MikroTik как два роутера с одним аплинком

Понадобилось однажды MikroTik RB2011iLS-IN поделить на два отдельных маршрутизатора, чтобы подключить двух абонентов, при том чтобы аплинк был один с двумя разными IP.
Решил эту задачу прокинув к MikroTik два VLAN, в каждом назначил IP и настроил два маскарадинга, а двумя бриджами поделил порты.

Собственно ниже покажу какие настройки я выполнил.

Переименовал стандартный бридж на bridge1 и добавил второй бридж:

/interface bridge add name=bridge2

SFP у меня как аплинк, изменил ему имя (остальные порты просто переименовал как ether1,ether2 и т.д.):

/interface ethernet set [ find default-name=sfp1 ] name=sfp1-Gateway

Добавил VLANы:

/interface vlan
add interface=sfp1-Gateway name=vlan1 vlan-id=228
add interface=sfp1-Gateway name=vlan2 vlan-id=226

Указал диапазоны IP адресов для DHCP серверов:

/ip pool
add name=dhcp-192-168-88-0 ranges=192.168.88.10-192.168.88.254
add name=dhcp-192-168-0-0 ranges=192.168.0.2-192.168.0.254

Настроил два DHCP сервера:

/ip dhcp-server
add address-pool=dhcp-192-168-88-0 disabled=no interface=bridge1 name=serever-192-168-88-0
add address-pool=dhcp-192-168-0-0 disabled=no interface=bridge2 name=server-192-168-0-0

У портов с 3 по 5 и 7 по 10 убрал указанные мастер порты. Привязал порты к двум разным бриджам:

/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge2 interface=ether6
add bridge=bridge2 interface=ether7
add bridge=bridge2 interface=ether8
add bridge=bridge2 interface=ether9
add bridge=bridge2 interface=ether10

Прописал IP адреса для внутренних сетей и интернета (DHCP Client не использовал, тем более что два IP смотрящие в интернет будут с одинаковым MAC адресом):

/ip address
add address=192.168.88.1/24 comment=RDA interface=bridge1 network=192.168.88.0
add address=192.168.0.1/24 comment=Arhitekturnoe interface=bridge2 network=192.168.0.0
add address=172.16.4.81/18 interface=vlan2 network=172.16.0.0
add address=172.18.2.134/16 interface=vlan1 network=172.18.0.0

Указал сети для DHCP:

/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
add address=192.168.88.0/24 comment="default configuration" gateway=192.168.88.1

Указал DNS адреса:

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,1.1.1.1
/ip dns static
add address=192.168.88.1 name=router
add address=192.168.0.1 name=router

Правила фаервола которые я прописал и стандартные:

/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input dst-port=80 protocol=tcp
add chain=input comment="default configuration" connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=sfp1-Gateway
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=sfp1-Gateway

Правила для маркировки пакетов:

/ip firewall mangle
add action=mark-connection chain=forward in-interface=vlan1 new-connection-mark=ID4635-RDA
add action=mark-connection chain=forward in-interface=vlan2 new-connection-mark=ID5357-Arhitekturnoe
add action=mark-routing chain=prerouting connection-mark=ID4635-RDA new-routing-mark=ID4635-RDA-rt src-address=192.168.88.0/24
add action=mark-routing chain=prerouting connection-mark=ID5357-Arhitekturnoe new-routing-mark=ID5357-Arhitekturnoe-rt src-address=192.168.0.0/24

Два маскарадинга:

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=vlan1
add action=masquerade chain=srcnat out-interface=vlan2

Маршруты:

/ip route
add distance=1 gateway=172.18.0.1 routing-mark=ID4635-RDA-rt
add distance=1 gateway=172.16.0.1 routing-mark=ID5357-Arhitekturnoe-rt
/ip route rule
add src-address=192.168.0.0/24 table=ID5357-Arhitekturnoe-rt
add src-address=192.168.88.0/24 table=ID4635-RDA-rt

На этом настройка завершена, устройство будет работать как два отдельных роутера с разными IP адресами.

Смотрите также мою статью:
Настройка MikroTik пополам как роутер и свич

Вливайтесь в общение

3 комментария

Добавить комментарий

  1. Логично было бы добавить в route rule для каждой подсети, drop все пакеты из 192.168.0.0/24 в 192.168.88.0/24 и наоборот.

  2. Почем для создания бриджей не использовали возможности двух свитч-чипов устройства, а сделали на программном уровне?

    1. Иногда и через мастер порт делаю, но в этом случае в FDB таблице не видно на каком порту какой mac-адрес (они все на мастер порте висят).

Больше на IT Blog

Оформите подписку, чтобы продолжить чтение и получить доступ к полному архиву.

Continue reading