A na kojoj ti je adresi hub? Jesi probao uraditi traceroute sa neke od adresa iz opsega 192.168.1.128/25 do huba?

Jesi na hubu podesio rute prema tim splitovanim opsezima?

Podkrala se greska prilikom postavljanja pitanja, opseg adresa je isti
192.168.0.0/25 i 192.168.0.128/25, hub je postavljen na 192.168.0.130, a
tracert hub-a sa klijentske masine me upucuje ka netu, na jedan od gateway-a.



_{[Ovu poruku je menjao stilko dana 16.03.2008. u 15:52 GMT+1]}

Navedi sve adrese interfejsa (ta 3 LAN-a), pominjesh pppoe server na lan kartici na kojoj se nalazi dc hub, da li to znachi da se dc hub server konektuje preko pppoe?

LAN1: PPPOE klijent, UTP kablom spojen na AP, dinamicku fiksnu IP adresu dobija
od ISP 192.168.100.55, gateway 192.168.100.1.

LAN2: sve isto kao i LAN1, drugi ISP, IP 192.168.10.11, gateway 192.168.10.1

LAN3: IP staticka, koju sam ja dodelio 192.168.0.0/24. tu je podignut PPPOE server.

U LAN3 je uboden swich, u swich AP gde se kace korisnici i u isti swich win xp masina,
odnosno moj PC za admin i net i na njoj DC++ HUB "YnHub". Jeste, taj PC se takodje kaci
PPPOE konekcijom sa fiksnom IP 192.168.0.2, a probao sam i DHCP sa fix. IP, kao i RUchno
dodeliti ip adresu win xp masini iz opsega rutera 192.168.0.0/24.

Takodje sam probao da na MikroTiku ubodem jos jednu LAN karticu, na njoj podizao PPPOE,
DHCP servere, dodeljivao razne staticke adrese i iz drugog opsega, tu ubodem win xp PC
i opet sve isto.

<sub>[Ovu poruku je menjao stilko dana 16.03.2008. u 23:13 GMT+1]

[Ovu poruku je menjao stilko dana 16.03.2008. u 23:16 GMT+1]</sub>

Hmm, po ovome shto vidim trebalo bi da radi, ali nisam siguran, ajd probaj da natujesh po izlaznom interfejsu, znachi da dodash out-interface u srcnat, imam osjecjaj da ne natuje kako treba, odnosno natuje na sve interfejse i gube ti se adrese...

Kad definishem out-interface ne radi NET.

ovo bi trebalo da je ok

Ovdje mislim da bi trebalo:
add gateway=192.168.100.1 routing-mark=GW1
add gateway=192.168.10.1 routing-mark=GW1

ili kako si vecj rasporedio...

jesi te 10.0.0.1 i 10.0.0.2 odnekud prepisao ili su ti podeshene na nekim interfejsima, a nisi pomenuo?

Jeste prepisano iz uputstva inache je kako terba:

add gateway=192.168.100.1 routing-mark=GW1
add gateway=192.168.10.1 routing-mark=GW1

Jedino mi josh smeta statichka adresa na pppoe serveru. Po nekom pravilu tu ne ide adresa. Nagadjanje: interfejs LAN3 ima statichku IP iz opsega 192.168.0.0/24 a isti taj opseg dodjeljuje pppoe klijentima. Mozhda mu je to malo zbunjujucje za rutiranje. Jel' ti bash potrebna statichka IP na pppoe serveru?

Nije potrebna statichka IP, probao sam da je iskljuchim i ruter se ponasha bez promena.

ok, znachi, bez ip adrese na pppoe server interfejsu, dodash dva nat-a, za svaki out-interface posebno i probash odraditi traceroute sa pppoe klijenta do jednog od ISP gatewaya, gdje ti stane route?

_{[Ovu poruku je menjao Schmidt dana 17.03.2008. u 23:27 GMT+1]}

Ruta dodje do gatewaye, znachi sadnji odziv na 192.168.0.254, adresa rutera.

Skini ip adresu sa pppoe server interfejsa...

Skinuta je, nema promena, isto je kao i sa njom.

Poshalji mi kompletan setup na mail ako nije problem, negdje je neka sitnica definitivno.

Nije tu mnogo ostalo da se kaze jedino josh da klijente (Sicrets) definishem tako da im za Loacal Address dodeljujem ip adresu od rutera tj.
192.168.0.254, a za Remote Address fiksne, jednu izmedju 192.168.0.1 i 192.168.0.127 ako hocu da izadju za gateway 192.168.100.1 ili
192.168.0.128 do 192.168.0.253 ako hocu da izadju na gateway 192.168.10.1.

Bandwidth definishem preko Simple Queues liste, gde za Target Address dodeljujem adresu koju sam dodelio u Sicrets.

Ne znam drugo sta mogu da ti poshajem, ostalo je po default-u...

/ip address print
/ip route print
itd.

sve shto se tiche problema rutiranja...

[stilko@MT_Router] > interface print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R export ether 0 0 1480
1 R import ether 0 0 1480
2 R gateway1 pppoe-out 0 0 1480
3 R import2 ether 0 0 1480
4 R gateway2 pppoe-out 0 0 1480
6 DR <pppoe-stilko> pppoe-in 0 0 1480
7 DR <pppoe-user> pppoe-in 0 0 1480
8 DR <pppoe-user2> pppoe-in 0 0 1480
9 DR <pppoe-user3> pppoe-in 0 0 1480
10 DR <pppoe-user4> pppoe-in 0 0 1480
[stilko@MT_Router]


[stilko@MT_Router] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 D 192.168.100.55/32 192.168.100.1 0.0.0.0 gateway1
1 D 192.168.10.11/32 192.168.10.1 0.0.0.0 gateway2
2 D 192.168.0.254/32 192.168.0.2 0.0.0.0 <pppoe-stilko>
3 D 192.168.0.254/32 192.168.0.155 0.0.0.0 <pppoe-user>
4 D 192.168.0.254/32 192.168.0.24 0.0.0.0 <pppoe-user2>
5 D 192.168.0.254/32 192.168.0.18 0.0.0.0 <pppoe-user3>
[stilko@MT_Router] >




OVDE KOD RUTA OBRATI PAZZNJU, MOZZDA NESHTO NE VALJA....????

[stilko@MT_Router] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREF-SRC G GATEWAY DIS
0 ADC 192.168.10.1/32 192.168.10.11
1 ADC 192.168.0.155/32 192.168.0.254
2 ADC 192.168.0.24/32 192.168.0.254
3 ADC 192.168.0.18/32 192.168.0.254
4 ADC 192.168.0.2/32 192.168.0.254
5 ADC 192.168.100.1/32 192.168.100.55
r 192.168.10.1
6 A S 0.0.0.0/0 r 192.168.100.1
7 A S 0.0.0.0/0 r 192.168.10.1
8 AD 0.0.0.0/0 r 192.168.100.1 1
9 D 0.0.0.0/0 r 192.168.10.1 1
[stilko@MT_Router] >




[stilko@MT_Router] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat src-address=192.168.0.0/24 action=masquerade
[stilko@MT_Router] >




[stilko@MT_Router] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; GW1
chain=prerouting src-address=192.168.0.0/25 action=mark-routing
new-routing-mark=GW1 passthrough=no

1 ;;; GW2
chain=prerouting src-address=192.168.0.128/25 action=mark-routing
new-routing-mark=GW2 passthrough=no
[stilko@MT_Router]

a zasto secret-ima za Local adress stavljas adresu routera???? ja sam kreirao 2 pool-a, npr. local=10.0.0.10-10.0.0.100 i remote=192.168.0.10-192.168.0.250, i te poolove sam prikacio za profile, i prilikom kreiranja secret-a se samo pozivam na profil, s tim da opseg Remote natujem, odnosno preko njega pustam net. Takodjer ne kontam, zasto u Simple Queues definises za svakog usera brzinu ponaosob, kad mozes u ppp profilima kreirati par profila sa odredenim brzinama, i prilikom kreiranja secreta za nekog usera, samo se pozivas na profil sa odedenom brzinom.

_{[Ovu poruku je menjao Kolins Balaban dana 18.03.2008. u 16:35 GMT+1]}

Pool za Remote Address ne stavljam zato shto mi je potrebno da useri imaju fiksne adrese kao i DC++ Hub,
i sve ostalo su zahtevi mrezze doprineli ovakvom podeshavanju, sve je nekad i bilo postavljeno
kako si ti upravo napisao. I pored toga imao bih iste probleme (probano). Ovi problemi su pocheli kada sam
mrezzu podelio u dva segmenta.

Nije to sve bash uradjeno kako treba, evo ti primjer ovdje:

http://wiki.mikrotik.com/wiki/Load_Balancing_Persistent

Samo ga prilagodi svojim potrebama, u primjeru koji ti dajem radjen je simple load balancing, a tebi treba na osnovu src-ip.
Obrati pazhnju na in-interface i tamo gdje on koristi nth=1,1,0 ili nth=1,1,1 ti koristi svoje src-addrese.
Ako zapne javi se, ali mislim da je primjer jako dobro objashnjen, uz male izmjene imash sve spremno za par minuta.

Ne, ne ide to meni od ruke....?

Ok, probacju rekonstruisati tvoju mrezhu pa ti javim kad testiram...

ovo sam stigao odraditi, jedina razlika je shto su kod mene klijenti na fiksnim adresama bez pppoe. Ali, provjerio sam, i radi bez greshke:

prvi mark, za gw1:


drugi mark, za gw2:


Ovo je sve shto je potrebno, izbrishi sve shto si do sada radio i uradi iz pochetka ovako kako sam ti napisao, provjerio sam, sigurno cje raditi ako pazhljivo obrishesh stari setup i uradish iz pochetka na ovaj nachin.

Schmidt, uradio sam sve po tvom uputstvu ali imam isti problem, tj, klijenti ne mogu da se pinguju i ne moge se konektovati na lokalni DC HUB,
a route dobro rade.

Moj setup:
1. dva rachunara i mt na switchu
2. mt sa 2 linka

medjusobni ping je radio, rutiranje takodje, stvarno ne znam shta bih vishe probao :(

ajd poshalji cijeli setup na mail, zajedno sa slikom kako je shta povezano, jer to jednostavno mora raditi, sad sam 100% siguran, jer sam sve rekonstruisao kod sebe...

Dakle, uradi:

1. /export file=setup
2. nacrtaj mrezhu sa adresama pojedinih tachaka
3. poshalji mi to na mail

Negdje je neka sitnica, mozhda chak i firewall ima neki unos koji te zeza...

Nisam siguran zbog chega (mozhda razlika u verzijama mikrotika) ali primjeri koje mikrotik navodi za manglovanje ne rade onako kako bi trebali.

U sluchaju kad korisnik ima dvije ili vishe lokalnih mrezha i dva ili vishe linkova, raspodjela saobracjaja na linkove se radi potpuno isto kao u mikrotikovom primjeru osim jednog dodatka, a to je da treba naglasiti lokalne mrezhe.

Rjeshenje:
1. dodati sve lokalne mrezhe u address-list
2. manglovati kao u primjeru ali dodati negaciju lokalne address liste:



Obratite pazhnju na "!" koji negira cijeli izraz.
Znachi sve shto dolazi sa opseg_adresa i ne ide prema local_mrezha_lista markiraj kao neki_mark.

Nakon ovoga sve ide kao u mikrotikovom primjeru.
Ovaj potez rjeshava nemogucjnost medjusobnog pinganja markiranih adresa, uz uslov da je sav ostali routing odradjen ispravno.

Yeeesss, to je to, hvala Schmidt!!!!!

Pozz.

Nema na chemu, malo je potrajalo, ali eto, rijesheno je.

Pozdrav :)

Pokusavam da odradim od jutros ovo sto je Schmidt napisao ali ne vredi.

Interface Lan1 i lan2 su mi UP i DOW

UP ima ip 192.168.40.11/24
DOW ima ip 192.168.30.55/24
Evo sta sam uradio:


[admin@Mikrotik] ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting src-address=192.168.3.0/25 action=mark-connection
new-connection-mark=DOW passthrough=yes

1 chain=prerouting src-address=192.168.3.0/25 action=mark-routing
new-routing-mark=DOW passthrough=no

2 chain=prerouting src-address=192.168.3.128/25 action=mark-connection
new-connection-mark=UP passthrough=yes

3 chain=prerouting src-address=192.168.3.128/25 action=mark-routing
new-routing-mark=UP passthrough=no



[admin@Mikrotik] ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting src-address=192.168.3.0/25 action=mark-connection
new-connection-mark=DOW passthrough=yes

1 chain=prerouting src-address=192.168.3.0/25 action=mark-routing
new-routing-mark=DOW passthrough=no

2 chain=prerouting src-address=192.168.3.128/25 action=mark-connection
new-connection-mark=UP passthrough=yes

3 chain=prerouting src-address=192.168.3.128/25 action=mark-routing
new-routing-mark=UP passthrough=no
[admin@Mikrotik] ip firewall mangle>



[admin@Mikrotik] ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREFSRC G GATEWAY DIS INTERFACE
0 ADC 10.1.0.0/16 10.1.0.91 bridge1
1 ADC 192.168.30.0/24 192.168.30.55 DOW
2 ADC 192.168.40.0/24 192.168.40.11 UP
3 A S 0.0.0.0/0 r 192.168.30.254 DOW
4 A S 0.0.0.0/0 r 192.168.40.254 UP

GDE GRESIM ???

<sub>[Ovu poruku je menjao janifer dana 20.06.2009. u 17:11 GMT+1]

[Ovu poruku je menjao janifer dana 20.06.2009. u 17:18 GMT+1]

[Ovu poruku je menjao janifer dana 20.06.2009. u 17:22 GMT+1]</sub>

Ne razumijem, zasto markiras mreze 192.168.3.0/25 i 192.168.3.128/25. Da ti ne fali jedna nula?

A drugo, kad ih markiras onda ih moras i natovati i poslati na neki gateway.

"Ne razumijem, zasto markiras mreze 192.168.3.0/25 i 192.168.3.128/25. Da ti ne fali jedna nula?"

Opseg adresa 192.168.3.0/25 i 192.168.3.128/25 je pool za PPPOe kliente (znaci klient i server za pppoe korisnike).

"A drugo, kad ih markiras onda ih moras i natovati i poslati na neki gateway"

admin@Mikrotik] ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=DOW src-address=192.168.3.0/24 action=masquerade


[admin@Mikrotik] ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting protocol=tcp action=passthrough

1 chain=forward out-interface=DOW protocol=tcp tcp-flags=syn action=change-mss new-mss=1300


Mislis li na ovako nesto?

Bez podesavanja u predhodnom postu ovako radi super, ali samo preko jednog (DOW) provajdera ide i upload i download

Sada sam ubacio jos jednu Lan karticu, nazvao je UP i hocu da mi bude za upload, a da mi DOW sluzi za download.

Ako postoji mogucnost, jos bolje, da ukoliko zakaze neki od gatewaya (UP ili DOW) , da i upload i download preuzme onaj koji radi.

POZZ

Ajd ponovo, s razumjevanjem, uporedi u cemu se razlikuje ovo sto pisem sa onim sto si ti uradio.

Za prvi ISP:


Za drugi ISP:


Do ovog trenutka upload i download idu preko istog ISP-a, zavisno od routing marka.

Da bi imao upload preko jednog a download preko drugog ISP-a treba ti BGP protocol, a to ne mozes ako nisi ISP. Ono sto mozes je da natujes na IP adresu jednog ISP-a a posaljes paket na GW drugog ISP-a. Medjutim, ako je ISP dobro podesen nece dozvoliti da adresa koja ne pripada njegovom opsegu izlazi iz njegove mreze, jer to je vjerovatno ip spoofing, odnosno, jedan od nacina na koji se izvodi DOS napad. Probaj, ne garantujem da ce uspjeti, ali vrijedi pokusati.

<sub>[Ovu poruku je menjao Schmidt dana 22.06.2009. u 00:28 GMT+1]

[Ovu poruku je menjao Schmidt dana 22.06.2009. u 00:29 GMT+1]</sub>

Izvinjenje, u postu od 20.06.2009. u 15:33 sam uradio ovo sto si mi ti napisao u poslednjem postuo ali sam greskom pastovao dva puta podesavanja iz firewall mangle u mesto iz firewall nata, pa sam te verovatno zbunio, Samo umesto ip adrese u route nisam stavio moje ip adrese nego ip adrese provajdera.

U tom slucaju radi net ali upload i download ide samo preko 1 provajdera.

"Ono sto mozes je da natujes na IP adresu jednog ISP-a a posaljes paket na GW drugog ISP-a." <--- Kako definisati nat???

Dakle, markirao si konekciju kao gw1, a natovao si je kao ISP2

Onda rutiras routing mark gw1 na gateway ISP1.

U tom slucaju, ako sve uspije, nisam nikad probao pa ne znam da li ce uspjeti, ISP1 ce dobiti od tebe paket u kojem je tvoj dolazni IP iz opsega ISP2. Svaki odgovor koji ISP1 bude uputio tebi poslace kroz internet prema ISP2, odnosno preko onog boljeg download linka. Ti ces uporno forsirati upload preko ISP1, a ISP1 ce ti odgovarati preko ISP2, zbog NAT-a koji si napravio. Isto tako, svi ostali serveri na koje se konektujes odgovarace ti preko ISP2 linka, a ti ces inicirati zahtjeve preko ISP1 linka.

[admin@Mikrotik] ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 10.1.0.91/16 10.1.0.0 10.1.255.255 bridge1
1 192.168.30.5/24 192.168.30.0 192.168.30.255 DOW
2 192.168.40.5/24 192.168.40.0 192.168.40.255 UP
3 D 192.168.3.127/32 192.168.3.255 0.0.0.0 <pppoe-0>
--------------------------------------------------------------

[admin@Mikrotik] ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting src-address=192.168.3.0/25 action=mark-connection new-connection-mark=DOW passthrough=yes

1 chain=prerouting src-address=192.168.3.0/25 action=mark-routing new-routing-mark=DOW passthrough=no

2 chain=prerouting src-address=192.168.3.128/25 action=mark-connection new-connection-mark=UP passthrough=yes

3 chain=prerouting src-address=192.168.3.128/25 action=mark-routing new-routing-mark=UP passthrough=no
---------------------------------------------------------------


[admin@Mikrotik] ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic

0 chain=srcnat connection-mark=UP action=src-nat to-addresses=192.168.30.254 to-ports=0-65535
---------------------------------------------------------------



[admin@Mikrotik] ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREFSRC G GATEWAY DIS INTERFACE
0 ADC 10.1.0.0/16 10.1.0.91 bridge1
1 ADC 192.168.3.255/32 192.168.3.127 <pppoe-0>
2 ADC 192.168.30.0/24 192.168.30.5 DOW
3 ADC 192.168.40.0/24 192.168.40.5 UP
4 A S 0.0.0.0/0 r 192.168.30.254 DOW
5 A S 0.0.0.0/0 r 192.168.40.254 UP

---------------------------------------------------------------

Dali je dobro obvako ???

Naveo sam gore da takav sistem nisam pokusavao napraviti. Teoretski je izvodivo. U praksi nisam nikad pokusao. Rekao sam sve sto sam imao na tu temu. Ostaje da podesis i testiras.

Izgleda da nece, u svakom slucaju mnogo se zahvaljujem Schmidt-u na trudu.

Pokusacu sa webmin kao sto je xenox predlozio.

Hvala jos jednom, i pozdrav za sve.

P.S. Ako jos neko ima neku ideju nek' pomogne.




_{[Ovu poruku je menjao janifer dana 24.06.2009. u 07:17 GMT+1]}

Kako si testirao? Jesi li radio traceroute? Jesi li koristio neki snifer da vidis sta se desava sa zaglavljem ip paketa? webmin (vjerovatno mislis na winbox) ti nece pomoci, to je samo GUI za konzolu.

Ne, ne mislim na winbox, nego na webmin koji je xerox predlozio, ali nism imao vremena da pokusam ...

Evo copy - paste xenox-ovog posta


xenox
ex Memodata sysadmin
Beograd

Član broj: 6903
Poruke: 85
212.200.65.*
OS: Windows XP


icon Re: Dva provajdera i mikrotik pre 6 dana i 14h

"Pa sto ne koristis webmin, on dodaje sam. Ajd pogledacu sutra kojim redom da nacukas komande. Trenutno varim LASKO pivo... "

Mozda sam neupucen u postojanje nekog alata za mikrotik. Postoji winbox, GUI za MikroTik, a, koliko znam, jedini webmin koji posoji je all in one rjesenje za linux administraciju.