2 WAN e accesso da remoto

[valerio.93]

Ciao a tutti. avrei un problema che non riesco a risolvere, ho provato a cercare ma non mi sorte nulla a riguardo che mi abbia aiutato a risolverlo.
in ufficio ho 2 wan. il mio intento era di usarne 1 prioritaria e l'altra come back up. fin qui non ci sono problemi.. mi basta aggiungere la distanza 2 sulla wan che voglio come back up e mettere il check gateway ping sulla prioritaria.
il problema mi viene quando ho la necessità di dover entrare da remoto sulla linea di back up(lì ho le telecamere,un server per la teleassistenza ai miei clienti e tutto). allora ho pensate di usare la marcatura dei pacchetti che mi entrano da quella WAN però questo non ha funzionato.
ho provato anche il load balancing (quindi marcando entrambe le wan) ma il risultato non mi cambia.
ad esempio ho la app GMAX per le telecamere, che se vado a chiamare il videoregistratore da remoto rimane lì a caricare e non mi fa entrare.. non capisco come mai.. sembra quasi che i pacchetti che sono entrati non escano dalla solita wan
vi posto il codice del firewall mangle e delle rotte che ho impostato.

Codice: Seleziona tutto

/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.0.0/24 in-interface=\
    bridge
add action=accept chain=prerouting dst-address=192.168.7.0/24 in-interface=\
    bridge
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=WAN1 new-connection-mark=WAN1_conn
add action=mark-connection chain=prerouting connection-mark=no-mark \
    dst-address-type=!local in-interface=bridge new-connection-mark=WAN1_conn \
    per-connection-classifier=both-addresses:2/0
add action=mark-routing chain=prerouting connection-mark=WAN1_conn \
    in-interface=bridge new-routing-mark=to_WAN1
add action=mark-routing chain=output connection-mark=WAN1_conn \
    new-routing-mark=to_WAN1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1
add action=masquerade chain=srcnat out-interface=WAN2
add action=dst-nat chain=dstnat dst-port=8780 in-interface=WAN1 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=6780
add action=dst-nat chain=dstnat dst-port=8781 in-interface=WAN1 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=6781
add action=dst-nat chain=dstnat dst-port=8783 in-interface=WAN1 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=6783
add action=dst-nat chain=dstnat dst-port=8780 in-interface=WAN2 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=6780
add action=dst-nat chain=dstnat dst-port=8781 in-interface=WAN2 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=6781
add action=dst-nat chain=dstnat dst-port=8783 in-interface=WAN2 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=6783
/ip route
add check-gateway=ping distance=1 gateway=192.168.0.1 routing-mark=to_WAN2
add check-gateway=ping distance=2 gateway=192.168.0.1
add check-gateway=ping distance=1 gateway=192.168.7.1

[valerio.93]

mi sono scordato:
se metto come prioritaria quella che adesso ho di back up mi funziona l'accesso remoto e tutto.
però ho la necessità di mettere l'altra come prioritaria perchè ho più velocità e tutto

[kimba]

Codice: Seleziona tutto

/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.0.0/24 in-interface=\
    bridge
add action=accept chain=prerouting dst-address=192.168.7.0/24 in-interface=\
    bridge
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=WAN1 new-connection-mark=WAN1_conn
add action=mark-connection chain=prerouting connection-mark=no-mark \
    dst-address-type=!local in-interface=bridge new-connection-mark=WAN1_conn \
    per-connection-classifier=both-addresses:2/0
add action=mark-routing chain=prerouting connection-mark=WAN1_conn \
    in-interface=bridge new-routing-mark=to_WAN1
add action=mark-routing chain=output connection-mark=WAN1_conn \
    new-routing-mark=to_WAN1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1
add action=masquerade chain=srcnat out-interface=WAN2
add action=dst-nat chain=dstnat dst-port=8780 in-interface=WAN1 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=6780
add action=dst-nat chain=dstnat dst-port=8781 in-interface=WAN1 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=6781
add action=dst-nat chain=dstnat dst-port=8783 in-interface=WAN1 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=6783
add action=dst-nat chain=dstnat dst-port=8780 in-interface=WAN2 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=6780
add action=dst-nat chain=dstnat dst-port=8781 in-interface=WAN2 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=6781
add action=dst-nat chain=dstnat dst-port=8783 in-interface=WAN2 protocol=tcp \
    to-addresses=192.168.1.2 to-ports=6783
/ip route
add check-gateway=ping distance=1 gateway=192.168.0.1 routing-mark=to_WAN2
add check-gateway=ping distance=2 gateway=192.168.0.1
add check-gateway=ping distance=1 gateway=192.168.7.1

Ciao valerio, scusa se mi intrometto nella discussione.
Anche io per il failover uso il metodo da te descritto sopra cioè metto il ping per la connessione primaria:

Codice: Seleziona tutto

add check-gateway=ping distance=1 gateway=192.168.1.1


e distanza 2 per la connessione di backup che nel mio caso è di tipo LTE in tethering da un cell. Però lo switch tra le connessioni funzionanti non è per nulla reattivo. A volte devo disabilitare e abilitare l'una o l'altra a secondo di quella che voglio forzare ad usare e fare un ping.
Hai per caso settato altri parametri o adotti qualche altro accorgimento che può facilitare il passaggio tra le due connessioni in modo rapido?
Grazie

[valerio.93]

io l'ho provato al volo ma non mi sembrava male come switching tra le 2.. forse è stato un caso, magari domani quando ri sono in ufficio ti do conferma. comunque no, non ho settato altro se non quelle cose che ho postato!
leggendo in qua e la ho trovato che alcuni fanno degli script apposta per il fail over altrimenti!

[kimba]

io l'ho provato al volo ma non mi sembrava male come switching tra le 2.. forse è stato un caso, magari domani quando ri sono in ufficio ti do conferma. comunque no, non ho settato altro se non quelle cose che ho postato!
leggendo in qua e la ho trovato che alcuni fanno degli script apposta per il fail over altrimenti!

Ok, aspetto molto gentile.

[valerio.93]

Ciao! allora ho fatto la prova sul failover, mi switcha dopo un circa 15 secondi buoni!
però per me è un tempo accettabile per quello che devo fare!
ho risolto anche il mio problema che lo posto a volte qualcuno abbia la mia stessa problematica!

ho riscritto la programmazione e quello di diverso è che vado a marcare entrambe le interfacce e non vado più a dividere la connessione come invece avevo trovato nei tutorial! il problem era proprio quello!
questa è la configurazione funzionante.. do la precedenza alla WAN2

Codice: Seleziona tutto

/interface bridge
add name=bridge
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] comment=tim name=WAN1
set [ find default-name=ether2 ] comment=cmobile name=WAN2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=WAPS supplicant-identity="" \
    wpa2-pre-shared-key=71727172
/ip pool
add name=dhcp_pool0 ranges=192.168.1.80-192.168.1.100
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge name=dhcp1
/interface bridge port
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=wlan1
/ip settings
set accept-redirects=yes accept-source-route=yes
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=192.168.7.2/24 interface=WAN1 network=192.168.7.0
add address=192.168.0.2/24 interface=WAN2 network=192.168.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
    interface=WAN1
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
    interface=WAN2
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.0.0/24 in-interface=\
    bridge
add action=accept chain=prerouting dst-address=192.168.7.0/24 in-interface=\
    bridge
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=WAN1 new-connection-mark=WAN1_conn passthrough=no
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=WAN2 new-connection-mark=WAN2_conn passthrough=no
add action=mark-routing chain=prerouting connection-mark=WAN1_conn \
    in-interface=bridge new-routing-mark=to_WAN1 passthrough=no
add action=mark-routing chain=prerouting connection-mark=WAN2_conn \
    in-interface=bridge new-routing-mark=to_WAN2 passthrough=no
add action=mark-routing chain=output connection-mark=WAN1_conn \
    new-routing-mark=to_WAN1 passthrough=no
add action=mark-routing chain=output connection-mark=WAN2_conn \
    new-routing-mark=to_WAN2 passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1
add action=masquerade chain=srcnat out-interface=WAN2
/ip route
add check-gateway=ping distance=2 gateway=192.168.7.1 routing-mark=to_WAN1
add check-gateway=ping distance=1 gateway=192.168.0.1 routing-mark=to_WAN2
add check-gateway=ping distance=1 gateway=192.168.0.1
add distance=2 gateway=192.168.7.1


[abbio90]

Buonasera, con il metodo citato hai il fail over nel momento che sparisce l.ip locale del gateway..direi mai perché se va giù la connessione probabilmente il problema è prima del gateway..infatti se stacchi il cavo vdsl del modem vedrai che la connessione nella RB sta su e non swichtaa sull.altra..mentre invece se usi ip pubblici nelle rotte e fai la rotta di ritorno lo swicht avviene quando non vai su internet..direi più logico

[abbio90]

Sarebbe interessante come cerchi di accedere da remoto sulla Wan di backup..usi una vpn?hai dei dstnat?
Questi dispositivi che vorresti raggiungere sono prima del mikrotik?perché non capisco per quale motivo vuoi raggiungere il tutto dalla connessione di backup..sulla primaria non hai ip pubblico?
Magari con qualche dato in più è più semplice aiutarti

[valerio.93]

Buonasera, con il metodo citato hai il fail over nel momento che sparisce l.ip locale del gateway..direi mai perché se va giù la connessione probabilmente il problema è prima del gateway..infatti se stacchi il cavo vdsl del modem vedrai che la connessione nella RB sta su e non swichtaa sull.altra..mentre invece se usi ip pubblici nelle rotte e fai la rotta di ritorno lo swicht avviene quando non vai su internet..direi più logico

Hai completamente ragione, ho preso un bel granchio cacchio.. anzi mi scuso se ho pubblicato quella configurazione dicendo che è funzionante! in effetti io facevo la prova solo staccando fisicamente il cavo della wan del mikrotik.. non ho mai provato a staccare il cavo che porta internet al router a monte.
non ci avevo proprio pensato! mi potresti rispiegare il discorso degli ip pubblici? dove dici di metterli?

[valerio.93]

Sarebbe interessante come cerchi di accedere da remoto sulla Wan di backup..usi una vpn?hai dei dstnat?
Questi dispositivi che vorresti raggiungere sono prima del mikrotik?perché non capisco per quale motivo vuoi raggiungere il tutto dalla connessione di backup..sulla primaria non hai ip pubblico?
Magari con qualche dato in più è più semplice aiutarti

per risponderti a questa:
ho l'ip pubblico statico su entrambi
avevo la necessita di uscire tramite la wan1 perchè più veloce e tutto, sulla wan 2(quella che tengo di backup se mi va giù wan1) avevo la necessità di doverla raggiungere dall'esterno e che riuscisse dalla wan2 perchè su quell'indirizzo ip pubblico mi puntano tutti i sistemi di allarme dei miei clienti! per non stare a cambiare tutti e 800 i sistemi che teleassistiamo in ufficio ho configurato così il mikrotik.

ho anche una vpn che punta sul mikrotik, a quella ci accedo tramite il servizio di dynDns.. ho caricato lo script sul mikrotik che se mi va giù la primaria mi va a riaggiornare l'ip!

tutto questo mi funziona se non per quel piccolo grande dettaglio che mi hai fatto conoscere tu. e che mi piacerebbe risolverlo con le tue indicazioni!

p.s. ovviamente nella parte di firewall ho tanti port forwarding che ho evitato di mettere per non allungare il codice