst-address list do mangle pravidel (č. 4) můžeme routovat LAN provoz branou 1 nebo 2 – dle v adres listu definovaných WAN IP adres (nebo adresních rozsahů).

Užitečné

Ruckus Network příkazy pro CLI.
Mikrotik domovská stránka router.

TelegramFacebookE-Mail

Související příspěvky:

  1. Mikrotik RouterOS ve verzi 7.6 (cz)
  2. Mikrotik RouterOS verze 7.7 (cz)
  3. Mikrotik RouterOS novinky ve verzi 7.2 (cz)
  4. Mikrotik RouterOS novinky ve verzi 7.3 (cz)
ICTIS.CZ