ProHoster > Blag > Riarachán > Multivan agus ródú ar Mikrotik RouterOS

Multivan agus ródú ar Mikrotik RouterOS

Réamhrá

Ag tabhairt suas an ailt, chomh maith le vanity, spreag minicíocht dhúlagar na gceisteanna ar an ábhar seo i ngrúpaí próifíle an phobail teileagram ina labhraítear Rúisis. Tá an t-alt dírithe ar riarthóirí nua-aimseartha Mikrotik RouterOS (dá ngairfear ROS anseo feasta). Ní dhéileálann sé ach leis an multivan, le béim ar ródú. Mar bhónas, tá socruithe íosta leordhóthanach ann chun oibriú sábháilte agus áisiúil a chinntiú. Iad siúd atá ag lorg ábhar scuainí a nochtadh, cothromaíocht ualaigh, vlans, droichid, anailís dhomhain ilchéime ar staid an chainéil agus a leithéidí - b'fhéidir nach gcuirfí am agus iarracht amú ag léamh.

Sonraí tosaigh

Mar ábhar tástála, roghnaíodh ródaire Mikrotik cúig-phort le leagan ROS 6.45.3. Seolfaidh sé trácht idir dhá líonra áitiúla (LAN1 agus LAN2) agus trí sholáthraí (ISP1, ISP2, ISP3). Tá seoladh "liath" statach ag an gcainéal chuig ISP1, ISP2 - "bán", a fhaightear trí DHCP, ISP3 - "bán" le húdarú PPPoE. Taispeántar an léaráid nasc san fhíor:

Multivan agus ródú ar Mikrotik RouterOS

Is é an tasc an ródaire MTK a chumrú bunaithe ar an scéim ionas:

  1. Soláthraigh aistriú uathoibríoch chuig soláthraí cúltaca. Is é ISP2 an príomhsholáthraí, is é ISP1 an chéad chúlchiste, is é ISP3 an dara cúlchiste.
  2. Eagraigh rochtain líonra LAN1 ar an Idirlíon trí ISP1 amháin.
  3. Cuir ar fáil an cumas trácht a iompar ó líonraí áitiúla chuig an Idirlíon tríd an soláthraí roghnaithe bunaithe ar an liosta seoltaí.
  4. Déan soláthar don fhéidearthacht seirbhísí a fhoilsiú ón líonra áitiúil go dtí an Idirlíon (DSTNAT)
  5. Socraigh scagaire balla dóiteáin chun an t-íosmhéid slándála leordhóthanach a sholáthar ón Idirlíon.
  6. D'fhéadfadh an ródaire a thrácht féin a eisiúint trí aon cheann de na trí sholáthraí, ag brath ar an seoladh foinse roghnaithe.
  7. Cinntigh go seoltar paicéid freagartha chuig an gcainéal ónar tháinig siad (LAN san áireamh).

Tráchtaireacht. Déanfaimid an ródaire a chumrú “ó thús” chun a chinntiú nach mbeidh iontas ar bith sna cumraíochtaí tosaigh “as an mbosca” a athraíonn ó leagan go leagan. Roghnaíodh Winbox mar uirlis chumraíochta, áit a dtaispeánfar athruithe go radhairc. Socrófar na socruithe féin de réir orduithe i gcríochfort Winbox. Déantar an nasc fisiceach don chumraíocht trí nasc díreach le comhéadan Ether5.

Beagán réasúnaíochta faoi cad is multivan ann, an fadhb é nó an bhfuil daoine cliste cunning thart ar líonraí comhcheilg fíodóireachta

Tuigeann riarthóir fiosrach agus aireach, a bhunaíonn a leithéid de scéim nó scéim chomhchosúil leis féin, go tobann go bhfuil sé ag obair de ghnáth cheana féin. Sea, tá, gan do tháblaí ródaithe saincheaptha agus rialacha bealaigh eile, a bhfuil formhór na n-alt ar an ábhar seo lán díobh. A ligean ar a sheiceáil?

An féidir linn seoltaí ar chomhéadain agus ar gheataí réamhshocraithe a chumrú? Tá:

Ar ISP1, cláraíodh an seoladh agus an geata leis fad=2 и seic-gheata = ping.
Ar ISP2, an socrú réamhshocraithe cliant dhcp - dá réir sin, beidh an t-achar comhionann le ceann amháin.
Ar ISP3 sna socruithe cliant pppoe nuair add-default-route=tá chuir default-route-distance=3.

Ná déan dearmad NAT a chlárú ar an mbealach amach:

/ip firewall nat add action=masquerade slabhra=srcnat out-interface-list=WAN

Mar thoradh air sin, bíonn spraoi ag úsáideoirí suíomhanna áitiúla cait a íoslódáil tríd an bpríomhsholáthraí ISP2 agus tá áirithint cainéal ag baint úsáide as an meicníocht seiceáil geata Féach nóta 1

Cuirtear pointe 1 den tasc i bhfeidhm. Cá bhfuil an t-ilbhán lena marcanna? Níl…

Tuilleadh. Ní mór duit cliaint ar leith a scaoileadh ón LAN trí ISP1:

mangle balla dóiteáin /ip cuir gníomh = slabhra bealach = réamhródú dst-address-list =!BOGONS
passthrough=tá route-dst=100.66.66.1 src-address-list=Via_ISP1
mangle balla dóiteáin /ip cuir gníomh = slabhra bealach = réamhródú dst-address-list =!BOGONS
passthrough=gan bealach-dst=100.66.66.1 src-address=192.168.88.0/24

Tá míreanna 2 agus 3 den tasc curtha i bhfeidhm. Lipéid, stampaí, rialacha bealaigh, cá bhfuil tú?!

An gá duit rochtain a thabhairt ar an bhfreastalaí OpenVPN is fearr leat leis an seoladh 172.17.17.17 do chliaint ón Idirlíon? Le do thoil:

/ip cloud set ddns-enabled=tá

Mar phiaraí, tugaimid an toradh aschuir don chliant: “: cuir [ip cloud faigh dns-name]"

Cláraimid cur ar aghaidh calafoirt ón Idirlíon:

/ip balla dóiteáin nat add action=dst-nat chain=dstnat dst-port=1194
in-interface-list= prótacal WAN=udp chuig seoltaí=172.17.17.17

Tá mír 4 réidh.

Leagamar balla dóiteáin agus slándáil eile le haghaidh pointe 5, ag an am céanna tá áthas orainn go bhfuil gach rud ag obair cheana féin d'úsáideoirí agus teacht ar choimeádán le deoch is fearr leat ...
A! Déantar dearmad ar tholláin.

Tá l2tp-client, cumraithe ag alt google, ardaithe go dtí an VDS Ollainnis is fearr leat? Tá.
Tá méadú tagtha ar l2tp-server le IPsec agus cliaint de réir ainm DNS ó IP Cloud (féach thuas.) ag cling? Tá.
Ag claonadh siar inár gcathaoir, ag sileadh deoch, smaoinímid go leisciúil ar phointí 6 agus 7 den tasc. Is dóigh linn - an gá dúinn é? Gach mar an gcéanna, oibríonn sé mar sin (c) ... Mar sin, más rud é nach bhfuil sé fós ag teastáil, ansin sin é. Multivan curtha i bhfeidhm.

Cad is multivan ann? Is é seo an nasc idir roinnt cainéal Idirlín le ródaire amháin.

Ní gá duit an t-alt a léamh a thuilleadh, mar cad is féidir a bheith ann seachas léiriú ar infheidhmeacht amhrasach?

Dóibh siúd a fhanann, a bhfuil suim acu i bpointí 6 agus 7 den tasc, agus a bhraitheann freisin an itch na foirfeachta, táimid ag dul níos doimhne.

Is é an tasc is tábhachtaí maidir le multivan a chur i bhfeidhm ná an ródú tráchta ceart. Eadhon: is cuma cé acu (nó cé acu) Féach. Nóta 3 Féachann cainéal(s) an ISP ar an mbealach réamhshocraithe ar ár ródaire, ba cheart dó freagra a thabhairt ar ais chuig an gcainéal beacht as ar tháinig an paicéad. Tá an tasc soiléir. Cá bhfuil an fhadhb? Go deimhin, i líonra áitiúil simplí, tá an tasc mar an gcéanna, ach ní bhacann aon duine le socruithe breise agus ní bhraitheann sé trioblóide. Is é an difríocht ná go bhfuil aon nód ródaire ar an Idirlíon inrochtana trí gach ceann dár bealaí, agus ní trí cheann go docht sonrach, mar atá i LAN simplí. Agus is é an “trioblóid” ná má tháinig iarratas chugainn ar sheoladh IP ISP3, ansin inár gcás beidh an freagra ag dul tríd an gcainéal ISP2, ós rud é go bhfuil an geata réamhshocraithe dírithe ann. Fágann agus cuirfidh an soláthraí i leataobh é mar rud mícheart. Tá an fhadhb aitheanta. Conas é a réiteach?

Tá an réiteach roinnte i dtrí chéim:

  1. Réamhshocrú. Ag an gcéim seo, socrófar socruithe bunúsacha an ródaire: líonra áitiúil, balla dóiteáin, liostaí seoltaí, hairpin NAT, etc.
  2. Ilbhán. Ag an gcéim seo, déanfar na naisc riachtanacha a mharcáil agus a shórtáil ina dtáblaí ródaithe.
  3. Ag nascadh le ISP. Ag an gcéim seo, déanfar na comhéadain a sholáthraíonn nasc leis an Idirlíon a chumrú, a ródú agus cuirfear meicníocht áirithinte an chainéil Idirlín i ngníomh.

1. Réamhshocrú

1.1. Glanaimid cumraíocht an ródaire leis an ordú:

/system reset-configuration skip-backup=yes no-defaults=yes

aontú le "Contúirteach! Athshocraigh mar sin féin? [y/N]:” agus, tar éis rebooting, déanaimid teagmháil le Winbox trí MAC. Ag an gcéim seo, glantar an chumraíocht agus an bonn úsáideora.

1.2. Cruthaigh úsáideoir nua:

/user add group=full name=knight password=ultrasecret comment=”Not horse”

logáil isteach faoi agus scrios an ceann réamhshocraithe:

/user remove admin

Tráchtaireacht. Is é baint agus gan díchumasú an úsáideora réamhshocraithe a mheasann an t-údar a bheith níos sábháilte agus a mholann lena úsáid.

1.3. Cruthaímid liostaí comhéadain bhunúsacha ar mhaithe le háisiúlacht oibriú i mballa dóiteáin, socruithe fionnachtana agus freastalaithe MAC eile:

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

Comhéadain a shíniú le tuairimí

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

agus líon isteach na liostaí comhéadan:

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

Tráchtaireacht. Is fiú an t-am a chaitear ar seo a scríobh tuairimí intuigthe, agus éascaíonn sé go mór fabhtcheartú agus tuiscint a fháil ar an gcumraíocht.

Measann an t-údar go bhfuil sé riachtanach, ar chúiseanna slándála, an comhéadan ether3 a chur leis an liosta comhéadan “WAN”, in ainneoin nach rachaidh an prótacal ip tríd.

Ná déan dearmad, tar éis an comhéadan PPP a ardú ar ether3, go gcaithfear é a chur leis an liosta comhéadan “WAN” freisin

1.4. Folaíonn muid an ródaire ó bhrath comharsanachta agus rialú ó líonraí soláthraithe trí MAC:

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

1.5. Cruthaímid an tacar íosta leordhóthanach de rialacha scagaire balla dóiteáin chun an ródaire a chosaint:

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(soláthraítear cead leis an riail do naisc bhunaithe agus naisc ghaolmhara a thionscnaítear ó líonraí nasctha agus ón ródaire féin)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(ping agus ní amháin ping. Ceadaítear gach icmp isteach. An-úsáideach chun fadhbanna MTU a aimsiú)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(coscann an riail a dhúnann an slabhra ionchuir gach rud eile a thagann ón Idirlíon)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

( ceadaíonn an riail naisc bhunaithe agus ghaolmhara a théann tríd an ródaire)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(athshocraíonn an riail naisc le connection-state=dul tríd an ródaire neamhbhailí. Tá sé molta go láidir ag Mikrotik, ach i gcásanna neamhchoitianta is féidir leis trácht úsáideach a bhac)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(coisctear leis an riail paicéid a thagann ón Idirlíon agus nár éirigh leo an nós imeachta dstnat a rith tríd an ródaire. Cosnóidh sé seo líonraí áitiúla ó ionróirí a chláróidh, agus iad san fhearann ​​craolta céanna lenár líonraí seachtracha, ár IPanna seachtracha mar a geata agus, mar sin, déan iarracht ár líonraí áitiúla a “iniúchadh”.)

Tráchtaireacht. Glacaimid leis go bhfuil muinín sna líonraí LAN1 agus LAN2 agus nach ndéantar an trácht eatarthu agus uathu a scagadh.

1.6. Cruthaigh liosta le liosta de líonraí neamhródaithe:

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(Seo liosta seoltaí agus líonraí nach féidir a chur ar aghaidh chuig an Idirlíon agus leanfar dá réir.)

Tráchtaireacht. Tá an liosta faoi réir athraithe, mar sin comhairle a thabhairt duit a sheiceáil go tréimhsiúil an ábharthacht.

1.7. Cumraigh DNS don ródaire féin:

/ip dns set servers=1.1.1.1,8.8.8.8

Tráchtaireacht. Sa leagan reatha de ROS, bíonn tosaíocht ag freastalaithe dinimiciúla ar fhreastalaithe statacha. Seoltar an t-iarratas réitigh ainm chuig an gcéad fhreastalaí in ord sa liosta. Déantar an t-aistriú go dtí an chéad fhreastalaí eile nuair nach bhfuil an ceann reatha ar fáil. Tá an teorainn ama mór - níos mó ná 5 soicind. Ag filleadh ar ais, nuair a atosófar an “freastalaí tite”, ní tharlaíonn sé go huathoibríoch. Mar gheall ar an algartam seo agus láithreacht multivan, molann an t-údar gan úsáid a bhaint as freastalaithe a sholáthraíonn soláthraithe.

1.8. Socraigh líonra áitiúil.
1.8.1. Déanaimid seoltaí IP statacha a chumrú ar chomhéadain LAN:

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2. Socraímid na rialacha maidir le bealaí chuig ár líonraí áitiúla tríd an bpríomhthábla ródaithe:

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

Tráchtaireacht. Is é seo ceann de na bealaí tapa agus éasca chun seoltaí LAN a rochtain le foinsí seoltaí IP seachtracha comhéadain ródaire nach dtéann tríd an mbealach réamhshocraithe.

1.8.3. Cumasaigh Hairpin NAT do LAN1 agus LAN2:

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

Tráchtaireacht. Ligeann sé seo duit rochtain a fháil ar do chuid acmhainní (dstnat) trí IP seachtrach agus tú laistigh den líonra.

2. I ndáiríre, cur i bhfeidhm an multivan an-ceart

Chun an fhadhb a bhaineann le “freagra a fháil ó cad as a d’iarr siad”, úsáidfimid dhá uirlis ROS: marc ceangail и marc ródú. marc ceangail ligeann duit an nasc atá ag teastáil a mharcáil agus ansin oibriú leis an marc seo mar choinníoll chun iarratas a dhéanamh marc ródú. Agus cheana féin le marc ródú is féidir a bheith ag obair i bealach ip и rialacha bealaigh. figured muid amach na huirlisí, anois is gá duit a chinneadh a naisc a mharcáil - uair amháin, go díreach nuair a mharcáil - dhá.

Leis an gcéad cheann, tá gach rud simplí - ní mór dúinn na naisc go léir a thagann chuig an ródaire ón Idirlíon a mharcáil tríd an gcainéal cuí. Inár gcás, beidh siad seo trí lipéad (de réir líon na gcainéal): “conn_isp1”, “conn_isp2” agus “conn_isp3”.

Is é an nuance leis an dara ceann ná go mbeidh naisc ag teacht isteach de dhá chineál: idirthuras agus iad siúd atá beartaithe don ródaire féin. Oibríonn an mheicníocht marc nasc sa tábla mangle. Smaoinigh ar ghluaiseacht an phacáiste ar léaráid shimplithe, arna thiomsú go cineálta ag speisialtóirí na hacmhainne mikrotik-trainings.com (ní fógraíocht):

Multivan agus ródú ar Mikrotik RouterOS

Tar éis na saigheada, feicimid go bhfuil an paicéad ag teacht ar “comhéadan ionchur”, téann tríd an slabhra “Réamhródú” agus is ansin amháin a roinntear é ar bhealach idirthurais agus áitiúil sa bhloc “Cinneadh ródaithe“. Dá bhrí sin, chun dhá éan a mharú le cloch amháin, úsáidimid Marc Ceangal sa tábla Mangle Réamhródú slabhraí Réamhródú.

Nóta. In ROS, liostaítear lipéid “marc ródaithe” mar “Tábla” sa rannóg Ip/Bealaí/Rialacha, agus mar “Marc Ródúcháin” i rannáin eile. D’fhéadfadh sé seo roinnt mearbhaill a thabhairt isteach sa tuiscint, ach, i ndáiríre, is é seo an rud céanna, agus is analóg é de rt_tables in iproute2 ar linux.

2.1. Déanaimid naisc isteach ó gach soláthraí a mharcáil:

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

Tráchtaireacht. Chun gan naisc atá marcáilte cheana a mharcáil, úsáidim an coinníoll connection-mark=no-mark in ionad connection-state=new mar ceapaim go bhfuil sé seo níos ceart, chomh maith le diúltú do naisc neamhbhailí sa scagaire ionchuir.


passthrough=ní hea - mar go bhfuil athmharcáil eisiata sa mhodh feidhmithe seo agus, chun dlús a chur leis, is féidir leat cur isteach ar áireamh na rialacha tar éis an chéad chluiche.

Ba cheart a mheabhrú nach gcuirimid isteach ar bhealach ar bith ar ródú fós. Anois níl ach céimeanna ullmhúcháin ann. Is é an chéad chéim eile den chur chun feidhme ná próiseáil tráchta idirthurais a fhilleann thar an nasc seanbhunaithe ón gceann scríbe sa líonra áitiúil. Iad siúd. na paicéid sin (féach an léaráid) a chuaigh tríd an ródaire feadh na slí:

“Comhéadan Ionchuir” => “Réamhrú” => ”Cinneadh Ródúcháin” => “Ar Aghaidh” => “Ródú Poist” => ”Comhéadan Aschuir” agus fuair siad chuig a seolaí sa líonra áitiúil.

Tábhachtach! In ROS, níl aon deighilt loighciúil i gcomhéadain sheachtracha agus inmheánacha. Má rianaimid cosán an phaicéid freagartha de réir na léaráide thuas, leanfar an cosán loighciúil céanna leis an iarratas:

“Comhéadan Ionchuir” => “Réamhrú” => ”Cinneadh Ródúcháin” => “Ar Aghaidh” => “Ródú Poist” => ”Comhéadan Aschuir” ach le hiarratas"Comhéadan ionchur” a bhí an comhéadan ISP, agus le haghaidh an freagra - LAN

2.2. Dírímid trácht idirthurais freagartha chuig na táblaí ródaithe comhfhreagracha:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

Trácht. in-interface-list=!WAN - ní oibrímid ach le trácht ón líonra áitiúil agus dst-address-type=!local nach bhfuil seoladh sprice seoladh chomhéadain an ródaire féin aige.

Mar an gcéanna maidir le paicéid áitiúla a tháinig chuig an ródaire feadh na slí:

“Comhéadan Ionchuir” => “Réamhrú” => “Cinneadh Ródúcháin” => “Ionchur” => “Próiseas Áitiúil”

Tábhachtach! Rachaidh an freagra ar an mbealach seo a leanas:

”Próiseas Áitiúil” => “Cinneadh Ródúcháin” => ”Aschur” => “Ródú Poist” => ”Comhéadan Aschuir”

2.3. Dírímid trácht áitiúil ar na táblaí ródaithe comhfhreagracha:

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

Ag an gcéim seo, is féidir an tasc a bhaineann le hullmhú chun freagra a sheoladh chuig an gcainéal Idirlín ónar tháinig an t-iarratas a mheas mar réiteach. Tá gach rud marcáilte, lipéadaithe agus réidh le bheith ródaithe.
Éifeacht “taobh” den scoth den socrú seo is ea an cumas oibriú le cur ar aghaidh calafoirt DSNAT ón dá sholáthraí (ISP2, ISP3) ag an am céanna. Níl ar chor ar bith, mar ar ISP1 tá seoladh neamh-inródaithe againn. Tá an éifeacht seo tábhachtach, mar shampla, do fhreastalaí ríomhphoist le dhá MX a fhéachann ar bhealaí éagsúla Idirlín.

Chun deireadh a chur le nuances oibriú líonraí áitiúla le ródairí IP seachtracha, bainimid úsáid as na réitigh ó mhíreanna. 1.8.2 agus 3.1.2.6.

Ina theannta sin, is féidir leat uirlis a úsáid le marcálacha chun mír 3 den fhadhb a réiteach. Cuirimid i bhfeidhm é mar seo:

2.4. Dírímid trácht ó chliaint áitiúla ó na liostaí ródaithe go dtí na táblaí cuí:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

Mar thoradh air sin, breathnaíonn sé rud éigin mar seo:

Multivan agus ródú ar Mikrotik RouterOS

3. Socraigh nasc leis an ISP agus cumasaigh ródú brandáilte

3.1. Socraigh nasc le ISP1:
3.1.1. Cumraigh seoladh IP statach:

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2. Socraigh ródú statach:
3.1.2.1. Cuir bealach "éigeandála" réamhshocraithe leis:

/ip route add comment="Emergency route" distance=254 type=blackhole

Tráchtaireacht. Ligeann an bealach seo do thrácht ó phróisis áitiúla dul thar an gcéim Chinnidh Bealaigh, beag beann ar staid naisc aon cheann de na soláthraithe. Is é an nuance a bhaineann le trácht áitiúil atá ag dul as oifig ná ionas gur féidir leis an bpaicéad bogadh áit éigin ar a laghad, go gcaithfidh bealach gníomhach a bheith ag an bpríomhchlár ródaithe chuig an tairseach réamhshocraithe. Mura bhfuil, ansin scriosfar an pacáiste go simplí.

Mar síneadh uirlis seiceáil geata Chun anailís níos doimhne a dhéanamh ar staid an chainéil, molaim an modh bealaigh athfhillteach a úsáid. Is é croílár an mhodha ná go n-insímid don ródaire cosán a lorg chuig a gheata ní go díreach, ach trí gheata idirmheánach. Roghnófar 4.2.2.1, 4.2.2.2 agus 4.2.2.3 mar gheataí "tástála" den sórt sin do ISP1, ISP2 agus ISP3 faoi seach.

3.1.2.2. Bealach chuig an seoladh “fíorúcháin”:

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

Tráchtaireacht. Déanaimid an luach scóip a ísliú go dtí an réamhshocrú i scóip sprice ROS chun 4.2.2.1 a úsáid mar thairseach athfhillteach amach anseo. Cuirim béim ar an méid seo a leanas: ní mór raon feidhme an bhealaigh chuig an seoladh “tástála” a bheith níos lú ná nó cothrom le raon feidhme an bhealaigh a thagraíonn don cheann tástála.

3.1.2.3. Bealach réamhshocraithe athfhillteach do thrácht gan marc ródaithe:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

Tráchtaireacht. Úsáidtear an luach fad=2 toisc go ndearbhaítear ISP1 mar an chéad chúltaca de réir na gcoinníollacha taisc.

3.1.2.4. Bealach réamhshocraithe athfhillteach le haghaidh tráchta le marc ródaithe “to_isp1”:

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

Tráchtaireacht. I ndáiríre, anseo táimid ag tosú ar deireadh ag baint sult as torthaí na hoibre ullmhúcháin a rinneadh i mír 2.


Ar an mbealach seo, déanfar an trácht go léir a bhfuil an marcbhealach “to_isp1” aige a dhíriú chuig geata an chéad soláthraí, is cuma cén tairseach réamhshocraithe atá gníomhach faoi láthair don phríomhthábla.

3.1.2.5. An chéad bhealach réamhshocraithe athfhillteach aisfhillteach do thrácht clibeáilte ISP2 agus ISP3:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

Tráchtaireacht. Tá na bealaí seo ag teastáil, i measc rudaí eile, chun trácht a chur in áirithe ó líonraí áitiúla atá ina mbaill den liosta seoltaí “to_isp*”'

3.1.2.6. Cláraimid an bealach do thrácht áitiúil an ródaire chuig an Idirlíon trí ISP1:

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

Tráchtaireacht. I gcomhcheangal leis na rialacha ó mhír 1.8.2, soláthraíonn sé rochtain ar an gcainéal atá ag teastáil le foinse ar leith. Tá sé seo ríthábhachtach chun tolláin a thógáil a shonraíonn an seoladh IP taobh áitiúil (EoIP, IP-IP, GRE). Ós rud é go ndéantar na rialacha i rialacha bealaigh ip a fhorghníomhú ó bhun go barr, go dtí an chéad mheaitseáil leis na coinníollacha, ba cheart go mbeadh an riail seo tar éis na rialacha ó chlásal 1.8.2.

3.1.3. Cláraimid an riail NAT maidir le trácht amach:

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

Tráchtaireacht. NATim gach rud a théann amach, ach amháin an méid a théann isteach i mbeartais IPsec. Déanaim iarracht gan action=masquerade a úsáid ach amháin má tá sé fíor-riachtanach. Tá sé níos moille agus níos déine ar acmhainní ná src-nat toisc go ríomhann sé an seoladh NAT do gach nasc nua.

3.1.4. Seolaimid cliaint ón liosta a bhfuil cosc ​​orthu rochtain a fháil trí sholáthraithe eile go díreach chuig tairseach an tsoláthraí ISP1.

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

Tráchtaireacht. tá tosaíocht níos airde ag action=bealach agus cuirtear i bhfeidhm é roimh rialacha ródaithe eile.


place-before=0 - cuireann sé ár riail ar dtús sa liosta.

3.2. Socraigh nasc le ISP2.

Ós rud é go dtugann an soláthraí ISP2 na socruithe dúinn trí DHCP, tá sé réasúnta na hathruithe riachtanacha a dhéanamh le script a thosaíonn nuair a spreagtar an cliant DHCP:

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

An script féin i bhfuinneog Winbox:

Multivan agus ródú ar Mikrotik RouterOS
Tráchtaireacht. Spreagtar an chéad chuid den script nuair a fhaightear an léas go rathúil, an dara ceann - tar éis an léas a scaoileadh.Féach nóta 2

3.3. Chuireamar nasc ar bun leis an soláthraí ISP3.

Ós rud é go dtugann soláthraí na socruithe dinimiciúil dúinn, tá sé réasúnta na hathruithe is gá a dhéanamh le scripteanna a thosaíonn tar éis an comhéadan ppp a ardú agus tar éis an titim.

3.3.1. Ar dtús déanaimid an phróifíl a chumrú:

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

An script féin i bhfuinneog Winbox:

Multivan agus ródú ar Mikrotik RouterOS
Tráchtaireacht. Líne
/ip firewall mangle set [find comment="Connmark isteach ó ISP3"] in-interface=$"comhéadan";
ligeann duit athainmniú an chomhéadain a láimhseáil i gceart, ós rud é go n-oibríonn sé lena chód agus ní leis an ainm taispeána.

3.3.2. Anois, ag baint úsáide as an bpróifíl, cruthaigh nasc ppp:

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

Mar theagmháil dheireanach, socróimid an clog:

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

Dóibh siúd a léamh go dtí an deireadh

Is é an bealach atá beartaithe chun multivan a chur i bhfeidhm rogha phearsanta an údair agus ní hé an t-aon cheann is féidir. Tá foireann uirlisí ROS fairsing agus solúbtha, rud a chruthaíonn deacrachtaí do thosaitheoirí ar thaobh amháin, agus, ar an taobh eile, is é an chúis atá leis an tóir atá air. Foghlaim, bain triail as, faigh amach uirlisí agus réitigh nua. Mar shampla, mar iarratas ar an eolas a fuarthas, is féidir an uirlis a athsholáthar sa chur i bhfeidhm seo ar an multivan seic-gheata le bealaí athchúrsacha chuig glanfhaire.

Nótaí

  1. seic-gheata - meicníocht a ligeann duit an bealach a dhíghníomhachtú tar éis dhá sheiceáil i ndiaidh a chéile nár éirigh leo ar an ngeata le haghaidh infhaighteachta. Déantar an tseiceáil uair amháin gach 10 soicind, móide an teorainn ama freagartha. San iomlán, luíonn an t-am athrú iarbhír sa raon 20-30 soicind. Mura leor an t-am aistrithe den sórt sin, tá rogha ann an uirlis a úsáid glanfhaire, nuair is féidir an t-amadóir seiceála a shocrú de láimh. seic-gheata ní tine ar chaillteanas paicéad uaineach ar an nasc.

    Tábhachtach! Má dhéantar príomhbhealach a dhíghníomhachtú díghníomhachtófar gach bealach eile a thagraíonn dó. Dá bhrí sin, chun iad a chur in iúl seic-gheata = ping ní gá.

  2. Tarlaíonn sé go dtarlaíonn teip sa mheicníocht DHCP, a bhfuil cuma cliant i bhfostú sa stát athnuachana. Sa chás seo, ní oibreoidh an dara cuid den script, ach ní chuirfidh sé cosc ​​​​ar thrácht ó siúl i gceart, ós rud é go rianaíonn an stát an bealach athfhillteach comhfhreagrach.
  3. ECMP (Il-chonair Chostais Chomhionann) - in ROS is féidir bealach a shocrú le roinnt geataí agus an fad céanna. Sa chás seo, déanfar naisc a dháileadh thar bhealaí ag baint úsáide as an algartam spideog bhabhta, i gcomhréir le líon na ngeataí sonraithe.

Chun an spreagadh chun an t-alt a scríobh, cuidigh le múnlú a dhéanamh ar a struchtúr agus ar shocrúcháin variant - buíochas pearsanta le Evgeny @jscar

Foinse: will.com