RouterOS v7新版_單線復用+雙WAN架構設置問題請益 (第4頁)

Rocvky

Rocvky
個人積分：149分
文章編號：88910248

149分

樓主

2024-01-01 22:21

gfx wrote:
可以的，若只是89.0/24的裝置要透過nas_ddns映射連接至nas，
複製嚴謹in-interface=bridge的這個映射設定，只要把in-interface換成vlan200即可。

好的,再多一條for vlan200的,就雙線路可以映射了~感謝g大。

gfx wrote:
但若是vlan20，透過固6連接nas...
除了in-interface需設置成vlan20，dst-address也得填固6_ip。

更重要的，mangle需做固6與nas相關的策略(這部份您目前未設置)。
讓從固6進來的連線，也從固6回去；而非nas目前使用的pppoe-out1送出。
若從pppoe-out1送出原本該回固6的封包，這連線將會丟包。

如圖片↓所示,除了改成vlan20,dst-address也還要再填入固6_IP
點我看大圖

是不是在mangle prerouting做標記連線,然後在firewall 調用那個已標記的連線做偽裝?
(想法這樣不知道對不對)

隨然目前還用不到vlan20。(vlan20在電腦網卡還需設定固6_IP的,都很怕不安全)
但在目前的網路架構下有一port是用到vlan20(主要連接硬體防火牆用的,防火牆下面有一台電腦),然後硬體防火牆又在NAT一次變192.168.1.0/24那種,然後VPN連到公司去。

------------------------------------------------------------------------------------------------

gfx wrote:
192.168.88.0/24(bridge)與192.168.89.0/24(vlan200)可互相連結全是因rb5009的關係。
因為他們兩接口閘道192.168.88.1與192.168.89.1全都在rb5009上面。

若您把192.168.88.1與192.168.89.1其中一個ip從rb5009移開，
那這兩個接口就真的完全中斷了。

但88.0/24與89.0/24都得靠rb5009發ip，您把這兩個網段閘道拿掉又很不實際。

所以您需在/ip firewall raw新增封鎖規則：
add action=drop chain=prerouting in-interface=bridge dst-address=192.168.89.0/24

這樣兩接口就無法往來了。

若需要一個例外，如：nas...那就新增：
add action=accept chain=prerouting src-address=192.168.88.100 dst-address=192.168.89.0/24
再把這個新增的項目擺在封鎖之前，這樣封鎖就影響不到nas(192.168.88.100)了。

這邊也感謝gfx大,提供隔離的方法與設定例外,再次的感恩。
是不是用Routeros系統的都可以通, 類似設定要連線不同網域的閘道IP與閘道下的電腦,然後在互設這樣?

gfx wrote:
NTP Client更新慢的問題，用v7我並無發生。但要解決應該很容易。

以clock.hinet.net為例：
透過nslookup解析分別可得202.39.161.99與168.95.195.12
...........
......等

好的,也來增設上去, 本來想說waiting 一下子就好,沒想到等了近2天才更新上

gfx wrote:

固6需標明pref-source，否則Router會不清楚用那個ip連結ntp伺服器。

好,剛好前面g大有提及pref-source的意思,剛好在這邊教學用上~ 讓我更明白了。

gfx

gfx
個人積分：1603分
文章編號：88910560

1603分

32樓

2024-01-01 23:36

如圖片↓所示,除了改成vlan20,dst-address也還要再填入固6_IP

對，但記得dst-address-list=NAS_DDNS要拿掉。

另外/ip firewall mangle新增：

add action=mark-connection chain=prerouting connection-state=new in-interface=vlan20 dst-address=61.220.223.81 dst-port=5001 protocol=tcp new-connection-mark=static6_conn passthrough=yes
add action=mark-routing chain=prerouting connection-mark=static6_conn src-address=192.168.88.100 src-port=5001 protocol=tcp new-routing-mark=static6 passthrough=no

假設nas ip:192.168.88.100，這就是我說需另外補強的部份。
------------------------------------------------------------------------------------------------

是不是用Routeros系統的都可以通, 類似設定要連線不同網域的閘道IP與閘道下的電腦,然後在互設這樣?

vlan1與vlan200會互通，是因為192.168.88.1/24(vlan1)與192.168.89.1/24(vlan200)這兩個接口閘道同時被設定在rb5009上。

若不加閘道，以vlan的特性，vlan1與vlan200是不會有互連的機會的。

也就是vlan1與vlan200互連是您自己後來賦予rb5009的，不是RouterOS的關係。

Rocvky

Rocvky
個人積分：149分
文章編號：88910765

149分

樓主

2024-01-02 0:16

gfx wrote:
對，但記得dst-address-list=NAS_DDNS要拿掉。

另外/ip firewall mangle新增：
add action=mark-connection chain=prerouting connection-state=new in-interface=vlan20 dst-address=61.220.223.81 dst-port=5001 protocol=tcp new-connection-mark=static6_conn passthrough=yes
add action=mark-routing chain=prerouting connection-mark=static6_conn src-address=192.168.88.100 src-port=5001 protocol=tcp new-routing-mark=static6 passthrough=no假設nas ip:192.168.88.100，這就是我說需另外補強的部份。

好的,感謝gfx大說明 (vlan20)固6_ip如果是直接設在電腦上的方法。

*有關mangle的部分,要再來去研究了解。

gfx wrote:
vlan1與vlan200會互通，是因為192.168.88.1/24(vlan1)與192.168.89.1/24(vlan200)這兩個接口閘道同時被設定在rb5009上。

若不加閘道，以vlan的特性，vlan1與vlan200是不會有互連的機會的。

也就是vlan1與vlan200互連是您自己後來賦予rb5009的，不是RouterOS的關係。

好的,這樣我明白了~ 是自己網路環境條件下所賦予的。

謝謝gfx大的教導,學習了很多 ,感恩。

a6595085

a6595085
個人積分：179分
文章編號：88920270

179分

34樓

2024-01-03 12:47

Rocvky wrote:
*有關mangle的部分,要再來去研究了解。...

那兩條mangle是很重要的部分，如同gfx大前面描述的一樣。
第一條主要是用來標記你從固6 IP連入的連線，要打一個標籤給他，

第二條是NAS回應的時候，如果是透過剛才打的標籤回應的封包，
需要給他上走固六回去的路由標記，這樣才有辦法原路返回。

否則可能會出現從固6連進來，封包走PPPOE回去的狀況。

上面這樣的設定，也適用於你將來內網如果有開服務需要連入，比照這種方法就可以了。

Rocvky

Rocvky
個人積分：149分
文章編號：88923187

149分

樓主

2024-01-03 21:12

感謝a大的輔助解說。

gfx wrote:
add action=mark-connection chain=prerouting connection-state=new in-interface=vlan20 dst-address=61.220.223.81 dst-port=5001 protocol=tcp new-connection-mark=static6_conn passthrough=yes
add action=mark-routing chain=prerouting connection-mark=static6_conn src-address=192.168.88.100 src-port=5001 protocol=tcp new-routing-mark=static6 passthrough=no

a6595085 wrote:
第一條主要是用來標記你從固6 IP連入的連線，要打一個標籤給他，
第二條是NAS回應的時候，如果是透過剛才打的標籤回應的封包，
需要給他上走固六回去的路由標記，這樣才有辦法原路返回。

第一條應該是可以理解如下:
進入路由前,此連線為新的連線, 是從vlan20電腦端要連到61.220.223.81(這個ip_應該是只Pref.Soure概念,類似要指派主要負責相關業務的ip對口)透過port:5001 映射到另外一個網段下的NAS. 並使這個連線標記為:static_conn 。

第二條
進入路由前,從NAS主機發過來的封包是從剛剛所標記的static_conn連線,則走固六那條線。

感覺這兩條一條是進入nas,另一條為由nas出去。

其實我還是有些混濁,所以有一直爬文,有關mark標記的種類。
我以為會是照順序標記。
如:
mark-routing > mark-connection > mark-packet
標記路由再標記連線connection然後再細分packet

mark-routing應該是指整條(固6)線路。
mark-connection 應該是只其中一條(固6)線路。
mark-packet 應該是只那其中一條線路下在細分(如上下傳之類的)。

其實我還沒研究好,最之前的主架構設置固6標記的那四條.....想說先爬文理解
但始終一知半解,故還在努力研習當中。

a6595085

a6595085
個人積分：179分
文章編號：88924223

179分

36樓

2024-01-04 6:40

Rocvky wrote:
第一條應該是可以理解如下...

對，如同你想的一樣，這邊dst address就是指派給NAS用的固6入口，這個入口可以只有一個，也可以是很多個不同的IP，目前的架構是以一個入口來討論，如果你有多個入口可以連入，這條規則就需要做一點調整。
第二條就是這個道理沒錯，從哪裡來就必須從哪裡回去。

Rocvky wrote:
其實我還是有些混濁,所以有一直爬文,有關mark標記的種類...

這個mark種類不太是像你想的這樣，你可以參考一下這篇文章，裡面有圖片可以給你參考一下。
Mangle分類標記介紹

在mangle底下，是從connection作為第一級，
再往下看是要做mark routing或是mark packet。

mark-routing主要是用作路由表上的route mark，當一個符合行為的connection，根據mangle設定的標記查詢路由表上對應的出口連出去。

mark-connection是指，當一個符合規則的session建立後要進行的行為，可以簡單理解成是建立起一個TCP/UDP連線的時候，當有一個連線被發起，並且符合設定的規則時，他就會被Mangle處理。

mark-packet是指，當你發起的session，裡面有符合你設定的規則需要對封包進行標記處理(一般最常見用在NTH負載平衡，會把封包標記成數等分然後分配給不同ip出口)，就會對封包進行標記處理。

對於提到的三個名詞，不知道這樣說明能不能讓你比較好理解。
有問題歡迎再提出來。

Rocvky

Rocvky
個人積分：149分
文章編號：88929178

149分

樓主

2024-01-04 19:49

a6595085 wrote:
對，如同你想的一樣，...(恕刪)

好的,

標記這個感覺有點抽象, 但看了圖片說明就比較理解許多..
再來找一些案例來研究研究。

感謝a大說明。

Rocvky

Rocvky
個人積分：149分
文章編號：88935811

149分

樓主

2024-01-05 22:39

不好意思再次打擾,還是想要請教一下, 因為有點想到腦袋打結了,
所以試者畫圖看看,以幫助後續理解。

我想要問前三條的用意:

gfx wrote:
#當192.168.89.0/24(vlan200)對192.168.88.0/24連接時，保持原路由閘道(192.168.88.1)add action=accept chain=prerouting in-interface=vlan200 dst-address=192.168.88.0/24

如第一條:
這裡是指否定還是肯定的意思嗎?

否定: 89.0/24電腦連結88.0/24電腦,則走88.1閘道。(意思是擋住89.0/24網域的電腦走到88.1閘道? *因為89.0/24的閘道為89.1。)
肯定:如圖89.0/24可以跟88.0/24互通? (因為路由表關係,可以在89.0/24與88.0/24電腦上互ping,*我有實際ping過可以通。)

點我看大圖

若如果意思為肯定的話,其餘的如圖片所示:

gfx wrote:
#當61.220.223.0/24連接192.168.88.0/24(bridge1)時，保持原路由閘道(192.168.88.1)add action=accept chain=output src-address=61.220.223.0/24 out-interface=bridge1

如下圖所示:

gfx wrote:
#當61.220.223.0/24連接192.168.89.0/24(vlan200)時，保持原路由閘道(192.168.89.1)add action=accept chain=output src-address=61.220.223.0/24 out-interface=vlan200

如下圖所示:

因為不太清楚以上三條的用意,是否是要先定義路線可以走的路線。
以便下面2條標記運行,如 !local。

------------------------------------------------------------------------------------------

gfx wrote:
#當192.168.89.0/24(vlan200)對其他目的連結時，除上保持原閘道以外的，以及目的是Router登記外(!local)的，一律往static6閘道(61.220.223.254)add action=mark-routing chain=prerouting in-interface=vlan200 dst-address-type=!local new-routing-mark=static6 passthrough=no

如下圖所示:

不是通往本地的線路,除了以上三條所設定的路線可以通外,則走所標記的static6出去internet. (有點像是強制走所標記的路線出去)

gfx wrote:
#當61.220.223.0/24對其他目的連結時，除上保持原閘道以外的，以及目的是Router登記外(!local)的，一律往static6閘道(61.220.223.254)add action=mark-routing chain=output src-address=61.220.223.0/24 dst-address-type=!local new-routing-mark=static6 passthrough=no

如下圖所示:

-------------------------------------------------------------------------

gfx wrote:
您應該注意到了PC群組(192.168.89.0/24，vlan200)的chain用的prerouting；
但61.220.223.0/24(Router)的chain用的卻是output？
這與linux架構有關，策略路由若是Router後端的，chain一律採prerouting；
而61.220.223.81-61.220.223.86這些ip都是登記在Router本地內的(local)，
則chain一律採output，就這樣～

不知道理解是否正確,如圖:

其中好像是要從Router路由器角度去看output輸出的樣子,
除了src-address,是不是要看out-interface ←路由器的輸出接口,就代表output。

好像是相對應的。
src-address 對應out-interface
dst-address 對應in-interface

點我看大圖

gfx

gfx
個人積分：1603分
文章編號：88935821

1603分

39樓

2024-01-05 22:45

chain(要翻譯成"區域"或"區塊"，而不是"環")流程是這樣的：
點我看大圖

連線從接口進入，然後經邏輯判斷，
分成input＆output(路由器區域)，與forward(區域網路)兩部份。

prerouting區塊是強調在分開input＆output(路由器區域)，
與forward(區域網路)的邏輯之前。

然後不管先前是經由路由器區域(input＆output)，還是區域網路(forward)，
路由都會結束...而從各自的區塊再到路由出口，這個再合而為一的區塊統稱postrouting。

Rocvky

Rocvky
個人積分：149分
文章編號：88935945

149分

樓主

2024-01-05 23:22

gfx wrote:
流程是這樣的：(恕刪)

好的,
有理解許多了

路由前prerouting,先決定要走的目的地,
如果是要到路由內的則會進入到input,
如果是到直接到終端電腦的則是forward

感謝gfx大補圖支援!

清晰很多,尤其是路由器/區域網路,不然有時候會分不清楚路由器負責那段
input與output 看來都是關係到路由器的.