Multivan agus slighe air Mikrotik RouterOS

Ro-ràdh

A 'togail an artaigil, a bharrachd air vanity, chaidh a bhrosnachadh leis cho tric' sa tha ceistean air a 'chuspair seo ann am buidhnean ìomhaigh coimhearsnachd teileagraman Ruiseanach. Tha an artaigil ag amas air luchd-rianachd ùr Mikrotik RouterOS (ris an canar ROS an-seo). Chan eil e a’ dèiligeadh ach ris an multivan, le cuideam air slighe. Mar bhuannachd, tha glè bheag de shuidheachaidhean ann gus dèanamh cinnteach à obrachadh sàbhailte agus goireasach. Is dòcha nach caith an fheadhainn a tha a’ coimhead airson foillseachadh cuspairean ciudha, cothromachadh luchdan, vlans, drochaidean, mion-sgrùdadh domhainn ioma-ìre air staid an t-seanail agus an leithid - ùine is oidhirp a’ leughadh.

Fiosrachadh cruaidh

Mar chuspair deuchainn, chaidh router Mikrotik còig-phort le dreach ROS 6.45.3 a thaghadh. Cuiridh e trafaic eadar dà lìonra ionadail (LAN1 agus LAN2) agus trì solaraichean (ISP1, ISP2, ISP3). Tha seòladh “liath” statach aig an t-sianal gu ISP1, ISP2 - “geal”, a gheibhear tro DHCP, ISP3 - “geal” le cead PPPoE. Tha an diagram ceangail air a shealltainn anns an fhigear:

Is e an obair an router MTK a rèiteachadh stèidhichte air an sgeama gus:

1. Thoir seachad atharrachadh fèin-ghluasadach gu solaraiche cùl-taic. Is e am prìomh sholaraiche ISP2, is e ISP1 a’ chiad tèarmann, is e ISP3 an dàrna tèarmann.
2. Cuir air dòigh ruigsinneachd lìonra LAN1 air an eadar-lìn a-mhàin tro ISP1.
3. Thoir seachad comas air trafaic a stiùireadh bho lìonraidhean ionadail chun eadar-lìn tron ​​​​t-solaraiche taghte stèidhichte air an liosta sheòlaidhean.
4. Dèan ullachadh airson cothrom air seirbheisean foillseachaidh bhon lìonra ionadail chun eadar-lìn (DSTNAT)
5. Stèidhich criathrag balla-teine ​​​​gus an ìre as lugha de thèarainteachd a thoirt bhon eadar-lìn.
6. Dh’ fhaodadh an router a thrafaig fhèin a chuir a-mach tro gin de na trì solaraichean, a rèir an t-seòlaidh stòr a chaidh a thaghadh.
7. Dèan cinnteach gu bheil pacaidean freagairt air an cur chun t-sianail às an tàinig iad (a’ toirt a-steach LAN).

Comharraich Rèitichidh sinn an router “bhon fhìor thoiseach” gus dèanamh cinnteach nach bi iongnadh ann anns na rèiteachaidhean tòiseachaidh “a-mach às a’ bhogsa ”a bhios ag atharrachadh bho dhreach gu dreach. Chaidh Winbox a thaghadh mar inneal rèiteachaidh, far am bi atharrachaidhean air an taisbeanadh gu fradharcach. Thèid na roghainnean fhèin a shuidheachadh le òrdughan ann an ceann-uidhe Winbox. Tha an ceangal corporra airson rèiteachadh air a dhèanamh le ceangal dìreach ris an eadar-aghaidh Ether5.

Beagan reusanachaidh mu dè a th’ ann am multivan, an e duilgheadas a th’ ann no a bheil daoine seòlta seòlta timcheall air lìonraidhean co-fheall fighe

Bidh rianadair fiosrachail agus furachail, a’ stèidheachadh sgeama mar sin no an leithid leis fhèin, gu h-obann a’ tuigsinn gu bheil e ag obair gu h-àbhaisteach mu thràth. Tha, tha, às aonais na clàran slighe àbhaisteach agad agus riaghailtean slighe eile, a tha a’ mhòr-chuid de artaigilean air a’ chuspair seo làn. Feuch an dèan sinn sgrùdadh?

An urrainn dhuinn seòlaidhean a rèiteachadh air eadar-aghaidh agus geataichean bunaiteach? Tha:

Air ISP1, chaidh an seòladh agus an geata a chlàradh leis astar = 2 и seic-gheata = ping.
Air ISP2, an suidheachadh teachdaiche dhcp bunaiteach - a rèir sin, bidh astar co-ionann ri aon.
Air ISP3 ann an roghainnean teachdaiche pppoe nuair a add-default-route = tha chuir default-route-distance=3.

Na dìochuimhnich clàradh NAT air an t-slighe a-mach:

/ ip firewall nat cuir gnìomh = slabhraidh masquerade = scrcnat out-interface-list = WAN

Mar thoradh air an sin, tha spòrs aig luchd-cleachdaidh làraich ionadail cait a luchdachadh sìos tron ​​​​phrìomh sholaraiche ISP2 agus tha glèidheadh ​​​​seanail a’ cleachdadh an uidheamachd thoir sùil air geata Faic nota 1

Tha puing 1 den obair ga chur an gnìomh. Càite a bheil am multivan le na comharran aige? Chan eil…

Nas fhaide. Feumaidh tu teachdaichean sònraichte a leigeil ma sgaoil bhon LAN tro ISP1:

/ ip firewall mangle cuir gnìomh = sèine slighe = ro-shealladh dst-address-list =!BOGONS
passthrough=tha slighe-dst=100.66.66.1 src-address-list=Via_ISP1
/ ip firewall mangle cuir gnìomh = sèine slighe = ro-shealladh dst-address-list =!BOGONS
passthrough=chan eil slighe-dst=100.66.66.1 src-address=192.168.88.0/24

Tha nithean 2 agus 3 den obair air an cur an gnìomh. Bileagan, stampaichean, riaghailtean slighe, càite a bheil thu?!

A bheil feum agad air ruigsinneachd a thoirt don t-seirbheisiche OpenVPN as fheàrr leat leis an t-seòladh 172.17.17.17 airson teachdaichean bhon eadar-lìn? Mas e do thoil e:

/ip cloud set ddns-enabled = tha

Mar cho-aoisean, bheir sinn an toradh toraidh don neach-dèiligidh: “: cuir [ip cloud faigh dns-name]"

Bidh sinn a’ clàradh port air adhart bhon eadar-lìn:

/ ip firewall nat cuir gnìomh = dst-nat chain = dstnat dst-port = 1194
in-interface-list=Pròtacal WAN=udp gu seòlaidhean=172.17.17.17

Tha nì 4 deiseil.

Stèidhich sinn balla-teine ​​​​agus tèarainteachd eile airson puing 5, aig an aon àm tha sinn toilichte gu bheil a h-uile càil ag obair dha luchd-cleachdaidh mu thràth agus ruighinn airson soitheach leis an deoch as fheàrr leotha ...
A! Tha tunailean air an dìochuimhneachadh.

Tha l2tp-client, air a rèiteachadh le artaigil google, air èirigh chun VDS Duitseach as fheàrr leat? Tha.
Tha l2tp-server le IPsec air a dhol suas agus teachdaichean le ainm DNS bho IP Cloud (faic gu h-àrd.) A’ gèilleadh? Tha.
A’ lùbadh air ais sa chathair againn, a’ sùghadh deoch, bidh sinn gu leisg a’ beachdachadh air puingean 6 agus 7 den obair. Tha sinn a 'smaoineachadh - a bheil feum againn air? A h-uile h-aon, bidh e ag obair mar sin (c) ... Mar sin, mura h-eil feum air fhathast, sin agad e. Multivan air a chuir an gnìomh.

Dè a th' ann am multivan? Is e seo ceangal grunn shianalan eadar-lìn ri aon router.

Cha leig thu leas an artaigil a leughadh tuilleadh, oir dè as urrainn a bhith ann a bharrachd air a bhith a’ nochdadh iomchaidheachd amharasach?

Dhaibhsan a tha air fhàgail, aig a bheil ùidh ann am puingean 6 agus 7 den obair, agus cuideachd a’ faireachdainn itch iomlanachd, bidh sinn a’ dàibheadh ​​​​nas doimhne.

Is e an obair as cudromaiche ann a bhith a’ buileachadh multivan an t-slighe trafaic cheart. Is e sin: ge bith dè (no dè) Faic. nota 3 bidh seanal (ean) an ISP a’ coimhead air an t-slighe àbhaisteach air an router againn, bu chòir dha freagairt a thilleadh chun dearbh sheanal às a thàinig am pacaid. Tha an obair soilleir. Càite a bheil an duilgheadas? Gu dearbh, ann an lìonra ionadail sìmplidh, tha an obair mar an ceudna, ach chan eil duine a 'cur dragh air suidheachaidhean a bharrachd agus chan eil e a' faireachdainn trioblaid. Is e an eadar-dhealachadh gu bheil nòta gluasadach sam bith air an eadar-lìn ruigsinneach tro gach aon de na seanalan againn, agus chan ann tro fhear a tha gu tur sònraichte, mar ann an LAN sìmplidh. Agus is e an “trioblaid” ma thàinig iarrtas thugainn airson seòladh IP ISP3, an uairsin sa chùis againn thèid am freagairt tron ​​​​t-sianal ISP2, leis gu bheil an geata bunaiteach air a stiùireadh an sin. Fàgaidh e agus thèid a thilgeil air falbh leis an t-solaraiche mar rud ceàrr. Tha an duilgheadas air aithneachadh. Ciamar a fuasgladh e?

Tha am fuasgladh air a roinn ann an trì ìrean:

1. A' ro-aithris. Aig an ìre seo, thèid roghainnean bunaiteach an router a shuidheachadh: lìonra ionadail, balla-teine, liostaichean sheòlaidhean, NAT hairpin, msaa.
2. Ioma-bhan. Aig an ìre seo, thèid na ceanglaichean riatanach a chomharrachadh agus an rèiteachadh ann an clàran slighe.
3. A 'ceangal ri ISP. Aig an ìre seo, thèid na h-eadar-aghaidh a tha a’ toirt seachad ceangal ris an eadar-lìn a rèiteachadh, an t-slighe agus thèid inneal glèidhidh an t-seanail eadar-lìn a chuir an gnìomh.

1. Presetting

1.1. Bidh sinn a’ glanadh rèiteachadh an router leis an àithne:

/system reset-configuration skip-backup=yes no-defaults=yes

aontachadh le "Cunnartach! Ath-shuidheachadh co-dhiù? [y/N]:” agus, às deidh ath-thòiseachadh, bidh sinn a’ ceangal ri Winbox tro MAC. Aig an ìre seo, tha an rèiteachadh agus bunait luchd-cleachdaidh air an glanadh.

1.2. Cruthaich cleachdaiche ùr:

/user add group=full name=knight password=ultrasecret comment=”Not horse”

log a-steach fon sin agus sguab às am fear bunaiteach:

/user remove admin

Comharraich Is e toirt air falbh agus gun a bhith a’ cur à comas an neach-cleachdaidh bunaiteach a tha an t-ùghdar a’ meas nas sàbhailte agus a’ moladh airson a chleachdadh.

1.3. Bidh sinn a’ cruthachadh liostaichean eadar-aghaidh bunaiteach airson goireasachd a bhith ag obair ann am balla-teine, suidheachaidhean lorg agus frithealaichean MAC eile:

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

A’ soidhnigeadh eadar-aghaidh le beachdan

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

agus lìon a-steach na liostaichean eadar-aghaidh:

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

Comharraich Is fhiach a bhith a’ sgrìobhadh bheachdan so-thuigsinn an ùine a thathar a’ cur seachad air seo, agus tha e gu mòr a’ comasachadh fuasgladh cheistean agus a’ tuigsinn an rèiteachaidh.

Tha an t-ùghdar den bheachd gu bheil e riatanach, airson adhbharan tèarainteachd, an eadar-aghaidh ether3 a chuir ris an liosta eadar-aghaidh “WAN”, a dh’ aindeoin nach tèid am protocol ip troimhe.

Na dìochuimhnich, às deidh an eadar-aghaidh PPP a thogail air ether3, gum feumar a chuir ris an liosta eadar-aghaidh “WAN”

1.4. Bidh sinn a’ falach an router bho lorg nàbachd agus smachd bho lìonraidhean solaraiche tro MAC:

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

1.5. Bidh sinn a’ cruthachadh an t-seata as lugha de riaghailtean sìoltachain balla-teine ​​​​gus an router a dhìon:

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(tha an riaghailt a 'toirt seachad cead airson ceanglaichean stèidhichte agus co-cheangailte a thèid a thòiseachadh bhon dà chuid lìonraidhean ceangailte agus bhon router fhèin)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(ping agus chan e a-mhàin ping. Tha a h-uile icmp ceadaichte a-steach. Fìor fheumail airson duilgheadasan MTU a lorg)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(tha an riaghailt a dhùineas an t-sreath cuir a-steach a’ toirmeasg a h-uile càil eile a thig bhon eadar-lìn)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(tha an riaghailt a 'ceadachadh ceanglaichean stèidhichte agus co-cheangailte a thèid tron ​​​​rothadair)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(tha an riaghailt ag ath-shuidheachadh cheanglaichean le connection-state = a’ dol seachad air an router mì-dhligheach. Tha Mikrotik air a mholadh gu làidir, ach ann an cuid de shuidheachaidhean tearc faodaidh e trafaic feumail a bhacadh)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(tha an riaghailt a’ toirmeasg pacaidean a thig bhon eadar-lìn agus nach eil air a dhol seachad air a’ mhodh dstnat airson a dhol tron ​​router. Dìonaidh seo lìonraidhean ionadail bho luchd-ionnsaigh a bhios, leis a bheil iad san aon raon craolaidh leis na lìonraidhean taobh a-muigh againn, a’ clàradh ar IPan taobh a-muigh mar a geata agus, mar sin, feuch ri “sgrùdadh” a dhèanamh air na lìonraidhean ionadail againn.)

Comharraich Gabhamaid ris gu bheil earbsa anns na lìonraidhean LAN1 agus LAN2 agus nach eil an trafaic eatorra agus bhuapa air a shìoladh.

1.6. Cruthaich liosta le liosta de lìonraidhean neo-ghluasadach:

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(Seo liosta de sheòlaidhean agus lìonraidhean nach gabh gluasad chun eadar-lìn agus thèid an leantainn a rèir sin.)

Comharraich Faodaidh an liosta atharrachadh, agus mar sin tha mi a 'toirt comhairle dhut sgrùdadh a dhèanamh bho àm gu àm air a' bhuntanas.

1.7. Stèidhich DNS airson an router fhèin:

/ip dns set servers=1.1.1.1,8.8.8.8

Comharraich Anns an dreach làithreach de ROS, fiùghantach frithealaichean Tha iad a’ faighinn prìomhachas thairis air an fheadhainn a tha air an sònrachadh gu statach. Thèid iarrtas fuasgladh ainm a chur chun a’ chiad fhrithealaiche san liosta. Thèid an ath fhrithealaiche a thaghadh mura h-eil am fear làithreach ri fhaighinn. Tha an ùine-ama fada - barrachd air 5 diogan. Cha bhith tilleadh chun fhrithealaiche roimhe a’ tachairt gu fèin-ghluasadach nuair a thig am “frithealaiche sìos” air-loidhne a-rithist. Leis an algairim seo agus làthaireachd multivan, tha an t-ùghdar a’ moladh gun a bhith a’ cleachdadh frithealaichean a tha air an toirt seachad le ISPan.

1.8. Stèidhich lìonra ionadail.
1.8.1. Bidh sinn a’ rèiteachadh seòlaidhean IP statach air eadar-aghaidh LAN:

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2. Shuidhich sinn na riaghailtean airson slighean gu na lìonraidhean ionadail againn tron ​​phrìomh chlàr slighe:

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

Comharraich Is e seo aon de na dòighean luath is furasta air faighinn gu seòlaidhean LAN le stòran de sheòlaidhean IP taobh a-muigh de eadar-aghaidh router nach tèid tron ​​​​t-slighe àbhaisteach.

1.8.3. Dèan comas air Hairpin NAT airson LAN1 agus LAN2:

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

Comharraich Leigidh seo leat faighinn gu na goireasan agad (dstnat) tro IP taobh a-muigh fhad ‘s a tha thu taobh a-staigh an lìonra.

2. Gu fìrinneach, buileachadh an multivan fìor cheart

Gus fuasgladh fhaighinn air an duilgheadas a thaobh “freagairt cò às a dh’ fhaighnich iad”, cleachdaidh sinn dà inneal ROS: comharra ceangail и comharra seòlaidh. comharra ceangail a’ leigeil leat an ceangal a tha thu ag iarraidh a chomharrachadh agus an uairsin obrachadh leis an leubail seo mar chumha airson tagradh a dhèanamh comharra seòlaidh. Agus mu thràth le comharra seòlaidh comasach a bhith ag obair ann slighe ip и riaghailtean slighe. Dh'obraich sinn a-mach na h-innealan, a-nis feumaidh tu co-dhùnadh dè na ceanglaichean a bu chòir a chomharrachadh - aon uair, dìreach càite an comharrachadh - dhà.

Leis a 'chiad fhear, tha a h-uile dad sìmplidh - feumaidh sinn a h-uile ceangal a thig chun an rothaiche bhon eadar-lìon a chomharrachadh tron ​​​​t-sianal iomchaidh. Anns a’ chùis againn, bidh iad sin nan trì bileagan (a rèir an àireamh de shianalan): “conn_isp1”, “conn_isp2” agus “conn_isp3”.

Is e an nuance leis an dàrna fear gum bi dà sheòrsa de cheanglaichean a-steach: gluasad agus an fheadhainn a tha san amharc airson an router fhèin. Bidh an inneal comharra ceangail ag obair sa chlàr mangle. Beachdaich air gluasad a 'phacaid air diagram nas sìmplidhe, air a chur ri chèile gu coibhneil le eòlaichean goireas mikrotik-trainings.com (chan e sanasachd):

Às deidh na saighdean, chì sinn gu bheil am pacaid a’ ruighinn “eadar-aghaidh inntrigidh", a 'dol tron ​​​​t-sreath"Ro-shealladh” agus is ann dìreach an uairsin a tha e air a roinn ann an gluasad agus ionadail sa bhloc "Co-dhùnadh routing". Mar sin, airson dà eun a mharbhadh le aon chloich, bidh sinn a 'cleachdadh Comharra ceangail sa chlàr Mangle Ro-slighe slabhraidhean Ro-shealladh.

Nota. Ann an ROS, tha bileagan “comharra slighe” air an liostadh mar “Clàr” anns an roinn Ip/Slighean/Riaghailtean, agus mar “Comharra Routing” ann an earrannan eile. Dh’ fhaodadh seo beagan troimh-chèile a thoirt a-steach do thuigse, ach, gu dearbh, is e seo an aon rud, agus tha e na analogue de rt_tables ann an iproute2 air linux.

2.1. Bidh sinn a’ comharrachadh cheanglaichean a tha a’ tighinn a-steach bho gach solaraiche:

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

Comharraich Gus nach comharraich mi ceanglaichean a tha comharraichte mar-thà, bidh mi a’ cleachdadh an t-suidheachadh connect-mark=no-mark an àite connection-state=new oir tha mi a’ smaoineachadh gu bheil seo nas ceart, a bharrachd air a bhith a’ diùltadh ceanglaichean mì-dhligheach sa chriathrag a-steach.

passthrough = chan eil - oir anns an dòigh buileachaidh seo, tha ath-chomharrachadh air a dùnadh a-mach agus, gus a luathachadh, faodaidh tu casg a chuir air àireamhachd nan riaghailtean às deidh a’ chiad gheam.

Bu chòir cuimhneachadh nach eil sinn a 'cur bacadh air dòigh sam bith air slighe fhathast. A-nis chan eil ann ach ìrean ullachaidh. Is e an ath ìre de bhuileachadh a bhith a’ giullachd trafaic gluasaid a thilleas thairis air a’ cheangal stèidhichte bhon cheann-uidhe san lìonra ionadail. An fheadhainn sin. na pacaidean sin a chaidh (faic an diagram) tron ​​​​rothadair air an t-slighe:

“Input Interface” => “Routing” => ”Co-dhùnadh slighe” => “Air adhart” => “Post Routing” => ”Eadar-aghaidh toraidh” agus fhuair iad chun neach-freagairt aca air an lìonra ionadail.

Cudromach! Ann an ROS, chan eil sgaradh loidsigeach ann an eadar-aghaidh taobh a-muigh agus a-staigh. Ma lorgas sinn slighe a’ phacaid freagairt a rèir an diagram gu h-àrd, leanaidh e an aon shlighe loidsigeach ris an iarrtas:

“Input Interface” => “Routing” => ”Co-dhùnadh slighe” => “Air adhart” => “Post Routing” => ”Eadar-aghaidh toraidh” dìreach airson iarrtas"Eadar-aghaidh cur-a-steach” an robh an eadar-aghaidh ISP, agus airson an fhreagairt - LAN

2.2. Bidh sinn a’ stiùireadh trafaic gluasaid freagairt gu na clàran slighe iomchaidh:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

Beachd. in-interface-list=!WAN - chan obraich sinn ach le trafaic bhon lìonra ionadail agus dst-address-type=!local aig nach eil seòladh ceann-uidhe seòladh eadar-aghaidh an router fhèin.

An aon rud airson pacaidean ionadail a thàinig chun router air an t-slighe:

“Input Interface” => “Routing” => ”Co-dhùnadh slighe” => “Cuir a-steach” => “Pròiseas Ionadail”

Cudromach! Thèid am freagairt san dòigh a leanas:

“Pròiseas Ionadail” => ”Co-dhùnadh Routing” => ”Toraidh” => “Pròiseas Post” => “Eadar-aghaidh toraidh”

2.3. Bidh sinn a’ stiùireadh trafaic ionadail freagairt gu na clàran slighe iomchaidh:

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

Aig an ìre seo, faodar beachdachadh air an obair ullachadh airson freagairt a chuir chun t-sianal eadar-lìn às an tàinig an t-iarrtas fhuasgladh. Tha a h-uile dad air a chomharrachadh, air a chomharrachadh agus deiseil airson a stiùireadh.
Is e deagh bhuaidh “taobh” den stèidheachadh seo an comas a bhith ag obair le port DSNAT air adhart bhon dà sholaraiche (ISP2, ISP3) aig an aon àm. Chan eil idir, oir air ISP1 tha seòladh againn nach gabh a ghluasad. Tha a’ bhuaidh seo cudromach, mar eisimpleir, airson frithealaiche puist le dà MX a bhios a’ coimhead air diofar shianalan eadar-lìn.

Gus cuir às do nuances gnìomhachd lìonraidhean ionadail le routers IP taobh a-muigh, bidh sinn a ’cleachdadh na fuasglaidhean bho pharagrafan. 1.8.2 agus 3.1.2.6.

A bharrachd air an sin, faodaidh tu inneal le comharran a chleachdadh gus paragraf 3 den duilgheadas fhuasgladh. Bidh sinn ga chur an gnìomh mar seo:

2.4. Bidh sinn a’ stiùireadh trafaic bho luchd-dèiligidh ionadail bho na liostaichean slighe gu na clàran iomchaidh:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

Mar thoradh air an sin, tha e a’ coimhead rudeigin mar seo:

3. Stèidhich ceangal ris an ISP agus cuir an comas slighe comharraichte

3.1. Stèidhich ceangal gu ISP1:
3.1.1. Dèan rèiteachadh air seòladh IP statach:

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2. Stèidhich slighe statach:
3.1.2.1. Cuir slighe “èiginn” bunaiteach ris:

/ip route add comment="Emergency route" distance=254 type=blackhole

Comharraich Tha an t-slighe seo a’ leigeil le trafaic bho phròiseasan ionadail a dhol seachad air an ìre Co-dhùnaidh Slighe, ge bith dè an suidheachadh a th’ aig na ceanglaichean aig gin de na solaraichean. Is e an rud a th’ ann an trafaic ionadail a tha a’ dol a-mach gum feum slighe gnìomhach a bhith aig a’ phrìomh bhòrd chun a’ gheata àbhaisteach gus an gluais am paca co-dhiù am badeigin. Mura h-eil, bidh am pasgan dìreach air a sgrios.

Mar leudachadh inneal thoir sùil air geata Airson mion-sgrùdadh nas doimhne air staid an t-seanail, tha mi a’ moladh a bhith a’ cleachdadh an dòigh slighe ath-chuairteach. Is e brìgh an dòigh-obrach gu bheil sinn ag innse don router a bhith a’ coimhead airson slighe chun gheata aige chan ann gu dìreach, ach tro gheata eadar-mheadhanach. Thèid 4.2.2.1, 4.2.2.2 agus 4.2.2.3 a thaghadh mar gheataichean “deuchainn” airson ISP1, ISP2 agus ISP3 fa leth.

3.1.2.2. Slighe chun an t-seòlaidh “dearbhaidh”:

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

Comharraich Bidh sinn a’ lughdachadh luach an raoin chun an àbhaist ann an raon targaid ROS gus 4.2.2.1 a chleachdadh mar gheata ath-chuairteachaidh san àm ri teachd. Tha mi a’ daingneachadh: feumaidh farsaingeachd an t-slighe chun t-seòlaidh “deuchainn” a bhith nas lugha na no co-ionann ri raon targaid na slighe a bheir iomradh air an tè deuchainn.

3.1.2.3. Slighe àbhaisteach ath-chuairteach airson trafaic gun chomharra slighe:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

Comharraich Tha an luach astar = 2 air a chleachdadh leis gu bheil ISP1 air ainmeachadh mar a’ chiad chùl-taic a rèir nan cumhachan gnìomh.

3.1.2.4. Slighe àbhaisteach ath-chuairteach airson trafaic le comharra slighe “to_isp1”:

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

Comharraich Gu fìrinneach, an seo tha sinn mu dheireadh a ’tòiseachadh a’ faighinn tlachd à toradh na h-obrach ullachaidh a chaidh a dhèanamh ann am paragraf 2.

Air an t-slighe seo, thèid a h-uile trafaic aig a bheil an t-slighe comharra “to_isp1” a stiùireadh gu geata a ’chiad sholaraiche, ge bith dè an geata bunaiteach a tha gnìomhach an-dràsta airson a’ phrìomh bhòrd.

3.1.2.5. A’ chiad slighe àbhaisteach ath-chuairteachaidh airson trafaic le tag ISP2 agus ISP3:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

Comharraich Tha feum air na slighean sin, am measg rudan eile, gus trafaic a ghlèidheadh ​​bho lìonraidhean ionadail a tha nam buill den liosta sheòlaidhean “to_isp*”’

3.1.2.6. Bidh sinn a’ clàradh na slighe airson trafaic ionadail an router chun eadar-lìn tro ISP1:

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

Comharraich Ann an co-bhonn ris na riaghailtean bho pharagraf 1.8.2, tha e a’ toirt cothrom air an t-sianal a tha thu ag iarraidh le stòr sònraichte. Tha seo deatamach airson tunailean a thogail a shònraicheas an seòladh IP taobh ionadail (EoIP, IP-IP, GRE). Leis gu bheil na riaghailtean ann an riaghailtean slighe ip air an cur an gnìomh bho mhullach gu bonn, gus a ’chiad gheama de na cumhaichean, bu chòir an riaghailt seo a bhith às deidh na riaghailtean bho chlàs 1.8.2.

3.1.3. Bidh sinn a’ clàradh riaghailt NAT airson trafaic a-mach:

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

Comharraich NATim a h-uile dad a thèid a-mach, ach a-mhàin na tha a’ faighinn a-steach do phoileasaidhean IPsec. Feuchaidh mi gun a bhith a’ cleachdadh action = masquerade mura h-eil sin riatanach. Tha e nas slaodaiche agus nas dian air goireasan na src-nat oir bidh e a’ tomhas an t-seòladh NAT airson gach ceangal ùr.

3.1.4. Bidh sinn a’ cur luchd-dèiligidh bhon liosta a tha toirmisgte bho bhith faighinn thuige tro sholaraichean eile gu dìreach gu geata solaraiche ISP1.

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

Comharraich action = tha prìomhachas nas àirde aig an t-slighe agus thathar ga chur an sàs ro riaghailtean slighe eile.

place-before=0 - cuir ar riaghailt an toiseach air an liosta.

3.2. Stèidhich ceangal ri ISP2.

Leis gu bheil an solaraiche ISP2 a’ toirt dhuinn na roghainnean tro DHCP, tha e reusanta na h-atharrachaidhean riatanach a dhèanamh le sgriobt a thòisicheas nuair a thèid an neach-dèiligidh DHCP a phiobrachadh:

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

An sgriobt fhèin ann an uinneag Winbox:

Comharraich Tha a 'chiad phàirt den sgriobt air a phiobrachadh nuair a gheibhear an aonta-màil gu soirbheachail, an dàrna fear - an dèidh don mhàl a bhith air a leigeil ma sgaoil.Faic nota 2

3.3. Stèidhich sinn ceangal ris an t-solaraiche ISP3.

Leis gu bheil solaraiche nan roghainnean a’ toirt dhuinn fiùghantach, tha e reusanta na h-atharrachaidhean riatanach a dhèanamh le sgriobtaichean a thòisicheas às deidh an eadar-aghaidh ppp a thogail agus às deidh an tuiteam.

3.3.1. An toiseach bidh sinn a’ rèiteachadh a’ phròifil:

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

An sgriobt fhèin ann an uinneag Winbox:

Comharraich Loidhne
/ ip firewall mangle set [find comment = "Connmark a-steach o ISP3"] in-interface = $ "eadar-aghaidh";
a’ leigeil leat ath-ainmeachadh an eadar-aghaidh a làimhseachadh gu ceart, leis gu bheil e ag obair leis a’ chòd aige agus chan e an t-ainm taisbeanaidh.

3.3.2. A-nis, a’ cleachdadh a’ phròifil, cruthaich ceangal ppp:

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

Mar suathadh deireannach, leig dhuinn an gleoc a shuidheachadh:

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

Dhaibhsan a leughas gu deireadh

Is e an dòigh a thathar a 'moladh airson multivan a chur an gnìomh roghainn pearsanta an ùghdair agus chan e an aon fhear a tha comasach. Tha an inneal ROS farsaing agus sùbailte, a tha, air an aon làimh, ag adhbhrachadh dhuilgheadasan do luchd-tòiseachaidh, agus, air an làimh eile, is e an adhbhar airson a bhith mòr-chòrdte. Ionnsaich, feuch, lorg innealan agus fuasglaidhean ùra. Mar eisimpleir, mar chleachdadh air an eòlas a fhuaireadh, tha e comasach an inneal a chuir an àite an multivan seo seic-gheata le slighean ath-chuairteach gu faire lìn.

Notaichean

1. seic-gheata - inneal a leigeas leat an t-slighe a chuir dheth às deidh dà sgrùdadh neo-shoirbheachail air a’ gheata airson cothrom fhaighinn. Thèid an t-seic a dhèanamh aon uair gach 10 diog, a bharrachd air an ùine freagairt. Gu h-iomlan, tha an fhìor ùine tionndaidh anns an raon de 20-30 diogan. Mura h-eil an t-àm tionndaidh sin gu leòr, tha roghainn ann an inneal a chleachdadh faire lìn, far an urrainnear an timer seic a shuidheachadh le làimh. seic-gheata na losgadh air call pacaid eadar-amail air a’ cheangal.

   Cudromach! Ma thèid prìomh shlighe a chuir dheth cuiridh sin dheth a h-uile slighe eile a tha a’ toirt iomradh air. Mar sin, airson iad a shònrachadh seic-gheata = ping chan eil feum air.

2. Tha e a’ tachairt gu bheil fàiligeadh a’ tachairt anns an uidheamachd DHCP, a tha coltach ri neach-dèiligidh glaiste san stàit ùrachaidh. Anns a 'chùis seo, chan obraich an dàrna pàirt den sgriobt, ach cha chuir e bacadh air trafaig bho bhith a' coiseachd gu ceart, leis gu bheil an stàit a 'leantainn an t-slighe ath-chuairteachaidh co-fhreagarrach.
3. ECMP (Ioma-shlighe Cosgais Co-ionann) - ann an ROS tha e comasach slighe a shuidheachadh le grunn gheataichean agus an aon astar. Anns a 'chùis seo, thèid ceanglaichean a sgaoileadh thairis air seanalan a' cleachdadh an algairim robin cruinn, ann an co-rèir ris an àireamh de gheataichean ainmichte.

Airson brosnachadh an artaigil a sgrìobhadh, cuidich le bhith a’ cumadh a structair agus a’ suidheachadh sràcan - taing phearsanta do Evgeny @jscar

Source: www.habr.com