ProHoster > Blog > Administrazioa > Multivan eta bideratzea Mikrotik RouterOS-en

Multivan eta bideratzea Mikrotik RouterOS-en

Sarrera

Artikulua hartzea, hutsalkeriaz gain, errusiar hiztunen telegrama komunitatearen profil taldeetan gai honi buruzko galderen maiztasun etsigarriak bultzatu zuen. Artikulua Mikrotik RouterOS (aurrerantzean ROS) administratzaile hasiberriei zuzenduta dago. Multifurgonetaz bakarrik jorratzen du, bideratzeari garrantzia emanez. Hobari gisa, gutxieneko ezarpen nahikoak daude funtzionamendu seguru eta erosoa bermatzeko. Ilarak, karga orekatzea, vlanak, zubiak, kanalaren egoeraren azterketa sakona etapa anitzeko eta antzekoen gaiak ezagutarazi nahi dituztenek agian ez dute denbora eta ahalegina irakurtzen alferrik galdu.

Datu gordinak

Proba gai gisa, ROS 6.45.3 bertsioa duen bost atakako Mikrotik bideratzailea hautatu zen. Bi sare lokal (LAN1 eta LAN2) eta hiru hornitzaileren (ISP1, ISP2, ISP3) arteko trafikoa bideratuko du. ISP1 kanalak helbide "grisa" estatiko bat du, ISP2 - "zuria", DHCP bidez lortutakoa, ISP3 - "zuria" PPPoE baimenarekin. Konexio-diagrama irudian ageri da:

Multivan eta bideratzea Mikrotik RouterOS-en

Ataza MTK bideratzailea eskeman oinarrituta konfiguratzea da, horrela:

  1. Eman aldaketa automatikoa babesko hornitzaile batera. Hornitzaile nagusia ISP2 da, lehenengo erreserba ISP1 da, bigarren erreserba ISP3 da.
  2. Antolatu LAN1 sareko sarbidea Interneterako soilik ISP1 bidez.
  3. Aukeratutako hornitzailearen bidez sare lokaletatik Internetera trafikoa bideratzeko gaitasuna eman helbide-zerrendan oinarrituta.
  4. Sare lokaletik Internetera (DSTNAT) zerbitzuak argitaratzeko aukera ematea.
  5. Konfiguratu suebaki-iragazkia Internetetik gutxieneko segurtasun nahikoa eskaintzeko.
  6. Bideratzaileak bere trafikoa igor dezake hiru hornitzaileetako edozeinen bidez, aukeratutako iturburu-helbidearen arabera.
  7. Ziurtatu erantzun-paketeak datozen kanalera bideratzen direla (LAN barne).

Oharra. Bideratzailea "hutsetik" konfiguratuko dugu, bertsio batetik bestera aldatzen diren hasierako konfigurazioetan sorpresarik ez dagoela bermatzeko. Winbox konfigurazio tresna gisa aukeratu zen, non aldaketak bisualki bistaratuko diren. Ezarpenak berak Winbox terminaleko komandoen bidez ezarriko dira. Konfiguraziorako konexio fisikoa Ether5 interfazera zuzeneko konexio baten bidez egiten da.

Arrazoitu pixka bat multifurgoneta zer den, arazo bat den edo pertsona maltzurrak dira konspirazio sareak ehuntzen inguruan

Administratzaile jakintsu eta arretatsu batek, halako edo antzeko eskema bat bere kabuz ezarriz, bat-batean jada normaltasunez funtzionatzen duela konturatzen da. Bai, bai, zure pertsonalizatutako bideratze-taulak eta bestelako ibilbide-araurik gabe, gai honi buruzko artikulu gehienak beteta daudenak. Egiaztatu dezagun?

Konfiguratu al dezakegu helbideratzea interfazeetan eta atebide lehenetsietan? Bai:

ISP1-en, helbidea eta atebidearekin erregistratu ziren distantzia=2 и check-gateway=ping.
ISP2-n, dhcp bezeroaren ezarpen lehenetsia - horren arabera, distantzia baten berdina izango da.
ISP3-n pppoe bezeroaren ezarpenetan noiz add-default-route=bai jarri default-route-distance=3.

Ez ahaztu irteeran NAT erregistratzea:

/ip suebakia nat add action=maskarada katea=srcnat out-interface-list=WAN

Ondorioz, tokiko guneetako erabiltzaileek ondo pasatzen dute katuak deskargatzen ISP2 hornitzaile nagusiaren bidez eta kanalen erreserba dago mekanismoa erabiliz. egiaztatu atebidea Ikus 1. oharra

Zereginaren 1. puntua gauzatzen da. Non dago multifurgoneta bere markekin? Ez…

Aurrerago. Bezero zehatzak LANetik askatu behar dituzu ISP1 bidez:

/ip firewall mangle add action=route chain=prerouting dst-address-list=!BOGONS
passthrough=bai route-dst=100.66.66.1 src-address-list=Via_ISP1
/ip firewall mangle add action=route chain=prerouting dst-address-list=!BOGONS
passthrough=no route-dst=100.66.66.1 src-address=192.168.88.0/24

Zereginaren 2. eta 3. elementuak gauzatu dira. Etiketak, zigiluak, ibilbidearen arauak, non zaude?!

Interneteko bezeroei 172.17.17.17 helbidea duen OpenVPN zerbitzari gogokoari sarbidea eman behar diezu? Mesedez:

/ip cloud set ddns-enabled=bai

Parekide gisa, bezeroari irteerako emaitza ematen diogu: ": jarri [ip hodeia lortu dns-izena]"

Portuak birbidaltzea Internetetik erregistratzen dugu:

/ip suebakia nat add action=dst-nat katea=dstnat dst-port=1194
in-interface-list=WAN protokoloa=udp to-addresses=172.17.17.17

4. elementua prest dago.

Suebaki bat eta beste segurtasun batzuk ezarri ditugu 5. punturako, eta, aldi berean, pozik gaude dagoeneko dena erabiltzaileentzat funtzionatzen ari delako eta edari gogoko batekin ontzi batera iristen gara ...
A! Tunelak ahaztuta daude.

l2tp-client, google artikuluak konfiguratuta, zure holandar VDS gogokoena igo al da? Bai.
IPsec-ekin l2tp-zerbitzaria igo egin da eta bezeroak IP hodeitik DNS izenarekin (ikus goian) atxikitzen dira? Bai.
Aulkian bizkarrean makurtuta, trago bat hartuz, alferkeriaz kontutan hartzen ditugu atazako 6. eta 7. puntuak. Uste dugu - behar al dugu? Dena den, horrela funtzionatzen du (c) ... Beraz, oraindik behar ez bada, hori da. Multivan ezarrita.

Zer da multifurgoneta? Hau da Interneteko hainbat kanal bideratzaile batera konektatzea.

Ez duzu artikulua gehiago irakurri beharrik, zer egon daitekeelako aplikagarritasun zalantzazkoaren erakustaldiaz gain?

Geratzen direnentzat, atazako 6. eta 7. puntuetan interesatuta daudenentzat eta perfekzionismoaren azkura ere sentitzen dutenentzat, sakontzen dugu.

Multifurgoneta ezartzeko zeregin garrantzitsuena trafikoaren bideratze zuzena da. Alegia: edozein (edo zein) Ikus. Oharra 3 ISPren kanalak gure bideratzaileko bide lehenetsia ikusten du, paketea datorren kanal zehatzari erantzuna eman beharko lioke. Zeregin argia da. Non dago arazoa? Izan ere, sare lokal sinple batean, zeregina berdina da, baina inork ez du ezarpen gehigarriekin trabarik jartzen eta ez du arazorik sentitzen. Desberdintasuna da Interneteko edozein nodo bideragarri gure kanal bakoitzaren bidez eskura daitekeela, eta ez zorrozki zehatz baten bidez, LAN sinple batean bezala. Eta "arazoa" da ISP3-ren IP helbidearen eskaera bat iristen bazaigu, gure kasuan erantzuna ISP2 kanaletik igaroko dela, atebide lehenetsia hara zuzentzen baita. Irteten da eta hornitzaileak baztertu egingo du oker gisa. Arazoa identifikatu da. Nola konpondu?

Irtenbidea hiru fasetan banatzen da:

  1. Aurrez ezartzea. Fase honetan, bideratzailearen oinarrizko ezarpenak ezarriko dira: sarea lokala, suebakia, helbide-zerrendak, NAT ilea, etab.
  2. Multifurgoneta. Fase honetan, beharrezko konexioak bideratze-tauletan markatu eta ordenatuko dira.
  3. ISP batera konektatzea. Fase honetan, Interneterako konexioa ematen duten interfazeak konfiguratuko dira, bideratzea eta Interneteko kanalen erreserba mekanismoa aktibatuko da.

1. Aurrez ezartzea

1.1. Bideratzailearen konfigurazioa garbitzen dugu komandoarekin:

/system reset-configuration skip-backup=yes no-defaults=yes

ados egon "Arriskutsua! Hala ere berrezarri? [y/N]:” eta, berrabiarazi ondoren, Winbox-ekin konektatzen gara MAC bidez. Fase honetan, konfigurazioa eta erabiltzaile-basea garbitzen dira.

1.2. Sortu erabiltzaile berri bat:

/user add group=full name=knight password=ultrasecret comment=”Not horse”

Hasi saioa haren azpian eta ezabatu lehenetsia:

/user remove admin

Oharra. Erabiltzaile lehenetsia kentzea eta ez desgaitzea da egileak seguruagotzat jotzen duena eta erabiltzeko gomendatzen duena.

1.3. Suebaki batean, aurkikuntza-ezarpenetan eta beste MAC zerbitzarietan jarduteko erosotasunerako oinarrizko interfaze-zerrendak sortzen ditugu:

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

Interfazeak iruzkinekin sinatzea

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

eta bete interfazeen zerrendak:

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

Oharra. Iruzkin ulergarriak idazteak merezi du horretan emandako denbora, gainera, konfigurazioa konpontzea eta ulertzea asko errazten du.

Egileak beharrezkotzat jotzen du, segurtasun arrazoiengatik, ether3 interfazea "WAN" interfazeen zerrendan gehitzea, ip protokoloa bertatik igaroko ez den arren.

Ez ahaztu PPP interfazea ether3-n planteatu ondoren, "WAN" interfazeen zerrendara ere gehitu beharko dela.

1.4. Bideratzailea ezkutatzen dugu MAC bidez hornitzaileen sareetatik auzo detektatzeko eta kontrolatzeko:

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

1.5. Suebakiaren iragazki-arau gutxieneko multzo nahikoa sortzen dugu bideratzailea babesteko:

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(arauak baimena ematen du konektatutako sareetatik eta bideratzailetik bertatik abiarazten diren ezarritako eta erlazionatutako konexioetarako)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(ping eta ez bakarrik ping. icmp guztiak sartzen dira. Oso erabilgarria MTU arazoak aurkitzeko)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(sarrera-katea ixten duen arauak Internetetik datorren beste guztia debekatzen du)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(arauak bideratzailetik igarotzen diren ezarritako eta erlazionatutako konexioak onartzen ditu)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(arauak konexio-egoera=bideratzailetik igarotzen diren konexioak berrezartzen ditu. Biziki gomendatzen du Mikrotik, baina egoera bakan batzuetan trafiko erabilgarria blokeatu dezake)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(arauak debekatu egiten du Internetetik datozen eta dstnat prozedura gainditu ez duten paketeei bideratzailetik pasatzea. Honek tokiko sareak babestuko ditu gure kanpoko sareekin difusio-domeinu berean egonez gero, gure kanpoko IPak gisa erregistratuko dituzten intrusioen aurrean. atea eta, horrela, saiatu gure sare lokalak "aztertzen".)

Oharra. Demagun LAN1 eta LAN2 sareak fidagarriak direla eta haien arteko eta haien arteko trafikoa ez dela iragazten.

1.6. Sortu zerrenda bat bideragarriak ez diren sareen zerrenda batekin:

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(Hau Internetera bideragarriak ez diren helbide eta sareen zerrenda da eta horren arabera jarraituko da).

Oharra. Zerrenda alda daiteke, beraz, aldian-aldian garrantzia egiaztatzea gomendatzen dizut.

1.7. Konfiguratu DNS bideratzailearentzat:

/ip dns set servers=1.1.1.1,8.8.8.8

Oharra. ROS-en egungo bertsioan, zerbitzari dinamikoek lehentasuna dute estatikoen aurrean. Izena ebazteko eskaera zerrendako lehen zerbitzariari bidaltzen zaio. Hurrengo zerbitzarirako trantsizioa oraingoa erabilgarri ez dagoenean egiten da. Denbora-muga handia da - 5 segundo baino gehiago. Atzera itzultzea, "erortutako zerbitzaria" berriro hasten denean, ez da automatikoki gertatzen. Algoritmo hau eta multifurgoneta baten presentzia kontuan hartuta, egileak hornitzaileek emandako zerbitzariak ez erabiltzea gomendatzen du.

1.8. Konfiguratu sare lokal bat.
1.8.1. IP helbide estatikoak konfiguratzen ditugu LAN interfazeetan:

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2. Gure sare lokaletarako ibilbideen arauak bideratze-taula nagusiaren bidez ezartzen ditugu:

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

Oharra. Lehenetsitako bidetik pasatzen ez diren bideratzaileen interfazeen kanpoko IP helbideen iturriak dituzten LAN helbideetara sartzeko modu azkar eta errazetako bat da.

1.8.3. Gaitu Hairpin NAT LAN1 eta LAN2rako:

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

Oharra. Horri esker, zure baliabideak (dstnat) atzitu ditzakezu kanpoko IP baten bidez sare barruan zauden bitartean.

2. Egia esan, multifurgoneta oso zuzena ezartzea

"Galdetu zuten nondik nora erantzuteko" arazoa konpontzeko, bi ROS tresna erabiliko ditugu: konexio marka и bide-marka. konexio marka nahi duzun konexioa markatzeko aukera ematen du eta, ondoren, etiketa honekin lan egiteko baldintza gisa bide-marka. Eta jadanik bide-marka bertan lan egiteko aukera ip ibilbidea и ibilbide-arauak. Tresnak asmatu ditugu, orain erabaki behar duzu zein konexio markatu - behin, zehazki non markatu - bi.

Lehenengoarekin, dena erraza da - Internetetik bideratzailera iristen diren konexio guztiak markatu behar ditugu dagokion kanalaren bidez. Gure kasuan, hiru etiketa izango dira (kanal kopuruaren arabera): “conn_isp1”, “conn_isp2” eta “conn_isp3”.

Bigarrenaren ñabardura da sarrerako konexioak bi motatakoak izango direla: garraioa eta bideratzaileari berari zuzendutakoak. Konexio-markaren mekanismoak taulan funtzionatzen du mangle. Demagun paketearen mugimendua diagrama sinplifikatu batean, mikrotik-trainings.com baliabideko espezialistek (ez iragarkia):

Multivan eta bideratzea Mikrotik RouterOS-en

Geziei jarraituz, paketea iristen dela ikusiko dugu.sarrera interfaze", katetik doa "Aurretik bideratzea"eta orduan bakarrik banatzen da garraioan eta tokian blokean"Bideratze erabakia". Horregatik, bi txori harri batekin hiltzeko, erabiltzen dugu Konexio-marka taulan Mangle Aurre-bideratzea kateak Aurretik bideratzea.

komentarioen. ROS-en, "Routing mark" etiketak "Taula" gisa ageri dira Ip/Ibilbideak/Arauak atalean, eta "Routing Mark" gisa beste ataletan. Horrek nahasmenduren bat sar dezake ulermenean, baina, egia esan, gauza bera da, eta iproute2-n linux-en rt_tables-en analogoa da.

2.1. Hornitzaile bakoitzeko sarrerako konexioak markatzen ditugu:

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

Oharra. Dagoeneko markatutako konexioak ez markatzeko, connection-mark=no-mark baldintza erabiltzen dut konexio-egoera=berriaren ordez, hau zuzenagoa dela uste dudalako, baita sarrerako iragazkian baliogabeko konexioak ezeztatzea ere.


passthrough=ez - inplementazio-metodo honetan berriro markatzea baztertzen baita eta, bizkortzeko, lehen partidaren ondoren arauen zenbaketa eten dezakezu.

Kontuan izan behar da oraindik ez dugula inola ere oztopatzen bideratzea. Orain prestatzeko faseak baino ez daude. Ezarpenaren hurrengo fasea tokiko sarean helmugatik ezarritako konexiotik itzultzen den garraio-trafikoa prozesatzea izango da. Horiek. Bidean bideratzailetik igaro diren pakete horiek (ikus diagrama):

"Sarrerako Interfazea" => "Aurrez bideratzea" => "Bideratzearen erabakia" => "Aurrera" => "Ondoko bideraketa" =>"Irteera Interfazea" eta bere hartzailearengana iritsi ziren sare lokalean.

Garrantzitsua da! ROSn, ez dago zatiketa logikorik kanpoko eta barneko interfazeetan. Erantzun paketearen bidea goiko diagramaren arabera trazatzen badugu, eskaeraren bide logiko bera jarraituko du:

"Sarrerako Interfazea" => "Aurrez bideratzea" => "Bideratzearen erabakia" => "Aurrera" => "Ondoko bideraketa" =>"Irteera Interfazea" eskaera batengatik"Sarrerako Interface” zen ISP interfazea, eta erantzunerako - LAN

2.2. Erantzuteko garraio-trafikoa dagozkien bideratze-tauletara bideratzen dugu:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

Iruzkina. in-interface-list=!WAN - sare lokaleko eta dst-address-type=!lokaleko trafikoarekin bakarrik lan egiten dugu bideratzailearen beraren interfazeen helbidearen helmuga helbidea ez duena.

Bidean bideratzailera iritsitako tokiko paketeekin gauza bera:

"Sarrerako Interfazea" => "Aurretik bideratzea" => "Bideratze-erabakia" => "Sarrera" => "Prozesu lokala"

Garrantzitsua da! Erantzuna honela izango da:

”Prozesu lokala”=>”Bideratze-erabakia”=>”Irteera”=>”Ondoko bideraketa”=>”Irteerako interfazea”

2.3. Erantzun tokiko trafikoa dagozkien bideratze-tauletara zuzentzen dugu:

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

Fase honetan, eskaera atera den Interneteko kanalera erantzun bat bidaltzeko prestatzeko zeregina konpondutzat jo daiteke. Dena markatuta, etiketatuta eta bideratzeko prest dago.
Konfigurazio honen "alboko" efektu bikaina da bi (ISP2, ISP3) hornitzaileen DSNAT ataka birbidaltzea aldi berean lan egiteko gaitasuna. Inola ere ez, ISP1-en bideragarria ez den helbide bat daukagunez. Efektu hau garrantzitsua da, adibidez, Interneteko kanal ezberdinetara begiratzen dituzten bi MX dituen posta zerbitzari batentzat.

Kanpoko IP bideratzaileekin sare lokalen funtzionamenduaren ñabardurak kentzeko, paragrafoetako irtenbideak erabiltzen ditugu. 1.8.2 eta 3.1.2.6.

Horrez gain, markak dituen tresna bat erabil dezakezu problemaren 3. paragrafoa konpontzeko. Honela inplementatzen dugu:

2.4. Tokiko bezeroetatik trafikoa bideratze-zerrendetatik dagokien tauletara bideratzen dugu:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

Ondorioz, honelako itxura du:

Multivan eta bideratzea Mikrotik RouterOS-en

3. Konfiguratu ISPra konexio bat eta gaitu markako bideraketa

3.1. Konfiguratu ISP1 konexioa:
3.1.1. Konfiguratu IP helbide estatiko bat:

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2. Konfiguratu bideratze estatikoa:
3.1.2.1. Gehitu "larrialdi" bide lehenetsi bat:

/ip route add comment="Emergency route" distance=254 type=blackhole

Oharra. Ibilbide honi esker, tokiko prozesuetako trafikoa Ibilbidearen Erabakiaren fasea gainditzea ahalbidetzen du, edozein hornitzaileren esteken egoera edozein dela ere. Irteerako tokiko trafikoaren ñabardura da paketea gutxienez norabait mugitu ahal izateko, bideratze-taula nagusiak atebide lehenetsirako ibilbide aktibo bat izan behar duela. Hala ez bada, paketea suntsitu egingo da.

Tresna luzapen gisa egiaztatu atebidea Kanalaren egoeraren azterketa sakonago bat egiteko, ibilbide errekurtsiboaren metodoa erabiltzea proposatzen dut. Metodoaren funtsa da bideratzaileari esaten diogula bere atebiderako bide bat bilatzeko ez zuzenean, bitarteko ate baten bidez baizik. 4.2.2.1, 4.2.2.2 eta 4.2.2.3 ISP1, ISP2 eta ISP3 "proba" atebide gisa hautatuko dira hurrenez hurren.

3.1.2.2. Ibilbidea "egiaztapena" helbidera:

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

Oharra. Eremuaren balioa ROS helburu-esparruan lehenetsitakora jaisten dugu, etorkizunean 4.2.2.1 atebide errekurtsibo gisa erabiltzeko. Azpimarratzen dut: “probaren” helbiderako ibilbidearen esparruak probari erreferentzia egingo dion ibilbidearen xede-esparruaren berdina edo txikiagoa izan behar du.

3.1.2.3. Bideratze markarik gabeko trafikorako ibilbide lehenetsi errekurtsiboa:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

Oharra. Distantzia=2 balioa erabiltzen da, zereginaren baldintzen arabera ISP1 lehen babeskopia gisa deklaratzen delako.

3.1.2.4. Ibilbide lehenetsi errekurtsiboa "to_isp1" bideratze marka duen trafikorako:

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

Oharra. Egia esan, hemen, azkenean, 2. paragrafoan egindako prestaketa-lanaren fruituez gozatzen hasi gara.


Ibilbide honetan, "to_isp1" ibilbidea marka duen trafiko guztia lehen hornitzailearen atarira bideratuko da, mahai nagusirako une honetan aktibo dagoen atebide lehenetsia edozein dela ere.

3.1.2.5. ISP2 eta ISP3 etiketatutako trafikorako lehen bide lehenetsi errekurtsiboa:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

Oharra. Ibilbide hauek beharrezkoak dira, besteak beste, “to_isp*” helbide-zerrendako kide diren sare lokaletako trafikoa erreserbatzeko.

3.1.2.6. Bideratzailearen tokiko trafikorako ibilbidea Internetera erregistratzen dugu ISP1 bidez:

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

Oharra. 1.8.2 paragrafoko arauekin batera, nahi duzun kanalerako sarbidea ematen du iturri jakin batekin. Hau funtsezkoa da tokiko alboko IP helbidea (EoIP, IP-IP, GRE) zehazten duten tunelak eraikitzeko. ip route arauetan arauak goitik behera exekutatzen direnez, baldintzen lehen bat etorri arte, orduan arau honek 1.8.2 klausulako arauen ondoren egon beharko luke.

3.1.3. Irteerako trafikorako NAT araua erregistratzen dugu:

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

Oharra. NATim irteten den guztia, IPsec politiketan sartzen dena izan ezik. Saiatzen naiz ez erabiltzen action=masquerade behar-beharrezkoa ez bada behintzat. Src-nat baino motelagoa eta baliabide intentsiboagoa da, konexio berri bakoitzeko NAT helbidea kalkulatzen duelako.

3.1.4. Beste hornitzaileen bidez sartzea debekatuta duten zerrendako bezeroak zuzenean ISP1 hornitzailearen atarira bidaltzen ditugu.

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

Oharra. action=route-k lehentasun handiagoa du eta beste bideratze-arau batzuen aurretik aplikatzen da.


place-before=0 - gure araua zerrendan lehena jartzen du.

3.2. Konfiguratu ISP2 konexioa.

ISP2 hornitzaileak ezarpenak DHCP bidez ematen dizkigunez, arrazoizkoa da beharrezko aldaketak egitea DHCP bezeroa abiarazten denean abiarazten den script batekin:

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

Scripta bera Winbox leihoan:

Multivan eta bideratzea Mikrotik RouterOS-en
Oharra. Script-aren lehen zatia errentamendua behar bezala lortzen denean abiarazten da, bigarrena, errentamendua askatu ondoren.Ikus 2. oharra

3.3. Konexio bat ezarri dugu ISP3 hornitzailearekin.

Ezarpen-hornitzaileak dinamikoa ematen digunez, arrazoizkoa da ppp interfazea altxatu ondoren eta erori ondoren hasten diren scriptekin beharrezko aldaketak egitea.

3.3.1. Lehenik eta behin profila konfiguratuko dugu:

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

Scripta bera Winbox leihoan:

Multivan eta bideratzea Mikrotik RouterOS-en
Oharra. ilara
/ip firewall mangle multzoa [find comment="Connmark from from ISP3"] in-interface=$"interfazea";
interfazearen izena aldatzea zuzen kudeatzeko aukera ematen du, bere kodearekin lan egiten baitu eta ez bistaratzeko izenarekin.

3.3.2. Orain, profila erabiliz, sortu ppp konexioa:

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

Azken ukitu gisa, ezarri dezagun erlojua:

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

Bukaera arte irakurtzen dutenentzat

Multifurgoneta ezartzeko proposatzen den modua egilearen lehentasun pertsonala da eta ez da posible bakarra. ROS tresna-tresna zabala eta malgua da, eta horrek, alde batetik, zailtasunak sortzen dizkie hasiberriei, eta, bestetik, bere ospearen arrazoia da. Ikasi, probatu, ezagutu tresna eta irtenbide berriak. Esaterako, eskuratutako ezagutzaren aplikazio gisa, multifurgoneta inplementazio honetan tresna ordezkatzea posible da check-gateway bide errekurtsiboekin netwatch.

Oharrak

  1. check-gateway - Ibilbidea desaktibatzeko aukera ematen duen mekanismoa, atebidearen erabilgarritasuna egiaztatzeko ondoz ondoko bi egiaztatu gabe. Egiaztapena 10 segundotan behin egiten da, gehi erantzunaren denbora-muga. Guztira, benetako aldaketaren denbora 20-30 segundo bitartekoa da. Aldaketa-denbora hori nahikoa ez bada, tresna erabiltzeko aukera dago netwatch, non egiaztatzeko tenporizadorea eskuz ezar daitekeen. check-gateway ez du estekan pakete-galera tarteka botatzen.

    Garrantzitsua! Ibilbide nagusi bat desaktibatuz gero, hari erreferentzia egiten dioten beste ibilbide guztiak desaktibatu egingo dira. Hori dela eta, zehaztea check-gateway=ping Ez da beharrezkoa.

  2. Gertatzen da DHCP mekanismoan hutsegite bat gertatzen dela, berritze egoeran itsatsita dagoen bezero bat dirudiena. Kasu honetan, script-aren bigarren zatiak ez du funtzionatuko, baina ez du trafikoa behar bezala ibiltzea eragotziko, estatuak dagokion ibilbide errekurtsiboaren jarraipena egiten baitu.
  3. ECMP (Equal Cost Multi-Path) - ROS-en aukera dago hainbat aterekin eta distantzia berdinarekin ibilbide bat ezartzea. Kasu honetan, konexioak kanaletan banatuko dira round robin algoritmoa erabiliz, zehaztutako pasabide kopuruaren proportzioan.

Artikulua idazteko bultzada emateko, lagundu haren egitura eta azentuak jartzen - Evgeny-ri esker ona. @jscar

Iturria: www.habr.com