ááá˘áŤ
á˝ááá áááłáľ ᣠá¨á¨ááąááľ á á°á¨á᪠ᣠá áŠá˛áŤá á°áááŞá á¨á´áááŤá áá
á á¨á°áĽ ááá፠áĄáľáá˝ ááľáĽ á áá
áááľ áá á áááąáľ á°áľá á áľá¨áá á¨áĽáŤááá˝ áľáááá˝ á¨á°ááł áá áᢠá˝áá ááá᪠Mikrotik RouterOS (á¨áá
á áá ROS) á áľá°áłáłáŞáá˝ áá áŤáá ááᢠááááá áá á á
áááľ á ááľá ᾠᨠááá˛áŤá áá áĽáť áá°áŤáᢠáĽáá° áááťáŁ á°á
áááą á¨á°á á á áĽá ááš á á°áŤáá ááá¨ááἠá áľááš á á á
áá
áśá˝ á áᢠáľá áá¨ááὠᣠá¸áá áááŁá á ᣠáŞááὠᣠáľááľáŽá˝ ᣠá¨áŁá˘áŤá áááł áŁááĽá-á°á¨á áĽáá
áľáá°á áĽá á¨ááłá°ááľá ááá° ááłáŽá˝ áá ááľá¨á á¨áááá á°áá˝ - á ááá ἠáá áĽá áĽá¨áľ ááŁá¨á á áá˝ááá˘
áĽáŹ áááĽ
áĽáá° á¨áá¨áŤ ááá° ááłá, ᨠROS áľáŞáľ 6.45.3 áŤáá áŁá á ááľáľ áá°áĽ áááŽá˛á áŤáá°á á°ááá§á. á áááľ á¨á áŤáŁá˘áŤá á ááłá¨ áá¨áŚá˝ (LAN1 áĽá LAN2) áĽá á áśáľáľ á á áŤá˘áá˝ (ISP1ᣠISP2ᣠISP3) ááŤá¨á áľáŤááá áŤááŤáᢠáá° ISP1 áŤáá á°áἠá¨áááááłááľ "ááŤáŤ" á áľáŤáť ISP2 - "áá", á DHCP, ISP3 - "áá" á PPPoE áááľ á¨á°áá. á¨áááááľ ááľá á áľáá áá ááłáŤá-
á°ááŁáŠ á áĽá áą áá á áááľá¨áľ ᨠMTK áŤáá°á áááá áá-
- áá° ááľáŹ á á áŤá˘ á ááśáá˛á ááá¨á áŤá ááĄá˘ ááá á á áŤá˘á ISP2 áá, á¨ááááŞáŤá áá áŁá á፠ISP1 áá, ááá°áá á°á áŁáŁá ISP3 áá.
- á á áá¤áľá1 á áŠá áĽáť á¨LAN1 á ááłá¨ áá¨áĽ ááłá¨áťá áŤá°áŤáá˘
- á á áľáŤáť áááአáá á áááľá¨áľ á á°áá¨á á á á áŤá˘ á áŠá á¨á áŤáŁá˘áŤá á ááłá¨ áá¨áŚá˝ áá° á áááá¨áĽ áľáŤáá á¨ááá á˝ááł áŤá ááĄá˘
- á áááááśá˝á á¨á áŤáŁá˘áŤá á ááłá¨áá¨áĽ áá° á áááá¨áĽ (DSTNAT) á¨áá°á áĽáľá áŤá ááĄ
- á¨á áááá¨áĄ á ááľá°ááá á á á°á áááľ ááá á¨áĽ á¨áá¨ááá ááŁáŞáŤ áŤáááá˘
- áŤáá°á á á°áá¨á á á¨ááá á áľáŤáť áá á áááľá¨áľ á áŚáľáą á á áŤá˘áá˝ á¨áŤáąá áľáŤáá ááŤáᣠáá˝ááá˘
- á¨ááá˝ áĽá˝áá˝ áá°ááĄá áľ á°áἠ(LANá á¨ááŽ) áááłá¸áá áŤá¨áááĄá˘
áĽáá°áá ááááľ áŤáľáá áĄáĄ á¨áľáŞáľ áá° áľáŞáľ á¨áááአ"á¨áłáĽá ááľáĽ" á áááť áá áŽá˝ ááľáĽ á áľááŤááá˝ á ááááŤá¸áá ááá¨ááἠáŤáá°áŠá "á¨áŁáś" áĽááá áŤááᢠáááŚááľ áĽáá° ááááŞáŤ ááłáŞáŤ áá á°ááá§áᣠáááŚá˝ á áĽááł á¨ááłáŠá áľá˘ á áá áśáš áĽáŤáłá¸á á áááŚááľ á°áááá ááľáĽ á áľáĽááá˝ áááááᢠááááá á áŤáá áááááľ á¨áá°á¨áá á¨á¤á°á 5 á áááá˝ áá á ááĽáł áááááľ áá.
ááá˛áŤá áá áĽáá°áá áľáá˝ áá°áĽ á˝áá áá ááááľ á á˝áá á ááłá¨ áá¨áŚá˝ ááŞáŤ á°ááŽáá áĽáἠá°áá˝ áá¸á
á áŤá áĽá á áľáŠá¨áľ á¨áá¨áłá°á á áľá°áłáłáŞ áŁ áĽáá°áá á áááľ ááá á°ááłáłá áĽá áľ á áŤáą á ááááᾠᣠá áľáááľ ááľááá á áá°á áááľ áĽá¨á°áŤ áááá á áľáááľ áááááŁáᢠá áᣠá áᣠáŤááĽááľá áĽá á¨áááŞáŤ á°áá á¨áŚá˝ áĽá ááá˝ á¨ááááľ á áá˝áŁ á áá áááľ áá áŤá á áĽááááš ááŁáĽáá˝ á¨á°áááľá˘ áĽáááľá˝?
á á ááááŽá˝ áĽá á ááŁáŞ ááá˘áŤáá˝ áá á áľáŤáťá áááá áĽáá˝ááá? á á:
á ISP1ᣠá áľáŤáťá áĽá ááá˘áŤá á¨á°ááááĄáľá˘ áááľ=2 и check-gateway=ááá
á ISP2ᣠááŁáŞ á¨ dhcp á°áá á ááźáľ - á áá
áá á¨áľ áááą á¨á ááľ áá áĽáŠá ááááá˘
á ISP3 á pppoe á°áá á ááźáśá˝ ááľáĽ add-default-route=á á ááľááἠdefault-route-distance=3.
á áááŁáľ áá NAT áááááĽá á áááąáĄ-
/ip áá¨ááá nat add action=masquerade chain=srcnat out-interface-list=WAN
á áá ááááŤáľ á¨á áŤáŁá˘ áľá¨-áážá˝ á°á áááá˝ áľááśá˝á á ááá ISP2 á á áŤá˘ á áŠá á ááá¨áľ ááááá áĽá áá´áá á áá áá á¨á°áἠáŚáł ááľáŤá á á ááá˘áŤáá áŤá¨ááᥠááľáłááť 1 áááá¨áą
á¨áĽáŤá ááĽáĽ 1 á°á°ááĽáŻá. ááááą áŤáá ááá˛áŤá á¨áľ á á? á áâŚ
á°á¨ááŞá˘ á¨á°áá°á á°áá áá˝á ᨠLAN á ISP1 á áŠá áááá á ááŚáľáĄ-
/IP Firewall mangle add action=route chain= prerouting dst-address-list=!BOGONS
passthrough=á á ááááľ-dst=100.66.66.1 src-address-list=á á áá¤áľá1
/IP Firewall mangle add action=route chain= prerouting dst-address-list=!BOGONS
passthrough= ááá ááááľ-dst=100.66.66.1 src-á áľáŤáť=192.168.88.0/24
á¨á°ááŁáŠ ááľáĽ 2 áĽá 3 áĽááá˝ á°á°ááĽá¨áá. áááŤáá˝áŁ áá á°áá˝áŁ á¨ááááľ á áá˝áŁ á¨áľ áá ?!
á¨á áááá¨áĄ áá á°áá áá˝ 172.17.17.17 á áľáŤáť áŤáá á¨áááąáľá á¨OpenVPN á áááá ááłá¨áť ááľá áľ ááááá? á áŁáá˝á:
/ip Cloud set ddns-enabled=á á
áĽáá° á áťáŁ áá°áá áá á¨áá¤áąá áá¤áľ áĽáá°á áááᥠ": á áľááἠ[ip Cloud get dns-name]"
á¨á˘áá°áááľ áá°áĽ ááľá°áááá áĽáááááŁáááĄ-
/ ip áá¨ááá nat add action=dst-nat chain=dstnat dst-port=1194
in-interface-list=WAN protocol=udp to-addresses=172.17.17.17
ááĽá 4 ááá áá.
áááĽá 5 áá¨áááá áĽá ááá˝ á°á
áááľá á áááá ᣠá á°ááłáłá áá ááá ááá áá°á áááá˝ áĽá¨á°áŤ á ááá áĽá á°ááłá
áá ἠááłáá ááŤáŁ á ááľá¨áłá˝á á°áľá°áá˝ ááâŚ
á ! ááťáá˝ á°á¨áąá˘
l2tp-clientᣠá google á ááá˝ á¨á°ááá¨áŁ áá° áĽááľá á°ááłá
á¨á°á˝ áŞá˛á¤áľ á°ááˇá? á á.
l2tp-server IPsec áŤáá á°ááľáˇá áĽá á°áá áá˝ á Რá¤á á¤áľ áľá á¨á áá ááááľ (á¨áá áŤááá áááá¨áą) á°áŁá á? á á.
áá° ááá áŤá˝á á°á°áááᣠáá ἠáĽá¨á áŁáᣠá á°ááŁáŠ 6 áĽá 7 ááĽáŚá˝á á áľááá áĽáááá¨áłááᢠáĽá áĽááľáŁáá - áŤáľááááá? áĽáá°ááŤá áá á¨áá°áŤá (á) ... áľááá
á ááá á¨ááááá á¨áá ፠ááᢠááá˛áŤá á°á°ááĽáŻáá˘
ááá˛áŤá áááľá áá? áá á¨á ááŤáł á¨á˘áá°áááľ áťááá˝ á¨á ááľ áŤáá°á áá áŤáá áááááľ ááá˘
á˝ááá á¨á áá ááá ἠá¨ááĽááľá ᣠááááŤáąá á á áŤáŁáŞ á°ááťáááľá á¨ááłá¨áľ á á°á¨á᪠áá ááá áá˝áá?
áá°ááŠáľáŁ á¨áľáŤáá ááĽáĽ 6 áĽá 7 áááááᣠáĽá áĽáá˛áá á¨áá˝ááá ááłá¨á ááá°áá¸áᣠáá° áĽáá áĽáááŁááá˘
ááá˛áŤá á¨áá°áá á á áŁá á áľáááá á°ááŁá áľááááá á¨áľáŤáá ááľáá ááᢠáááľá: á¨áľááá (ááá á¨áľáá) áááá¨áą. ááľáłááť 3 á¨á áá¤áľá áťáá (áá˝) á áĽá áŤáá°á áá áŤááá ááŁáŞ ááááľ áááá¨áąáŁ ááŹá áááŁá áľ áľáááá áťáá ááá˝ ááľá áľ á áá áľá˘ á°ááŁáŠ ááá˝ ááᢠá˝áአá¨áľ áá? á áĽáááĽ, á ááá á¨á áŤáŁá˘áŤá á ááłá¨áá¨áĽ ááľáĽ, á°ááŁáŠ á ááľ áá, ááá áá ááá á°á¨á᪠á ááĽáŽá˝á á áá¨áĽá˝á áĽá á˝áá á áá°ááá. ááŠááą á á áá áá¨áĽ áá áŤá ááááá áŤáá°á ááľááá ááááľ á áĽáŤááłááą áťáááťá˝á áá°á¨áľá áľ á¨áá˝á áá áĽáá á áĽáĽá á¨á°áᨠá áá°ááᣠáĽáá° ááá LANᢠáĽá "á˝áá" á ISP3 á¨á áá á áľáŤáť áĽáŤá á¨á°áá áá ᣠá áĽá áááł áááą á ISP2 áťáá á áŠá áŤááá ᣠááááŤáąá ááŁáŞá áá°ááááŤá áĽá፠áľááááŤá˘ á á áá˝ áĽá á á á áŤá˘á áľááá á áá°áá á°áĽá ááŁáá. á˝áአá°áááˇáᢠáĽáá´áľ áááłáľ ááťáá?
áááľáá á áśáľáľ á°á¨ááá˝ á¨á°á¨áá áá.
- á áľá ááá áľ á áá á°á¨á, á¨áŤáá°á áá°á¨áłá á áá áśá˝ ááááá: á¨á áŤáŁá˘ á ááłá¨áá¨áĽ, áá¨ááá, á¨á áľáŤáť ááááŽá˝, á¨ááá ááá፠NAT, ááá°.
- ááá˛áŤá á áá á°á¨á, á áľáááááš áááááśá˝ ááááľ áá°á¨ááŁá¸áá áĽá áá° áááŞáŤ á á¨á´ááá˝ áá°á¨á°áŤá.
- á¨á áá¤áľá áá á áááááľ ááᢠá áá á°á¨á á¨á áááá¨áĄ áá áááááľá á¨áá°áĄ á áááážá˝ ááááŤá, áŤáá˛áá áĽá á¨á áááá¨áĽ áťáá ááľáŤáŁ áá´ áĽáá˛áá áá°á¨áá.
1. á áľá ááá áľ
1.1. á¨áŤáá°á áá áá á áľáĽáá áĽáá¸áłáá-
/system reset-configuration skip-backup=yes no-defaults=yes
áá áĽáľáááá"á á°áá! áááááá áłáá áááá? [y/N]:â áĽá áĽáá°áá á¨áááá á áá á¨áááŚááľ áá á MAC á áŠá áĽááááááᢠá áá á°á¨á, á áááአáĽá á¨á°á ááá áá°á¨áľ áá¸áłá.
1.2. á á˛áľ á°á áá ááá áŠáĄ
/user add group=full name=knight password=ultrasecret comment=âNot horseâ
á áĽáą áľá ááᥠáĽá ááŁáŞáá áá°ááá˘
/user remove admin
áĽáá°áá ááááľ áŤáľáá áĄáĄ á¸ááá á¨á áá á°á áááą á¨á°á á á áĽáá°áá áĽá áĽá á áá áĽáá˛áá á¨áááá¨á ááŁáŞáá á°á áá ááľáááľ áĽá á ááá°áá¨á ááá˘
1.3. á áá¨ááá ᣠá áááľ á áá áśá˝ áĽá á ááὠᨠMAC á ááááŽá˝ ááľáĽ áááľáŤáľ áážáľ áá°á¨áłá á¨á áááá˝ ááááŽá˝á áĽáááĽáŤááá˘
/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"
á áááážá˝ á¨á áľá°áŤá¨áśá˝ áá ááá¨á
/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"
áĽá á¨á áááá˝ ááááŽá˝á ááááĄ-
/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN comment="LAN1"
/interface list member add interface=ether5 list=LAN comment="LAN2"
áĽáá°áá ááááľ áŤáľáá áĄáĄ ááá¨áłáľ á¨ááťá á áľá°áŤá¨áśá˝á ááťá á áá áá á¨áá áá áá áá áŤáá ááᣠá á°á¨ááŞá áá áááá áĽá á ááááŠá áá¨áłáľá á áĽá á áŤááťáťáá˘
á°áŤá˛á áá°á áááľ á˛áŁá á¨á˘á°á 3 á áááá˝á áá° "WAN" á áááá˝ áááá ááá¨áá á áľááá áĽáá°áá áááááŁá, ááá áĽááłá ᨠip ááŽáśáŽá á áĽáą ááľáĽ á¨ááááľ á˘ááá.
ᨠPPP á áááá˝ á ether3 áá á¨á°ááł á áá áá° á áááá˝ áááá "WAN" áá¨áá áĽáá°ááŤáľááá áááłáľ á¨ááĽááľá.
1.4. áŤáá°áŠá á¨á ááŤáŁá˝ ááá፠áĽá ááĽáĽá á¨á á áŤá˘ á ááłá¨ áá¨áŚá˝ á MAC á áŠá áĽáá°ááŤáááĄ-
/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN
1.5. áŤáá°áá ááá á á á ááľá°ááá á á á¨áá¨ááá ááŁáŞáŤ á°ááŚá˝á áĽáááĽáŤáááĄ-
/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow"
connection-state=established,related,untracked
(á°áᥠá¨áááąá á¨á°ááá á ááłá¨ áá¨áŚá˝ áĽá áŤáá°á áŤáą áá°ááአá¨á°áá°á¨áą áĽá á°ááá áááááśá˝ áááľ áá°áŁá)
/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp
(ááá áĽá ááá áĽáť áłááá ááá icmp áĽáá˛áᥠá°áá áśáá¸ááᢠMTU á˝ááŽá˝á áááááľ á áŁá á áá áá)
/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN
(á¨ááĽá áľ á°áá°ááąá á¨áááá á°áἠá¨á áááá¨áĄ á¨áááŁáá áááááá ááá áá¨áááá)
/ip firewall filter add action=accept chain=forward
comment="Established, Related, Untracked allow"
connection-state=established,related,untracked
(á°áᥠá áŤáá°á á áŠá á¨ááŤáá á¨á°áá°á¨áą áĽá á°ááá áááááśá˝á ááá áłá)
/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid
(á°áᥠá áŤáá°á á áŠá á ááá áááááľ-state=invalid) áááááśá˝á áłáá áŤáľáááŤáᢠá áááŽá˛á á áĽáĽá ááá¨áŤá ááá áá á á ááłááľ á áá á áá á áá áľáŤááá ááá áá˝áá)
/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
(á°áᥠá¨á˘áá°áááľ á¨ááᥠáĽá˝áá˝á áĽá ᨠdstnat á á°áŤáá áŤááá á áŤáá°á á áŠá áĽááłáá°ááá áá¨ááááá˘áá á¨á áŤáŁá˘ ááľáááŽá˝á á¨áá á ááłá¨ áá¨áŚá˝ áá á á°ááłáłá á¨áĽáŽáľáŤáľáľ á፠ááľáĽ ááá á¨áá á áááá˝á á¨ááááᥠááŤáŞáá˝ áá áĽááᢠááá˘áŤ áĽáᣠáľááá á¨á áŤáŁá˘áŤá˝áá á ááłá¨ áá¨áŚá˝ "ááá°áľ" ááááŠá˘)
áĽáá°áá ááááľ áŤáľáá áĄáĄ á ááłá¨ áá¨áŚá˝ LAN1 áĽá LAN2 á¨áłáá áĽá á ááŤá¨áá¸á áŤáá áľáŤáá áŤáá°áŁáŤ áááá áĽááľáĽá˘
1.6. áŤáá°á áŤááá á ááłá¨ áá¨áŚá˝ áááá áá áááá ááá áŠáĄ
/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS
(áá áá° á áááá¨áĽ á¨ááá°ááá á¨á áľáŤáťáá˝ áĽá á ááłá¨ áá¨áŚá˝ áááá áá áĽá á áá áá á¨áľ áá¨á°ááá˘)
áĽáá°áá ááááľ áŤáľáá áĄáĄ áááአáááἠáá˝áá, áľááá á áľáááááąá á á¨ááá áĽáá˛áŤá¨ááᥠáĽáááŤá˝ááá.
1.7. ááŤáá°áŠ áŤáą Რá¤á á¤áľ áŤáá áŠ
/ip dns set servers=1.1.1.1,8.8.8.8
áĽáá°áá ááááľ áŤáľáá áĄáĄ á áá áŁáá ᨠROS áľáŞáľáŁ á°áááá á ááááŽá˝ á¨áľáłá˛ááľ áááľááᢠá¨áľá áááť áĽáŤáá á áááአááľáĽ á á á°á á°á¨á°á áá° ááááŞáŤá á áááá áááŤáᢠáá° ááŁáŠ á áááá á¨áá°á¨áá á˝ááá á áá áŤáá á ááááá áľ áá áá. ááá áľáá áá - ᨠ5 á°á¨ááľ á áá. áá° áá ááááľáŁ âá¨áá°áá á ááááâ á¨ááá áľ á˛ááĽáᣠáá˛áŤáá á áá¨á°áľáᢠáá áá á áááŞáá áĽá á¨ááá˛áŤá áááá á¨áááľ ááľáĽ á ááľááŁáľ á°áŤá˛á á á á áŤá˘áá˝ á¨á°á°áĄ á ááááŽá˝á áááá áá ááááŤáá˘
1.8. á¨á áŤáŁá˘ á ááłá¨ áá¨áĽ áŤáá
áŠá˘
1.8.1. á LAN á áááážá˝ áá á¨áááááᥠá¨á áá á áľáŤáťáá˝á áĽááá
áŤáááĄ-
/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"
1.8.2. á ááá á¨áááŞáŤ á á¨á´á á áŠá áá° á¨á áŤáŁá˘áŤá˝á á ááłá¨ áá¨áŚá˝ áááááśá˝ á°ááŚá˝á áĽáááááá-
/ip route rule add dst-address=192.168.88.0/24 table=main comment=âto LAN1â
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"
áĽáá°áá ááááľ áŤáľáá áĄáĄ áá á ááŁáŞ ááááľ á¨ááŤáá á¨áŤáá°á á áááá˝ ááŤá á¨á áá á áľáŤáťáá˝á á áá áá ᨠLAN á áľáŤáťáá˝á áááááľ ááŁá áĽá ááá ááááśá˝ á ááą ááá˘
1.8.3. á LAN1 áĽá LAN2 á¨ááá áááá ፠NAT áŤáááĄ-
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1"
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2"
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0
áĽáá°áá ááááľ áŤáľáá áĄáĄ áá á á ááłá¨ áá¨áĄ ááľáĽ á áááá áľ áá á¨áĽááľáá ááĽáśá˝ (dstnat) á ááŤá á áá á áŠá áĽáá˛áŤáá áŤáľá˝áááłáá˘
2. á áĽáááą, á áŁá áľááááá ááá˛áŤá áľáá áŤ
âá¨á á¨áá áľ áááľâ á¨áááá á˝áá ááááłáľ ááᾠᨠROS ááłáŞáŤáá˝á áĽáá áááá- á¨áááááľ áááᾠи á¨áááŞáŤ ááááľ. á¨áááááľ ááááľ á¨áááááá áááááľ ááááľ áááľá¨á áĽá á¨á፠á¨áá áá፠áá áĽáá° á áľá áááł áĽáá˛á°áŠ áŤáľá˝áááłá á¨áááŞáŤ ááááľ. áĽá ááľááá áá á¨áááŞáŤ ááááľ ááľáĽ ááĽáŤáľ ááťáá ip áááᾠи á¨ááááľ á°ááŚá˝. ááłáŞáŤáášá á ááĽá°áá, á áá á¨áľáášá áááááśá˝ ááááľ ááľá¨á áĽááłááŚáľ ááá°á áŤáľáááááłá - á ááľ áá, á áľááá á¨áľ ááááľ áĽáá°áá°á¨á - áááľ.
á¨ááááŞáŤá áá, ááá ááá ááá áá - á¨á˘áá°áááľ áá° áŤáá°á á¨áááĄáľá áááá áááááśá˝ á á°áá˘á á°áἠáá ááááľ ááľá¨á á ááĽá. á áĽá áááłáŁ áĽááá áśáľáľ áááŤáá˝ (á á°ááŚá˝ áĽááľ) áááááĄ- âconn_isp1âᣠâconn_isp2â áĽá âconn_isp3âá˘
á¨ááá°áá áá áŤáá ááŠááľ á᪠áááááśá˝ áááľ ááááľ áááá-áááᣠáĽá ááŤáá°áŠ áŤáą á¨áłá°áĄáľá˘ á¨áááááľ ááá áá´ á á áá á¨áĽ ááľáĽ áá°áŤá ááá. á mikrotik-trainings.com ááĽáľ (ááľáłáá፠áłááá) áľááťááľáśá˝ á á°áááľ á á°áááá ááá áŁá áĽááá ááá፠áá á¨áĽá áá áĽáá áľáá´ á áľáĄá áľá˘
ááľáśášá á°á¨áľááᣠááŹáą á " áá áĽáá°á°á¨á° áĽááŤááá˘á¨áá¤áľ á áááá˝"ᣠá á°áá°ááą ááľáĽ áŤááá"á áľá ááá áľ"áĽá á¨á፠á áá áĽáť á áĽáá ááľáĽ áááᣠáĽá á áŤáŁá˘áŤá á°áĽá áá¨ááá"á¨áááŞáŤ ááłá". áľááá , á á ááľ áľááá áááľ ááá˝á áááá°á, áĽáá áááá á¨áááááľ ááááľ á á°áá ᨠtable ááľáĽ Mangle á áľá-ááááá á°áá°ááśá˝ á áľá ááá áľ.
ááľáłááť. á ROS ááľáĽ ᨠ"Routing Mark" áááŤáá˝ á á áá / ááľááŽá˝ / á°ááŚá˝ ááá ááľáĽ áĽáá° "á áá á¨áĽ" áĽá á ááá˝ áááá˝ "Routing Mark" á°áááá¨áá. áá á ááłááľ á፠áááŁáľá áá° áá¨áłáľ áŤáľá°ááááᣠááá ááᣠá áĽáááąáŁ áá á°ááłáłá ááá ááᣠáĽá á¨rt_tables analogue iproute2 á ááááľ áá ááá˘
2.1. á¨áĽáŤááłááą á á áŤá˘áá˝ á¨ááᥠáááááśá˝á ááááľ áĽáá°áááá-
/ip firewall mangle add action=mark-connection chain=prerouting
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1 new-connection-mark=conn_isp1 passthrough=no
/ip firewall mangle add action=mark-connection chain=prerouting
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2 new-connection-mark=conn_isp2 passthrough=no
/ip firewall mangle add action=mark-connection chain=prerouting
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3 new-connection-mark=conn_isp3 passthrough=no
áĽáá°áá ááááľ áŤáľáá áĄáĄ áá°á á˛á ááááľ á¨á°á°á¨ááŁá¸áá áááááśá˝ ááááľ ááááľá¨áᣠá¨áááááľ-áááľ=á á˛áľ ááá á¨áááááľ-mark=no-mark áááłá áĽá áááá ááááŤáąá áá á¨á áá áľááá áá áĽáŹ áľáááľáĽ áĽá áĽáá˛áá á ááĽááľ ááŁáŞáŤá ááľáĽ áá áŤááá áááááśá˝á ááŁá á áááá áá˘
passthrough=no - ááááŤáąá á áá
á¨áľáá ፠áá´ áĽáá°áá ááááľ ááľá¨á á¨á°ááá áľááá áĽá áááá á á¨ááááŞáŤá ááĽá፠á áá á
áá˝á ááá áá ááá¨áĽ áá˝ááá˘
áĽáľáŤáá áľá¨áľ á ááá ááአáŁáá áĽáá°áááᣠáááááľ á¨áá áľáᢠá áá á¨ááá áľ á°á¨ááá˝ áĽáť áá¸á. ááŁáŠ á¨á á°ááŁá á á°á¨á á á áŤáŁá˘áŤá á ááłá¨áá¨áĽ ááľáĽ á¨ááľá¨áťá á á°ááá á áááááľ áá á¨áááá°á á¨áááᣠáľáŤáá áá°áľ áá. áĽáááŤá˘ á ááááą áá á áŤáá°á á áŠá áŤáá áĽáá፠áĽá˝áá˝ (áľááá áááá¨áą)
"á¨áá¤áľ á áááá˝"=>"á áľá ááá áľ"=>"á¨ááááá ááłá"=>"á áľá°ááá"=>"á¨áľá ᨠááľáá"=>"á¨áá¤áľ á áááá˝" áĽá á á á¨áŁá˘á á ááłá¨áá¨áĽ ááľáĽ áá° á áľáŤáťá¸á ááĄá˘
á áľááá! á ROS ááľáĽ, áá° ááŤá áĽá ááľáŁá áááááá˝ á áááᎠáááá á¨áá. á¨áá áŁáá áĽááá ááá፠áá á¨áľ á¨ááá˝ ááŹáá ááááľ á¨á°á¨áłá°ááá áĽáá° áĽáŤáá á°ááłáłá ááááŤáłá ááááľ áá¨á°ááá˘
"á¨áá¤áľ á áááá˝"=>"á áľá ááá áľ"=>"á¨ááááá ááłá"=>"á áľá°ááá"=>"á¨áľá ᨠááľáá"=>"á¨áá¤áľ á áááá˝" ááĽáŤá áĽáť"á¨áá¤áľ á áááá˝"á¨á áá¤áľá á áááá˝ áá á, áĽá ááááą - LAN
2.2. á¨ááá˝ áľáŤáááľ áľáŤááá áá° á°ááłá á¨áááŞáŤ á á¨á´ááá˝ áĽáááŤáááĄ-
/ip firewall mangle add action=mark-routing chain=prerouting
comment="Routemark transit out via ISP1" connection-mark=conn_isp1
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no
/ip firewall mangle add action=mark-routing chain=prerouting
comment="Routemark transit out via ISP2" connection-mark=conn_isp2
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no
/ip firewall mangle add action=mark-routing chain=prerouting
comment="Routemark transit out via ISP3" connection-mark=conn_isp3
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no
á áľá°áŤá¨áľ. in-interface-list=!WAN - á¨ááá°áŤá á¨á áŤáŁá˘áŤá á ááłá¨áá¨áĽ áľáŤáá áá áĽáť áá áĽá dst-address-type=!local á áŤáą á¨áŤáá°á áááááá˝ á áľáŤáť ááľá¨áť á¨áááá˘
á ááááľ áá áá° áŤáá°á ááᥠá¨á áŤáŁá˘ ááŹáśá˝ á°ááłáłá áá-
"á¨áá¤áľ á áááá˝"=>"á áľá ááá áľ"=>"á¨áááŞáŤ ááłá"=>"áá¤áľ"=>"á áŤáŁá˘áŤá áá°áľ"
á áľááá! áááą á áá¨á°áá ááááľ áááłáá˘
"á áŤáŁá˘áŤá áá°áľ"=>"á¨áááŞáŤ ááłá"=>"áá
ááľ"=>"á¨áľá
ᨠááľáá"=>"á¨áá
á áľ á áááá˝"
2.3. á¨á áŤáŁá˘áá áľáŤáá áá° á°ááłá á¨áááŞáŤ á°áá á¨áŚá˝ áĽáááŤáááĄ-
/ip firewall mangle add action=mark-routing chain=output
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local
new-routing-mark=to_isp1 passthrough=no
/ip firewall mangle add action=mark-routing chain=output
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local
new-routing-mark=to_isp2 passthrough=no
/ip firewall mangle add action=mark-routing chain=output
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local
new-routing-mark=to_isp3 passthrough=no
á áá
á°á¨á, áĽáŤáá áá° ááŁá áľ á¨á áááá¨áĽ áťáá ááá˝ áááá á¨áááááľ áľáŤ áĽáá° áááľá ááá á áá˝áá. ááá ááá ááááľ á°á°ááá áłá ᣠááááľ á°á°ááá áłá áĽá ááááŤáľ ááá ááá˘
á¨áá
á
ááĽá áĽá
á á áŁá áĽáŠ "á¨áá" áá¤áľ á¨áááąá (á áá¤áľá2ᣠá áá¤áľá3) á á
áŤá˘áὠᨠDSNAT áá°áĽ ááľá°ááá áá á á°ááłáłá áá á¨ááľáŤáľ á˝ááł ááᢠá ááŤá˝áŁ á ISP1 áá á°ááá᪠áŤááá á áľáŤáť á ááᢠáá
á°á˝áĽá á áľááá áá, áááłá, á¨á°ááŤáŠ á¨á˘áá°áááľ áťááá˝á ááááá¨áą áááľ MXs áŤáá á¨áááááľ á áááá.
á¨á áŤáŁá˘áŤá á ááłá¨ áá¨áŚá˝á á¨ááŤá IP áŤáá°áŽá˝ áá áŤááá á á áŤá áááľááᾠᣠáááľááá˝á á¨á ááážá˝ áĽáá ááááᢠ1.8.2 áĽá 3.1.2.6.
á á°á¨ááŞá, á¨á˝ááŠá á ááá˝ 3 ááááłáľ ááááľ áŤáá ááłáŞáŤ áá áá áá˝áá. áĽáá°áá¨á°áá áĽáá°ááĽáŤáááĄ-
2.4. áľáŤááá á¨á áá ááľáĽ á°áá áá˝ á¨áááŞáŤ ááááŽá˝ áá° á°áá˘á á á¨á´ááá˝ áĽáááŤáááĄ-
/ip firewall mangle add action=mark-routing chain=prerouting
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1
passthrough=no src-address-list=Via_ISP1
/ip firewall mangle add action=mark-routing chain=prerouting
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2
passthrough=no src-address-list=Via_ISP2
/ip firewall mangle add action=mark-routing chain=prerouting
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3
passthrough=no src-address-list=Via_ISP3
á áá¤áąá, áĽáá°áá áŤá ááá áááľáá.
3. á¨á áá¤áľá áá áááááľ áŤáááĽáŠ áĽá áĽáŤááľ á¨á°á°á¨áá áľá ááááľ á áá
3.1. á¨á áá¤áľá1 áá áááááľ áŤáá
áŠáĄ-
3.1.1. á¨áááááłááľ á áá á áľáŤáť á áá
ááĄ
/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"
3.1.2. á¨áááááłááľ áááááá áŤáá
áŠáĄ
3.1.2.1. ááŁáŞ "á¨á á°á" ááááľ á áááĄ
/ip route add comment="Emergency route" distance=254 type=blackhole
áĽáá°áá ááááľ áŤáľáá áĄáĄ áá ááááľ á¨ááááá á á áŤá˘áá˝ á áááá˝ áááł ááá ááá áá á¨á áŤáŁá˘áŤá áá°áśá˝ áľáŤáá á¨ááááľ ááłá á°á¨áá áĽáá˛áŤáá áŤáľá˝áá¸ááᢠá¨á᪠á áŤáŁá˘áŤá áľáŤáá ááŠááľ ááŹáą á˘áŤááľ á¨áá áŚáł áĽáá˛áááłááľ ááá á¨áááŞáŤ á á¨á´á áá° ááŁáŞ ááá˘áŤ á á áá ááááľ ááá¨á áááŁáᢠáŤááá, áĽá á á ááá áá áá.
áĽáá° ááłáŞáŤ ááŤáá፠ááá˘áŤáá áŤá¨ááᥠáľá áťáá áááł á áá áŤá áľááłáᣠá°á°ááá á¨ááááľ áá´á áĽááľáľá áá ááłáĽ á áááŁááᢠá¨áľááą áᏠááá áŤáá°á áá° ááá˘áŤ á á á¨áááľá°áá ááááľ á ááĽáł áłááá á ááŤá¨ááá ááá˘áŤ ááááľ áĽáá˛ááá áááá ááᢠ4.2.2.1ᣠ4.2.2.2 áĽá 4.2.2.3 áá áá¤áľá1ᣠá áá¤áľá2 áĽá á áá¤áľá3 áĽáá°á¨á á°á á°á¨á°áá¸á á¨"áá¨áŤ" áá°ááááŤáá˝ ááá ááá¨áŁáá˘
3.1.2.2. áá° "áá¨áááŤ" á áľáŤáť ááááľ:
/ip route add check-gateway=ping comment="For recursion via ISP1"
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10
áĽáá°áá ááááľ áŤáľáá áĄáĄ 4.2.2.1 á ááá°ááą áĽáá° á°á°ááá ááá˘áŤ á á ááá áá á¨áá°á áĽá´áąá á ROS ááá áá°á ááľáĽ áá° ááŁáŞá áá áĽáá°ááááᢠá á áááľ áĽá°áŁááᥠáá° "áá¨áŤ" á áľáŤáť á¨áááľá°á ááááľ áá°á áá°ááá á¨ááŤááááľ á¨ááááą á˘áá áá°á áŤáá° ááá áĽáŠá ááá á áá áľá˘
3.1.2.3. áŤáááááá ááááľ ááľáŤáá á°á°ááá ááŁáŞ ááááľáĄ-
/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1
áĽáá°áá ááááľ áŤáľáá áĄáĄ á¨áááľ=2 áĽá´áą áĽá á áá á¨áááá á áá¤áľá1 áĽáá° á°ááŁá áááłá ââáĽáá° ááááŞáŤá ááľáŹ áľáá°ááḠááá˘
3.1.2.4. ááľáŤáá á°á°ááá ááŁáŞ ááááľ "to_isp1" á¨áá ááááľ áŤáááĄ-
/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1
routing-mark=to_isp1
áĽáá°áá ááááľ áŤáľáá áĄáĄ á áĽáááą áĽáá á áá¨á¨áť á á ááá˝ 2 áá á á°á¨áááá á¨ááá áľ áĽáŤ áᏠáá°á°áľ ááá¨áá á˘
á áá
ááááľáŁ á¨áľááá ááŁáŞ áá°ááá፠á á áá áá áááá á áá á¨áĽ áá˘á á˘áááᣠâto_isp1â á¨áá ááááľ áŤáá áľáŤáá áá° ááááŞáŤá á á
áŤá˘á ááá˘áŤ á á áááŤáá˘
3.1.2.5. áá áá¤áľá2 áĽá áá áá¤áľá3 áá፠á¨á°á°á á áľáŤáá á¨ááááŞáŤ á°á°ááá á°á°ááá ááŁáŞ ááááľáĄ-
/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1
routing-mark=to_isp3
áĽáá°áá ááááľ áŤáľáá áĄáĄ á¨á áľáŤáť ááááŽá˝ á áŁá á¨áá á¨á áŤáŁá˘ á ááłá¨ áá¨áŚá˝ áľáŤáá áááľáŤá á¨ááá˝ áááŽá˝ á á°á¨á᪠áĽááá ááááśá˝ áŤáľááááá˘
3.1.2.6. á á áá¤áľá1 á áŠá áá° á áááá¨áĽ á¨áááľá°áá á¨áŤáá°á á áŤáŁá˘áŤá áľáŤáá ááááľ áĽáááááŁááá˘
/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1
áĽáá°áá ááááľ áŤáľáá áĄáĄ á¨á ááá˝ 1.8.2 ááá˝ áá á ááŁáá á¨á°á°á á ááá áá áá°ááááá á°áἠááłá¨áť áá°áŁá. áá á áŤáŁá˘áŤá á¨áá IP á áľáŤáťá (EoIP, IP-IP, GRE) á¨ááááš ááťáá˝á áááááŁáľ ááłá áá. á ip ááá á°ááŚá˝ ááľáĽ áŤááľ á°ááŚá˝ á¨áá áá° áłá˝ áľáááá¸á, áĽáľá¨ ááááŞáŤá á¨áááłáá˝ ááĽá፠áľá¨áľ, áá á°áἠá¨á ááá˝ 1.8.2 á°ááŚá˝ á áá ááá á áá áľ.
3.1.3. áá᪠áľáŤáá ᨠNAT á áá áĽáááááŁáááĄ-
/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2
áĽáá°áá ááááľ áŤáľáá áĄáĄ áá° IPsec ááá˛áá˝ ááľáĽ á¨áᣠá áľá°áá á¨áááŁáá ááá áá áá˛á á áľááᢠá áŁá á áľááá áŤááá á áá action=masquerade áááá áá áĽáááŤááᢠááĽáŤááłááą á á˛áľ ááááᾠᨠNAT á áľáŤáťá áľáááŤá°á ᨠsrc-nat á¨á áá áááá áĽá á¨á áá á¨áá¨á ááá ááá˘
3.1.4. á¨ááá˝ á á áŤá˘áá˝ áá áĽááłáááá á¨á°á¨áá¨á á°áá áá˝á á¨áááአá ááĽáł áá° á áá¤áľá1 á á áŤá˘á ááá˘áŤ áĽáááŤááá˘
/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only"
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1
src-address-list=Via_only_ISP1 place-before=0
áĽáá°áá ááááľ áŤáľáá áĄáĄ áĽááá=ááááľ á¨á áá á áľá፠á¨áá°á á áĽá á¨áá°áá á¨á á¨ááá˝ á¨áááŞáŤ á áá˝ á ááľ ááá˘
place-before=0 - á°ááŁá˝áá á áááአááľáĽ áŤáľááľááá˘
3.2. á¨á áá¤áľá2 áá áááááľ áŤáá áŠá˘
á¨á áá¤áľá2 á á áŤá˘á á ááĽáŽášá á DHCP á áŠá áľááá°á áᣠá¨DHCP á°áá á á˛áá á áááá áľááŞááľ á áľááááá ááἠááľá¨á ááááŤáłá ááá˘
/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
n /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1
dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
n /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
n /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2
routing-mark=to_isp2;r
n /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2
routing-mark=to_isp1;r
n /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2
routing-mark=to_isp3;r
n /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none
out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2"
place-before=1;r
n if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
n /ip route rule add comment="From ISP2 IP to Inet"
src-address=$"lease-address" table=to_isp2 r
n } else={r
n /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no
src-address=$"lease-address"r
n } r
n} else={r
n /ip firewall nat remove [find comment="NAT via ISP2"];r
n /ip route remove [find comment="For recursion via ISP2"];r
n /ip route remove [find comment="Unmarked via ISP2"];r
n /ip route remove [find comment="Marked via ISP2 Main"];r
n /ip route remove [find comment="Marked via ISP1 Backup1"];r
n /ip route remove [find comment="Marked via ISP3 Backup2"];r
n /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
n}r
n" use-peer-dns=no use-peer-ntp=no
áľááŞááą áŤáą á áááŚááľ ááľáŽáľ ááľáĽáĄ-
áĽáá°áá ááááľ áŤáľáá áĄáĄ á¨áŞáŤá áá á á°áłáŤ áááł á˛á ááá
á¨áľááŞááą á¨ááááŞáŤ ááá áááłá, ááá°áá - áá á¨á°ááá á áá.ááľáłááť 2 áááá¨áą
3.3. á¨á áá¤áľá3 á á áŤá˘ áá áááááľ á ááá á°ááá˘
á¨á áá áśá˝ á á áŤá˘á á°áááá áľááá°á á, ᨠppp á áááá˝ á¨á°ááł á áá áĽá á¨ááľááľ á áá á áááአáľááŞááśá˝ á áľááá áááŚá˝á ááľá¨á ááááŤáłá áá.
3.3.1. á ááááŞáŤ ááááŤáá áĽááá áŤáá-
/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client
on-down="/ip firewall nat remove [find comment="NAT via ISP3"];r
n/ip route remove [find comment="For recursion via ISP3"];r
n/ip route remove [find comment="Unmarked via ISP3"];r
n/ip route remove [find comment="Marked via ISP3 Main"];r
n/ip route remove [find comment="Marked via ISP1 Backup2"];r
n/ip route remove [find comment="Marked via ISP2 Backup2"];r
n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;"
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1
dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3
routing-mark=to_isp3;r
n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3
routing-mark=to_isp1;r
n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3
routing-mark=to_isp2;r
n/ip firewall mangle set [find comment="Connmark in from ISP3"]
in-interface=$"interface";r
n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none
out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3"
place-before=1;r
nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
n /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address"
table=to_isp3 r
n} else={r
n /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no
src-address=$"local-address"r
n};r
n"
áľááŞááą áŤáą á áááŚááľ ááľáŽáľ ááľáĽáĄ-
áĽáá°áá ááááľ áŤáľáá áĄáĄ ááľáá
/ ip áá¨ááá mangle á ááá
[á áľá°áŤá¨áľ ááá = "Connmark in ᨠISP3"] á áááá˝=$"á áááá˝";
á¨áá áŤá á¨ááłáŤ áľá áá áłááá á¨áŽáą áá áľááá á¨á áááášá áĽáá°áá áá°á¨á á áľááá áĽáá˛ááŁá አáŤáľá˝áááłáá˘
3.3.2. á ááᣠááááŤáá á áá ááᣠá¨ppp áááááľ ááá áŠáĄ
/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client
áĽáá° á¨áá¨á¨áť áá᪠á°ááąá áĽáááá áĄ-
/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org
áĽáľá¨ áá¨á¨áťá ááá áĄáľ
ááá˛áŤá ááá°áá á á¨áłáá°á ááááľ á¨á¸ááá á¨áá áá፠áá áĽá á¨ááťá áĽáť á áá°áá. ᨠROS ááŁáŞáŤ áľáĽáľáĽ á°á áĽá á°áááá áá, áĽáąá á á ááľ á áŠá, ááááŞáá˝ á˝áá áááĽáŤá, á áá á áŠá, áłááááą ááááŤáľ áá. áááŠáŁ ááááŠáŁ á áłá˛áľ ááłáŞáŤáá˝á áĽá áááľááá˝á áŤááᢠáááłá, á¨á°áááá áĽáááľ áĽáá° áľáá áŤ, á áá á¨ááá˛áŤá á á°ááŁá á ááľáĽ ááłáŞáŤáá áá°áŤáľ ááťáá áźá-ááľáá áá° á°á°ááá ááááśá˝ áá netwatch.
ááľáłááťáá˝
- áźá-ááľáá áááľ á°á¨áłáłá áŤáá°áłáŠ á¨ááá˘áŤ áá°áťáá˝ áááááľ á¨á°á°á¨á á áá ááááąá áááĽááľ á¨ááŤáľá˝á áá´á˘ áźáŠ á á¨10 á°á¨ááľ á ááľ áá áá¨ááááᣠá á°á¨ááŞá á¨ááá˝ áá ááĽá፠ááᢠá á á
ááá ᣠáľááááá á¨ááá¨áŞáŤ áá á 20-30 á°á¨ááľ ááľáĽ ááᢠáĽáá°áá
á áááľ á¨ááá¨áŞáŤ áá á á áŤááá ááłáŞáŤáá ááá áá á ááŤá á á netwatch, á¨áá°áť áá ááŁáŞá á áĽá
áááá
á¨áá˝áá áľ. áźá-ááľáá á á ááá áá á áááŤá¨áĽ á¨ááŹáľ áŞáłáŤ áá á ááá áá.
á áľááá! áá ááááľá ááŚáá áááá ááá˝ ááááśá˝á áŤáŚááááᢠáľááá , ááĽáááą áĽáá˛áááš check-gateway=ááá á áŤáľáááá.
- á áĽáľáłáľ áááł ááľáĽ á¨á°áŁá á á°áá á á áááľáá á DHCP áá´ ááľáĽ ááľááľ á˛á¨á°áľ áá¨á°áłáᢠá áá áááł, á¨áľááŞááą ááá°á ááá á áá°áŤá, ááá áá áľá´áą á°ááłá á°á°ááááá ááááľ áľááá¨áłá°á áľáŤáá á áľááá áĽááłááŤááľ á áŤáá°áá.
- ECMP (áĽáŠá á᪠áŁááĽá ááááľ) - á ROS ááľáĽ áĽá áá°ááááŤáá˝ áĽá á°ááłáłá áááľ áŤáá ááááľ áááááľ ááťáá. á áá á ááŁá áááááśáš á¨á°á ááąáľ á¨áá°ááá፠ááááśá˝ áĽááľ áá á°ááŁáŁá á áá ááአáἠáŽá˘á á áááŞááá á áá áá á á°ááŚá˝ áá áá°áŤáŤáá˘
á˝ááá áááťá á°ááłá˝áᾠᣠá ááááŠá áĽá á¨á áááá ááá¤áá˝á á áááἠááá
á¨á˝ áá¨áą - á Evgeny á¨áá ááľáá
ááá: hab.com