Osnove statičkog usmjeravanja u Mikrotik RouterOS-u

Rutiranje je proces pronalaženja najbolje putanje za prijenos paketa preko TCP/IP mreža. Svaki uređaj povezan na IPv4 mrežu sadrži tablice procesa i rutiranja.

Ovaj članak nije HOWTO, on opisuje statičko rutiranje u RouterOS-u sa primjerima, namjerno sam izostavio ostale postavke (npr. srcnat za pristup internetu), tako da razumijevanje materijala zahtijeva određeni nivo znanja o mrežama i RouterOS-u.

Prebacivanje i rutiranje

Prebacivanje je proces razmjene paketa unutar jednog segmenta Layer2 (Ethernet, ppp, ...). Ako uređaj vidi da je primalac paketa na istoj Ethernet podmreži sa njim, uči mac adresu koristeći arp protokol i direktno prenosi paket, zaobilazeći ruter. PPP (point-to-point) veza može imati samo dva učesnika i paket se uvijek šalje na jednu adresu 0xff.

Rutiranje je proces prijenosa paketa između Layer2 segmenata. Ako uređaj želi poslati paket čiji je primalac izvan Ethernet segmenta, on gleda u svoju tabelu rutiranja i prosljeđuje paket na gateway koji zna gdje da sljedeći paket pošalje (ili možda ne zna, originalni pošiljatelj paketa je nije svjestan ovoga).

Najlakši način da zamislite ruter je kao uređaj povezan na dva ili više Layer2 segmenata i sposoban za prosljeđivanje paketa između njih određivanjem najbolje rute iz tablice rutiranja.

Ako sve razumete, ili ste to već znali, onda čitajte dalje. Za ostalo, toplo preporučujem da se upoznate s malim, ali vrlo prostranim članak.

Usmjeravanje u RouterOS i PacketFlow

Gotovo sve funkcionalnosti vezane za statičko rutiranje nalaze se u paketu sistem. Paket rutiranje dodaje podršku za dinamičke algoritme rutiranja (RIP, OSPF, BGP, MME), filtere rutiranja i BFD.

Glavni meni za podešavanje rutiranja: [IP]->[Route]. Složene šeme mogu zahtijevati da paketi budu unaprijed označeni oznakom usmjeravanja u: [IP]->[Firewall]->[Mangle] (lanci PREROUTING и OUTPUT).

Postoje tri mjesta na PacketFlow-u gdje se donose odluke o usmjeravanju IP paketa:

1. Usmjeravanje paketa koje je primio ruter. U ovoj fazi se odlučuje da li će paket ići u lokalni proces ili će biti poslan dalje u mrežu. Primaju tranzitne pakete Izlazni interfejs
2. Usmjeravanje lokalnih odlaznih paketa. Primaju odlazne pakete Izlazni interfejs
3. Dodatni korak usmjeravanja za odlazne pakete, omogućava vam da promijenite odluku o usmjeravanju [Output|Mangle]

• Putanja paketa u blokovima 1, 2 zavisi od pravila u [IP]->[Route]
• Putanja paketa u tačkama 1, 2 i 3 zavisi od pravila u [IP]->[Route]->[Rules]
• Putanja paketa u blokovima 1, 3 može se utjecati pomoću [IP]->[Firewall]->[Mangle]

RIB, FIB, keš za rutiranje

Baza informacija o rutiranju
Baza u kojoj se prikupljaju rute iz dinamičkih protokola rutiranja, rute iz ppp i dhcp, statičke i povezane rute. Ova baza podataka sadrži sve rute, osim onih koje filtrira administrator.

Uslovno, možemo pretpostaviti da [IP]->[Route] prikazuje RIB.

Baza informacija za prosljeđivanje

Baza u kojoj se prikupljaju najbolje rute iz RIB-a. Sve rute u FIB-u su aktivne i koriste se za prosljeđivanje paketa. Ako ruta postane neaktivna (onemogućena od strane administratora (sistema), ili sučelje kroz koje treba poslati paket nije aktivno), ruta se uklanja iz FIB-a.

Za donošenje odluke o usmjeravanju, FIB tablica koristi sljedeće informacije o IP paketu:

• Izvorna adresa
• Adresa odredišta
• Izvorni interfejs
• Oznaka usmjeravanja
• ToS (DSCP)

Ulazak u FIB paket prolazi kroz sljedeće faze:

• Je li paket namijenjen za proces lokalnog rutera?
• Da li paket podliježe sistemskim ili korisničkim PBR pravilima?
  • Ako da, onda se paket šalje u navedenu tabelu rutiranja
• Paket se šalje na glavni sto

Uslovno, možemo pretpostaviti da [IP]->[Route Active=yes] prikazuje FIB.

Ruting Cache
Mehanizam keširanja rute. Ruter pamti gdje su paketi poslani i ako postoje slični (vjerovatno sa iste konekcije) pušta ih da idu istom rutom, bez provjere u FIB-u. Keš ruta se periodično briše.

Za administratore RouterOS-a nisu napravili alate za pregled i upravljanje kešom rutiranja, ali kada se može onemogućiti u [IP]->[Settings].

Ovaj mehanizam je uklonjen iz jezgra linuxa 3.6, ali RouterOS i dalje koristi kernel 3.3.5, možda je Routing cahce jedan od razloga.

Dodaj dijalog rute

[IP]->[Route]->[+]

1. Podmreža za koju želite da kreirate rutu (podrazumevano: 0.0.0.0/0)
2. IP pristupnika ili interfejs na koji će se paket poslati (može ih biti nekoliko, pogledajte ECMP ispod)
3. Provjera dostupnosti pristupnika
4. Vrsta zapisa
5. Udaljenost (metrička) za rutu
6. Tabela rutiranja
7. IP za lokalne odlazne pakete preko ove rute
8. Svrha opsega i ciljni opseg je napisana na kraju članka.

Zastavice rute

• X - Rutu je onemogućio administrator (disabled=yes)
• A - Ruta se koristi za slanje paketa
• D - Ruta se dodaje dinamički (BGP, OSPF, RIP, MME, PPP, DHCP, povezan)
• C - Podmreža je povezana direktno na ruter
• S - statična ruta
• r,b,o,m - Ruta dodana jednim od dinamičkih protokola rutiranja
• B,U,P - Filtriranje rute (ispušta pakete umjesto odašiljanja)

Šta navesti u gatewayu: ip-adresu ili interfejs?

Sistem vam omogućava da navedete i jedno i drugo, dok ne psuje i ne daje nagoveštaje da li ste nešto pogrešili.

IP adresa
Adresa mrežnog prolaza mora biti dostupna preko Layer2. Za Ethernet, to znači da ruter mora imati adresu iz iste podmreže na jednom od aktivnih ip interfejsa, za ppp, da je adresa gateway-a navedena na jednom od aktivnih interfejsa kao adresa podmreže.
Ako uvjet pristupačnosti za Layer2 nije ispunjen, ruta se smatra neaktivnom i ne spada u FIB.

sučelje
Sve je komplikovanije i ponašanje rutera zavisi od tipa interfejsa:

• PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) veza pretpostavlja samo dva učesnika i paket će uvijek biti poslan na gateway za prijenos, ako gateway otkrije da je primalac sam, tada će prenijeti paket na njegov lokalni proces.
  
• Ethernet pretpostavlja prisustvo velikog broja učesnika i šalje zahteve arp interfejsu sa adresom primaoca paketa, što je očekivano i sasvim normalno ponašanje za povezane rute.
  Ali kada pokušate da koristite interfejs kao rutu za udaljenu podmrežu, dobićete sledeću situaciju: ruta je aktivna, ping do gatewaya prolazi, ali ne stiže do primaoca iz navedene podmreže. Ako pogledate interfejs kroz njuškalo, videćete arp zahteve sa adresama iz udaljene podmreže.
  

Pokušajte navesti ip adresu kao gateway kad god je to moguće. Izuzetak su povezane rute (kreirane automatski) i PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN*) interfejsi.

OpenVPN ne sadrži PPP zaglavlje, ali možete koristiti naziv OpenVPN interfejsa za kreiranje rute.

Specifičnija ruta

Osnovno pravilo rutiranja. Ruta koja opisuje manju podmrežu (sa najvećom maskom podmreže) ima prednost u odluci o usmjeravanju paketa. Položaj unosa u tabeli rutiranja nije relevantan za izbor – glavno pravilo je Specifičnije.

Sve rute iz navedene šeme su aktivne (nalaze se u FIB-u). upućuju na različite podmreže i ne sukobljavaju se jedni s drugima.

Ako jedan od gateway-a postane nedostupan, pridružena ruta će se smatrati neaktivnom (uklonjenom iz FIB-a) i paketi će se pretraživati ​​sa preostalih ruta.

Ruti sa podmrežom 0.0.0.0/0 ponekad se pridaje posebno značenje i naziva se "Podrazumevana ruta" ili "Posljednji prolaz". U stvari, tu nema ničeg magičnog i jednostavno uključuje sve moguće IPv4 adrese, ali ova imena dobro opisuju njegov zadatak – ukazuje na gateway kamo se prosljeđuju paketi za koje ne postoje druge, preciznije rute.

Maksimalna moguća maska ​​podmreže za IPv4 je /32, ova ruta ukazuje na određeni host i može se koristiti u tabeli rutiranja.

Razumijevanje specifičnije rute je fundamentalno za svaki TCP/IP uređaj.

rastojanje

Udaljenosti (ili metrika) su potrebne za administrativno filtriranje ruta do jedne podmreže dostupnoj preko više mrežnih prolaza. Ruta s nižom metrikom smatra se prioritetom i bit će uključena u FIB. Ako ruta s nižom metrikom prestane biti aktivna, tada će biti zamijenjena rutom s višom metrikom u FIB-u.

Ako postoji nekoliko ruta do iste podmreže sa istom metrikom, ruter će dodati samo jednu od njih u FIB tabelu, vođen svojom internom logikom.

metrika može imati vrijednost od 0 do 255:

• 0 - metrika za povezane rute. Administrator ne može postaviti udaljenost 0
• 1-254 - metrika dostupna administratoru za postavljanje ruta. Metrike s nižom vrijednošću imaju veći prioritet
• 255 - metrika dostupna administratoru za postavljanje ruta. Za razliku od 1-254, ruta s metrikom 255 uvijek ostaje neaktivna i ne spada u FIB
• specifične metrike. Rute izvedene iz dinamičkih protokola usmjeravanja imaju standardne metričke vrijednosti

provjerite gateway

Check gateway je proširenje MikroTik RoutesOS za provjeru dostupnosti gatewaya putem icmp-a ili arp-a. Svakih 10 sekundi (ne može se promijeniti), zahtjev se šalje na gateway, ako se odgovor ne primi dva puta, ruta se smatra nedostupnom i uklanja se iz FIB-a. Ako je check gateway onemogućen, ruta provjere se nastavlja i ruta će ponovo postati aktivna nakon jedne uspješne provjere.

Check gateway onemogućuje unos u kojem je konfiguriran i sve ostale unose (u svim tabelama rutiranja i ecmp rutama) sa navedenim gateway-om.

U principu, check gateway radi dobro sve dok nema problema sa gubitkom paketa na gatewayu. Check gateway ne zna šta se dešava sa komunikacijom izvan proverenog gateway-a, za to su potrebni dodatni alati: skripte, rekurzivno rutiranje, dinamički protokoli rutiranja.

Većina VPN i tunelskih protokola sadrži ugrađene alate za provjeru aktivnosti veze, omogućavajući provjeru gatewaya za njih je dodatno (ali vrlo malo) opterećenje mreže i performansi uređaja.

ECMP rute

Equal-Cost Multi-Path - slanje paketa primaocu koristeći nekoliko gateway-a istovremeno koristeći Round Robin algoritam.

ECMP rutu kreira administrator navođenjem više gateway-a za jednu podmrežu (ili automatski, ako postoje dvije ekvivalentne OSPF rute).

ECMP se koristi za balansiranje opterećenja između dva kanala, teoretski, ako postoje dva kanala u ecmp ruti, tada bi za svaki paket odlazni kanal trebao biti drugačiji. Ali mehanizam Routing cachea šalje pakete iz veze duž rute koju je prvi paket uzeo, kao rezultat, dobijamo neku vrstu balansiranja na osnovu veza (balansiranje opterećenja po konekciji).

Ako onemogućite Routing Cache, tada će se paketi na ECMP ruti dijeliti ispravno, ali postoji problem s NAT-om. NAT pravilo obrađuje samo prvi paket iz veze (ostatak se obrađuje automatski), a ispada da paketi sa istom izvornom adresom napuštaju različita sučelja.

Provjerite da li gateway ne radi u ECMP rutama (greška RouterOS-a). Ali ovo ograničenje možete zaobići kreiranjem dodatnih ruta za provjeru valjanosti koje će onemogućiti unose u ECMP.

Filtriranje putem rutiranja

Opcija Type određuje šta treba učiniti s paketom:

• unicast - pošalji na specificirani gateway (sučelje)
• blackhole - odbacite paket
• zabraniti, nedostupno - odbaciti paket i poslati icmp poruku pošiljaocu

Filtriranje se obično koristi kada je potrebno osigurati slanje paketa pogrešnim putem, naravno, ovo možete filtrirati kroz zaštitni zid.

Par primjera

Za konsolidaciju osnovnih stvari o rutiranju.

Tipičan kućni ruter

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

1. Statička ruta do 0.0.0.0/0 (zadana ruta)
2. Povezana ruta na interfejsu sa provajderom
3. Povezana ruta na LAN interfejsu

Tipičan kućni ruter sa PPPoE

1. Statička ruta na zadanu rutu, dodana automatski. specificirano je u svojstvima veze
2. Povezana ruta za PPP vezu
3. Povezana ruta na LAN interfejsu

Tipičan kućni ruter sa dva provajdera i redundantnošću

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

1. Statička ruta do zadane rute kroz prvog provajdera s metrikom 1 i provjerom dostupnosti gatewaya
2. Statička ruta do zadane rute preko drugog provajdera s metrikom 2
3. Povezane rute

Saobraćaj do 0.0.0.0/0 ide kroz 10.10.10.1 dok je ovaj gateway dostupan, inače se prebacuje na 10.20.20.1

Takva shema se može smatrati rezervacijom kanala, ali nije bez nedostataka. Ako dođe do prekida izvan gateway-a provajdera (na primjer, unutar mreže operatera), vaš ruter neće znati za to i nastavit će smatrati rutu aktivnom.

Tipični kućni ruter sa dva provajdera, redundantnim i ECMP

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

1. Statičke rute za provjeru chack gatewaya
2. ECMP ruta
3. Povezane rute

Rute za provjeru su plave (boja neaktivnih ruta), ali to ne ometa prolaz za provjeru. Trenutna verzija (6.44) RoS-a daje automatski prioritet ECMP ruti, ali je bolje dodati test rute u druge tabele usmjeravanja (opcija routing-mark)

Na Speedtest i drugim sličnim stranicama neće biti povećanja brzine (ECMP dijeli promet po konekcijama, a ne po paketima), ali p2p aplikacije bi se trebale brže preuzimati.

Filtriranje putem rutiranja

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

1. Statička ruta do zadane rute
2. Statička ruta do 192.168.200.0/24 preko ipip tunela
3. Zabrana statičke rute do 192.168.200.0/24 preko ISP rutera

Opcija filtriranja u kojoj tunelski saobraćaj neće ići na ruter provajdera kada je ipip interfejs onemogućen. Takve šeme su rijetko potrebne, jer možete implementirati blokiranje kroz zaštitni zid.

Routing loop
Routing loop - situacija kada se paket pokreće između rutera prije nego što ttl istekne. Obično je to rezultat greške u konfiguraciji, u velikim mrežama se tretira implementacijom dinamičkih protokola rutiranja, u malim - pažljivo.

Izgleda ovako:

Primjer (najjednostavniji) kako dobiti sličan rezultat:

Primjer petlje rutiranja nije od praktične koristi, ali pokazuje da ruteri nemaju pojma o tablici usmjeravanja svog susjeda.

Usmjeravanje osnove politike i dodatne tablice usmjeravanja

Prilikom odabira rute ruter koristi samo jedno polje iz zaglavlja paketa (Dst. Address) - ovo je osnovno rutiranje. Rutiranje zasnovano na drugim uslovima, kao što su adresa izvora, tip saobraćaja (ToS), balansiranje bez ECMP-a, pripada Policy Base Routing (PBR) i koristi dodatne tabele rutiranja.

Specifičnija ruta je glavno pravilo odabira rute unutar tablice rutiranja.

Podrazumevano, sva pravila rutiranja se dodaju u glavnu tabelu. Administrator može kreirati proizvoljan broj dodatnih tabela rutiranja i usmjeravati pakete do njih. Pravila u različitim tabelama se međusobno ne sukobljavaju. Ako paket ne pronađe odgovarajuće pravilo u navedenoj tabeli, preći će na glavnu tabelu.

Primjer sa distribucijom preko Firewall-a:

• 192.168.100.10 -> 8.8.8.8
  1. Saobraćaj sa 192.168.100.10 se označava via-isp1 в [Prerouting|Mangle]
  2. U fazi Routing u tabeli via-isp1 traži rutu do 8.8.8.8
  3. Pronađena ruta, promet se šalje na gateway 10.10.10.1
• 192.168.200.20 -> 8.8.8.8
  1. Saobraćaj sa 192.168.200.20 se označava via-isp2 в [Prerouting|Mangle]
  2. U fazi Routing u tabeli via-isp2 traži rutu do 8.8.8.8
  3. Pronađena ruta, promet se šalje na gateway 10.20.20.1
• Ako jedan od gateway-a (10.10.10.1 ili 10.20.20.1) postane nedostupan, onda će paket otići do stola glavni i tamo će potražiti odgovarajuću rutu

Terminološka pitanja

RouterOS ima određene terminološke probleme.
Kada radite sa pravilima u [IP]->[Routes] naznačena je tabela rutiranja, iako je napisano da je oznaka:

В [IP]->[Routes]->[Rule] sve je ispravno, u stanju oznake u radnji tabele:

Kako poslati paket u određenu tabelu rutiranja

RouterOS nudi nekoliko alata:

• Pravila u [IP]->[Routes]->[Rules]
• Markeri rute (action=mark-routing) u [IP]->[Firewall]->[Mangle]
• VRF

Pravila [IP]->[Route]->[Rules]
Pravila se obrađuju sekvencijalno, ako paket odgovara uslovima pravila, ne prolazi dalje.

Pravila rutiranja vam omogućavaju da proširite mogućnosti rutiranja, oslanjajući se ne samo na adresu primaoca, već i na izvornu adresu i interfejs na koji je paket primljen.

Pravila se sastoje od uslova i radnje:

• Uslovi. Praktično ponovite listu znakova po kojima se paket provjerava u FIB-u, nedostaje samo ToS.
• Akcije
  • lookup - poslati paket na tabelu
  • traži samo u tabeli - zaključaj paket u tabeli, ako ruta nije pronađena, paket neće ići u glavnu tabelu
  • ispusti - ispusti paket
  • nedostižan - odbacite paket sa obaveštenjem pošiljaoca

U FIB-u, promet do lokalnih procesa se obrađuje zaobilazeći pravila [IP]->[Route]->[Rules]:

Označavanje [IP]->[Firewall]->[Mangle]
Oznake rutiranja vam omogućavaju da postavite gateway za paket koristeći gotovo sve uslove zaštitnog zida:

Praktično, jer nemaju svi smisla, a neki mogu raditi nestabilno.

Postoje dva načina za označavanje paketa:

• Odmah staviti oznaka rute
• Stavi prvo oznaka veze, zatim na osnovu oznaka veze staviti oznaka rute

U članku o zaštitnim zidovima napisao sam da je druga opcija poželjnija. smanjuje opterećenje procesora, u slučaju označavanja ruta - to nije sasvim točno. Ove metode označavanja nisu uvijek ekvivalentne i obično se koriste za rješavanje različitih problema.

Primjeri upotrebe

Pređimo na primjere korištenja Policy Base Routinga, oni su mnogo lakše pokazati zašto je sve ovo potrebno.

MultiWAN i povratni odlazni (Izlazni) promet
Čest problem sa MultiWAN konfiguracijom: Mikrotik je dostupan sa Interneta samo preko "aktivnog" provajdera.

Ruteru nije važno na koji je ip zahtjev stigao, pri generiranju odgovora tražit će rutu u tabeli rutiranja gdje je ruta kroz isp1 aktivna. Nadalje, takav paket će najvjerovatnije biti filtriran na putu do primaoca.

Još jedna zanimljiva tačka. Ako je "jednostavan" izvorni nat konfiguriran na ether1 sučelju: /ip fi nat add out-interface=ether1 action=masquerade paket će biti online sa src. adresa=10.10.10.100, što stvari čini još gorim.

Postoji nekoliko načina za rješavanje problema, ali svaki od njih će zahtijevati dodatne tablice usmjeravanja:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

Koristite [IP]->[Route]->[Rules]
Odredite tablicu usmjeravanja koja će se koristiti za pakete sa specificiranim izvornim IP-om.

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

Može koristiti action=lookup, ali za lokalni odlazni promet, ova opcija potpuno isključuje veze s pogrešnog sučelja.

• Sistem generiše paket odgovora sa Src. Adresa: 10.20.20.200
• Korak Odluke o usmjeravanju(2) provjerava [IP]->[Routes]->[Rules] i paket se šalje u tabelu rutiranja over-isp2
• Prema tabeli rutiranja, paket se mora poslati na gateway 10.20.20.1 preko ether2 interfejsa

Ova metoda ne zahtijeva radni Connection Tracker, za razliku od korištenja tablice Mangle.

Koristite [IP]->[Firewall]->[Mangle]
Veza počinje sa dolaznim paketom, pa ga označavamo (action=mark-connection), za odlazne pakete sa označene veze, postavite oznaku usmjeravanja (action=mark-routing).

/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Ako je nekoliko ip-ova konfigurirano na jednom sučelju, možete dodati uvjet dst-address da bi bili sigurni.

• Paket otvara vezu na ether2 interfejsu. Paket ide u [INPUT|Mangle] koji kaže da se svi paketi iz veze označi kao from-isp2
• Sistem generiše paket odgovora sa Src. Adresa: 10.20.20.200
• U fazi odluke o rutiranju(2), paket se, u skladu sa tabelom rutiranja, šalje na gateway 10.20.20.1 preko ether1 interfejsa. Ovo možete provjeriti prijavljivanjem paketa [OUTPUT|Filter]
• Na pozornici [OUTPUT|Mangle] naljepnica veze je provjerena from-isp2 i paket prima oznaku rute over-isp2
• Korak Usmjeravanje usmjeravanja(3) provjerava prisutnost naljepnice za usmjeravanje i šalje je odgovarajućoj tablici usmjeravanja
• Prema tabeli rutiranja, paket se mora poslati na gateway 10.20.20.1 preko ether2 interfejsa

MultiWAN i povratni dst-nat saobraćaj

Primjer je složeniji, što učiniti ako postoji server (na primjer, web) iza rutera na privatnoj podmreži i morate mu omogućiti pristup preko bilo kojeg od provajdera.

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

Suština problema će biti ista, rješenje je slično opciji Firewall Mangle, samo će se koristiti drugi lanci:

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Na dijagramu nije prikazan NAT, ali mislim da je sve jasno.

MultiWAN i izlazne veze

Možete koristiti PBR mogućnosti za kreiranje više vpn (SSTP u primjeru) veza iz različitih sučelja rutera.

Dodatne tablice rutiranja:

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

Oznake na pakovanju:

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

Jednostavna NAT pravila, inače će paket napustiti interfejs sa pogrešnim Src. adresa:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

Parsiranje:

• Ruter kreira tri SSTP procesa
• U fazi Odluke o usmjeravanju (2), odabire se ruta za ove procese na osnovu glavne tablice rutiranja. Sa iste rute, paket prima Src. Adresa vezana za ether1 interfejs
• В [Output|Mangle] paketi sa različitih veza dobijaju različite oznake
• Paketi ulaze u tabele koje odgovaraju oznakama u fazi podešavanja rutiranja i primaju novu rutu za slanje paketa
• Ali paketi i dalje imaju Src. Adresa sa ether1, na bini [Nat|Srcnat] adresa se zamjenjuje prema interfejsu

Zanimljivo je da ćete na ruteru vidjeti sljedeću tabelu povezivanja:

Connection Tracker radi ranije [Mangle] и [Srcnat], dakle sve veze dolaze sa iste adrese, ako pogledate detaljnije, onda unutra Replay Dst. Address biće adrese nakon NAT-a:

Na VPN serveru (imam jedan na test benchu) možete vidjeti da sve veze dolaze sa ispravnih adresa:

Sačekaj malo
Postoji lakši način, možete jednostavno odrediti određeni gateway za svaku od adresa:

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

Ali takve rute će uticati ne samo na odlazni već i na tranzitni saobraćaj. Osim toga, ako vam nije potreban promet na vpn serveru da biste prošli kroz neprikladne komunikacijske kanale, tada ćete morati dodati još 6 pravila u [IP]->[Routes]с type=blackhole. U prethodnoj verziji - 3 pravila u [IP]->[Route]->[Rules].

Distribucija korisničkih veza po komunikacijskim kanalima

Jednostavni, svakodnevni zadaci. Opet će biti potrebne dodatne tablice rutiranja:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

Koristeći [IP]->[Route]->[Rules]

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

Ako se koristi action=lookup, onda kada je jedan od kanala onemogućen, saobraćaj će ići na glavni sto i prolaziti kroz radni kanal. Da li je to potrebno ili ne zavisi od zadatka.

Koristeći oznake u [IP]->[Firewall]->[Mangle]
Jednostavan primjer sa listama ip adresa. U principu, mogu se koristiti gotovo svi uslovi. Jedino upozorenje sloja 7, čak i kada je upareno sa oznakama veze, može izgledati da sve radi kako treba, ali će dio prometa i dalje ići pogrešnim putem.

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

Možete "zaključati" korisnike u jednoj tablici rutiranja [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

Ili kroz [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

Retreat pro dst-address-type=!local
Dodatni uvjet dst-address-type=!local potrebno je da saobraćaj od korisnika stigne do lokalnih procesa rutera (dns, winbox, ssh,...). Ako je na ruter povezano nekoliko lokalnih podmreža, potrebno je osigurati da promet između njih ne ide na Internet, na primjer, koristeći dst-address-table.

U primjeru korištenja [IP]->[Route]->[Rules] nema takvih izuzetaka, ali promet dolazi do lokalnih procesa. Činjenica je da je ulazak u FIB paket označen u [PREROUTING|Mangle] ima oznaku rute i ide u tabelu usmjeravanja koja nije glavna, gdje ne postoji lokalni interfejs. U slučaju Pravila rutiranja, prvo se provjerava da li je paket namijenjen lokalnom procesu i tek u fazi User PBR ide u navedenu tablicu rutiranja.

Koristeći [IP]->[Firewall]->[Mangle action=route]
Ova akcija funkcionira samo u [Prerouting|Mangle] i omogućava vam da usmjerite promet na specificirani gateway bez korištenja dodatnih tablica usmjeravanja, navodeći adresu gatewaya direktno:

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

efekt route ima niži prioritet od pravila rutiranja ([IP]->[Route]->[Rules]). U slučaju oznaka rute, sve zavisi od pozicije pravila, ako je pravilo sa action=route vredi više od action=mark-route, tada će se koristiti (bez obzira na zastavicu passtrough), inače označavanje rute.
Na wikiju ima vrlo malo informacija o ovoj akciji i svi zaključci su dobijeni eksperimentalno, u svakom slučaju nisam našao opcije kada korištenje ove opcije daje prednosti u odnosu na druge.

PPC bazirano dinamičko balansiranje

Klasifikator po konekciji - je fleksibilniji analog ECMP-a. Za razliku od ECMP-a, on strožije dijeli promet po vezama (ECMP ne zna ništa o konekcijama, ali kada se upari s Routing Cacheom, dobija se nešto slično).

PCC uzima navedena polja iz ip zaglavlja, pretvara ih u 32-bitnu vrijednost i dijeli sa nazivnik. Ostatak podjele se uspoređuje sa navedenim ostatak i ako se podudaraju, tada se primjenjuje navedena radnja. Pročitajte više. Zvuči ludo, ali funkcionira.

Primjer sa tri adrese:

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

Primjer dinamičke distribucije prometa po src.adresi između tri kanala:

#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

Prilikom označavanja ruta postoji dodatni uslov: in-interface=br-lan, bez njega ispod action=mark-routing odgovorni saobraćaj sa Interneta će dobiti i, u skladu sa tabelama rutiranja, vratiti se provajderu.

Prebacivanje komunikacijskih kanala

Provjera pinga je dobar alat, ali provjerava samo vezu s najbližim IP peerom, mreže provajdera se obično sastoje od velikog broja rutera i prekid veze može doći izvan najbližeg ravnopravnog korisnika, a tu su i telekom operateri koji također mogu ako imate problema, općenito provjeravajući ping ne prikazuje uvijek ažurne informacije o pristupu globalnoj mreži.
Ako provajderi i velike korporacije imaju BGP dinamički protokol rutiranja, onda kućni i kancelarijski korisnici moraju samostalno da shvate kako da provjere pristup Internetu putem određenog komunikacijskog kanala.

Obično se koriste skripte koje putem određenog komunikacijskog kanala provjeravaju dostupnost ip adrese na Internetu, pri čemu se bira nešto pouzdano, na primjer google dns: 8.8.8.8. 8.8.4.4. Ali u zajednici Mikrotik za to je prilagođen zanimljiviji alat.

Nekoliko riječi o rekurzivnom rutiranju
Rekurzivno rutiranje je neophodno kada se gradi Multihop BGP peering i u članak o osnovama statičkog rutiranja ušao je samo zbog lukavih MikroTik korisnika koji su shvatili kako koristiti rekurzivne rute uparene s check gateway-om za prebacivanje komunikacijskih kanala bez dodatnih skripti.

Vrijeme je da shvatite opcije opsega/ciljnog opsega općenito i kako je ruta povezana s sučeljem:

1. Ruta traži interfejs za slanje paketa na osnovu njegove vrednosti opsega i svih unosa u glavnoj tabeli sa manjim ili jednakim vrednostima ciljnog opsega
2. Od pronađenih interfejsa se bira onaj preko kojeg možete poslati paket na navedeni gateway
3. Interfejs pronađenog povezanog unosa je odabran da pošalje paket na gateway

U prisustvu rekurzivne rute, sve se događa isto, ali u dvije faze:

• 1-3 Povezanim rutama se dodaje još jedna ruta preko koje se može doći do navedenog gatewaya
• 4-6 Pronalaženje rute povezane rute za "srednji" gateway

Sve manipulacije s rekurzivnim pretraživanjem odvijaju se u RIB-u, a samo konačni rezultat se prenosi u FIB: 0.0.0.0/0 via 10.10.10.1 on ether1.

Primjer korištenja rekurzivnog rutiranja za promjenu ruta

Konfiguracija:

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

Možete provjeriti da li će paketi biti poslani na 10.10.10.1:

Check gateway ne zna ništa o rekurzivnom rutiranju i samo šalje pingove na adresu 8.8.8.8, koja je (na osnovu glavne tabele) dostupna preko gatewaya 10.10.10.1.

Ako dođe do gubitka komunikacije između 10.10.10.1 i 8.8.8.8, ruta je prekinuta, ali paketi (uključujući testne pingove) do 8.8.8.8 nastavljaju da prolaze kroz 10.10.10.1:

Ako se veza sa ether1 izgubi, tada se javlja neugodna situacija kada paketi prije 8.8.8.8 prođu kroz drugog provajdera:

Ovo je problem ako koristite NetWatch za pokretanje skripti kada 8.8.8.8 nije dostupan. Ako je veza prekinuta, NetWatch će jednostavno raditi kroz rezervni komunikacijski kanal i pretpostavit će da je sve u redu. Riješeno dodavanjem dodatne rute filtera:

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

Ima na habre članak, gdje se detaljnije razmatra situacija sa NetWatch-om.

I da, kada koristite takvu rezervaciju, adresa 8.8.8.8 će biti vezana za jednog od provajdera, tako da biranje nje kao DNS izvora nije dobra ideja.

Nekoliko riječi o virtualnom usmjeravanju i prosljeđivanju (VRF)

VRF tehnologija je dizajnirana da kreira nekoliko virtuelnih rutera unutar jednog fizičkog, ovu tehnologiju naširoko koriste telekom operateri (obično u kombinaciji sa MPLS) za pružanje L3VPN usluga klijentima sa preklapajućim podmrežnim adresama:

Ali VRF u Mikrotiku je organiziran na osnovu tablica rutiranja i ima niz nedostataka, na primjer, lokalne IP adrese rutera dostupne su sa svih VRF-ova, možete pročitati više link.

primjer vrf konfiguracije:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

Sa uređaja spojenog na ether2 vidimo da ping ide na adresu rutera sa drugog vrf-a (i to je problem), dok ping ne ide na internet:

Da biste pristupili Internetu, morate registrovati dodatnu rutu koja pristupa glavnoj tabeli (u vrf terminologiji to se naziva curenje rute):

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

Evo dva načina curenja rute: korištenjem tablice usmjeravanja: 172.17.0.1@main i koristeći naziv interfejsa: 172.17.0.1%wlan1.

I postaviti oznaku za povratni saobraćaj [PREROUTING|Mangle]:

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no 

Podmreže sa istom adresom
Organizacija pristupa podmrežama sa istom adresom na istom ruteru koristeći VRF i netmap:

Osnovna konfiguracija:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

pravila zaštitnog zida:

#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

Pravila rutiranja za povratni saobraćaj:

#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

Dodavanje ruta primljenih preko dhcp-a u datu tabelu rutiranja
VRF može biti zanimljiv ako trebate automatski dodati dinamičku rutu (na primjer, od dhcp klijenta) u određenu tabelu rutiranja.

Dodavanje interfejsa u vrf:

/ip route vrf
add interface=ether1 routing-mark=over-isp1

Pravila za slanje saobraćaja (odlaznog i tranzitnog) kroz tabelu over-isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

Dodatna, lažna ruta za odlazno usmjeravanje na posao:

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

Ova ruta je potrebna samo da lokalni odlazni paketi mogu prije proći kroz odluku o usmjeravanju (2). [OUTPUT|Mangle] i dobijete oznaku rutiranja, ako postoje druge aktivne rute na ruteru prije 0.0.0.0/0 u glavnoj tabeli, to nije potrebno.

Lanci connected-in и dynamic-in в [Routing] -> [Filters]

Filtriranje ruta (ulaznih i odlaznih) je alat koji se obično koristi zajedno s protokolima za dinamičko usmjeravanje (i stoga dostupan tek nakon instaliranja paketa rutiranje), ali postoje dva zanimljiva lanca u ulaznim filterima:

• priključeno — filtriranje povezanih ruta
• dynamic-in - filtriranje dinamičkih ruta koje primaju PPP i DCHP

Filtriranje vam omogućava ne samo da odbacite rute, već i da promijenite brojne opcije: udaljenost, oznaka rute, komentar, opseg, ciljni opseg,...

Ovo je vrlo precizan alat i ako možete nešto učiniti bez filtera rutiranja (ali ne i skripti), onda nemojte koristiti filtere rutiranja, nemojte zbuniti sebe i one koji će konfigurirati ruter nakon vas. U kontekstu dinamičkog rutiranja, filteri rutiranja će se koristiti mnogo češće i produktivnije.

Postavljanje oznake rute za dinamičke rute
Primjer sa kućnog rutera. Imam dvije konfigurirane VPN veze i promet u njima treba biti umotan u skladu s tabelama rutiranja. U isto vrijeme, želim da se rute kreiraju automatski kada se aktivira interfejs:

#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

Ne znam zašto, vjerovatno je greška, ali ako kreirate vrf za ppp interfejs, onda će ruta do 0.0.0.0/0 i dalje ući u glavnu tabelu. Inače bi sve bilo još lakše.

Onemogućavanje povezanih ruta
Ponekad je ovo potrebno:

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

Alati za otklanjanje grešaka

RouterOS nudi brojne alate za otklanjanje grešaka u usmjeravanju:

• [Tool]->[Tourch] - omogućava vam da vidite pakete na interfejsima
• /ip route check - omogućava vam da vidite na koji gateway će paket biti poslan, ne radi sa tabelama rutiranja
• /ping routing-table=<name> и /tool traceroute routing-table=<name> - ping i praćenje korištenjem navedene tablice rutiranja
• action=log в [IP]->[Firewall] - odličan alat koji vam omogućava da pratite putanju paketa duž toka paketa, ova akcija je dostupna u svim lancima i tabelama

izvor: www.habr.com