Multivan ak routage sou Mikrotik RouterOS

Entwodiksyon

Pran atik la, anplis vo anyen, te pouse pa frekans nan depresyon nan kesyon sou sijè sa a nan gwoup pwofil yo nan kominote a telegram ki pale Ris. Atik la vize administratè inisyasyon Mikrotik RouterOS (ki refere yo kòm ROS). Li fè fas sèlman ak multivan an, ak yon anfaz sou routage. Kòm yon bonis, gen anviwònman minimòm ase pou asire operasyon an sekirite ak pratik. Moun ki ap chèche pou divilgasyon sijè yo nan ke moun kap kriye, balans chaj, vlans, pon, milti-etap analiz gwo twou san fon nan eta a nan kanal la ak renmen an - pa ka gaspiye tan ak efò lekti.

Done kri

Kòm yon sijè tès, yo te chwazi yon routeur Mikrotik senk pò ak vèsyon ROS 6.45.3. Li pral dirije trafik ant de rezo lokal (LAN1 ak LAN2) ak twa founisè (ISP1, ISP2, ISP3). Chanèl pou ISP1 gen yon adrès "gri" estatik, ISP2 - "blan", jwenn atravè DHCP, ISP3 - "blan" ak otorizasyon PPPoE. Dyagram koneksyon an montre nan figi a:

Travay la se konfigirasyon routeur MTK ki baze sou konplo a pou ke:

1. Bay chanjman otomatik nan yon founisè backup. Founisè prensipal la se ISP2, premye rezèv la se ISP1, dezyèm rezèv la se ISP3.
2. Òganize aksè rezo LAN1 nan entènèt la sèlman atravè ISP1.
3. Bay kapasite pou dirije trafik ki soti nan rezo lokal yo ale sou Entènèt atravè founisè yo chwazi a ki baze sou lis adrès la.
4. Bay posiblite pou pibliye sèvis nan rezo lokal la sou Entènèt (DSTNAT)
5. Mete yon filtè pare-feu pou bay sekirite minimòm ase nan entènèt la.
6. Routeur a ta ka bay pwòp trafik li nan nenpòt nan twa founisè yo, tou depann de adrès sous yo chwazi a.
7. Asire w ke pake repons yo ap dirije nan kanal kote yo soti a (ki gen ladan LAN).

Remak. Nou pral konfigirasyon routeur la "nan grate" yo nan lòd yo garanti absans la nan supriz nan konfigirasyon yo kòmanse "soti nan bwat la" ki chanje soti nan vèsyon an vèsyon. Winbox te chwazi kòm yon zouti konfigirasyon, kote chanjman yo pral vizyèlman parèt. Paramèt yo tèt yo pral mete pa kòmandman nan tèminal Winbox la. Koneksyon fizik la pou konfigirasyon fèt pa yon koneksyon dirèk nan koòdone Ether5 la.

Yon ti rezònman sou sa yon multivan ye, èske se yon pwoblèm oswa se moun entelijan malen alantou resi rezo konplo

Yon administratè fouye ak atantif, mete kanpe tankou oswa yon konplo menm jan an pou kont li, toudenkou toudenkou reyalize ke li deja ap travay nòmalman. Wi, wi, san yo pa tab koutim ou ak lòt règ wout, ki pi fò atik sou sijè sa a plen ak. Ann tcheke?

Èske nou ka configured adrès sou interfaces ak pòtay default? Wi:

Sou ISP1, adrès la ak pòtay yo te anrejistre ak distans = 2 и check-gateway = ping.
Sou ISP2, anviwònman kliyan dhcp default - kòmsadwa, distans pral egal a youn.
Sou ISP3 nan anviwònman yo kliyan pppoe lè add-default-route=wi mete default-route-distance=3.

Pa bliye anrejistre NAT sou sòti a:

/ip firewall nat ajoute aksyon=masquerade chain=srcnat out-interface-list=WAN

Kòm yon rezilta, itilizatè sit lokal yo pran plezi telechaje chat atravè founisè ISP2 prensipal la epi gen yon rezèvasyon chanèl lè l sèvi avèk mekanis lan. tcheke pòtay la Gade nòt 1

Pwen 1 nan travay la aplike. Kote multivan an ak mak li yo? Non…

Pli lwen. Ou bezwen lage kliyan espesifik nan LAN atravè ISP1:

/ip firewall mangle ajoute aksyon = wout chèn = prerouting dst-address-list =!BOGONS
passthrough=wi route-dst=100.66.66.1 src-address-list=Via_ISP1
/ip firewall mangle ajoute aksyon = wout chèn = prerouting dst-address-list =!BOGONS
passthrough = pa gen wout-dst = 100.66.66.1 src-address = 192.168.88.0/24

Atik 2 ak 3 nan travay la te aplike. Etikèt, koupon pou, règ wout, ki kote ou ye?!

Bezwen bay aksè a sèvè OpenVPN pi renmen ou ak adrès 172.17.17.17 pou kliyan soti nan entènèt la? Tanpri:

/ip nwaj mete ddns-enabled=wi

Kòm yon kanmarad, nou bay kliyan an rezilta pwodiksyon an: ": mete [ip nwaj jwenn dns-non]"

Nou anrejistre pò transfè soti nan entènèt la:

/ip firewall nat ajoute aksyon = dst-nat chèn = dstnat dst-port = 1194
in-interface-list = WAN pwotokòl = udp to-addresses = 172.17.17.17

Atik 4 pare.

Nou mete yon pare-feu ak lòt sekirite pou pwen 5, an menm tan an nou kontan ke tout bagay deja ap travay pou itilizatè yo ak rive jwenn yon veso ki gen yon bwason pi renmen ...
A! Tinèl yo bliye.

l2tp-client, configuré pa atik google, te monte nan pi renmen VDS Olandè ou a? Wi.
l2tp-sèvè ak IPsec te monte ak kliyan pa DNS-non soti nan IP Cloud (gade pi wo a.) kole? Wi.
Panse dèyè nan chèz nou an, siwote yon bwè, nou pareseman konsidere pwen 6 ak 7 nan travay la. Nou panse - èske nou bezwen li? Tout menm bagay la tou, li travay tankou sa (c) ... Se konsa, si li toujou pa nesesè, Lè sa a, sa a li. Multivan aplike.

Ki sa ki se yon multivan? Sa a se koneksyon an nan plizyè chanèl entènèt nan yon sèl routeur.

Ou pa bezwen li atik la pi lwen, paske ki sa ki ka gen san konte yon montre nan aplikasyon enzitan?

Pou moun ki rete, ki enterese nan pwen 6 ak 7 nan travay la, epi tou ki santi gratèl la nan pèfeksyonism, nou plonje pi fon.

Travay ki pi enpòtan nan mete ann aplikasyon yon multivan se wout trafik ki kòrèk la. Savwa: kèlkeswa ki (oswa ki) Gade. nòt 3 chanèl ISP a (yo) gade wout default sou routeur nou an, li ta dwe retounen yon repons sou kanal egzak pake a soti. Travay la klè. Kote pwoblèm nan? Vreman vre, nan yon rezo lokal ki senp, travay la se menm bagay la, men pesonn pa deranje ak lòt anviwònman epi yo pa santi pwoblèm. Diferans lan se ke nenpòt ne routabl sou Entènèt la aksesib nan chak nan chanèl nou yo, epi yo pa atravè yon yon sèl estrikteman espesifik, tankou nan yon LAN senp. Ak "pwoblèm nan" se ke si yon demann te vin jwenn nou pou adrès IP ISP3, Lè sa a, nan ka nou an repons lan pral ale nan kanal la ISP2, depi pòtay la default dirije la. Kite epi yo pral jete pa founisè a kòm kòrèk. Pwoblèm nan te idantifye. Ki jan yo rezoud li?

Se solisyon an divize an twa etap:

1. Prereglaj. Nan etap sa a, yo pral mete paramèt debaz yo nan routeur la: rezo lokal, firewall, lis adrès, epeng NAT, elatriye.
2. Multivan. Nan etap sa a, koneksyon ki nesesè yo pral make ak klase nan tab routage.
3. Konekte ak yon ISP. Nan etap sa a, entèfas ki bay koneksyon sou Entènèt la pral configuré, routage ak mekanis rezèvasyon chanèl Entènèt la pral aktive.

1. Prereglaj

1.1. Nou netwaye konfigirasyon routeur la ak lòd la:

/system reset-configuration skip-backup=yes no-defaults=yes

dakò ak "Danjre! Reyajiste kanmenm? [ou/non]:” epi, apre rdemare, nou konekte ak Winbox atravè MAC. Nan etap sa a, konfigirasyon an ak baz itilizatè yo otorize.

1.2. Kreye yon nouvo itilizatè:

/user add group=full name=knight password=ultrasecret comment=”Not horse”

konekte anba li epi efase youn nan default:

/user remove admin

Remak. Li se retire epi li pa enfimite itilizatè default la ke otè a konsidere pi an sekirite epi li rekòmande pou itilize.

1.3. Nou kreye lis koòdone debaz pou konvenyans pou opere nan yon firewall, anviwònman dekouvèt ak lòt sèvè MAC:

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

Siyen interfaces ak kòmantè

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

epi ranpli lis koòdone yo:

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

Remak. Ekri kòmantè konpreyansib yo vo tan ki pase sou sa a, plis li anpil fasilite depanaj ak konprann konfigirasyon an.

Otè a konsidere li nesesè, pou rezon sekirite, ajoute koòdone ether3 a nan lis koòdone "WAN", malgre lefèt ke pwotokòl la ip pa pral ale nan li.

Pa bliye ke apre koòdone PPP la leve soti vivan sou ether3, li pral bezwen tou ajoute nan lis la koòdone "WAN"

1.4. Nou kache routeur a nan deteksyon katye ak kontwòl nan rezo founisè atravè MAC:

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

1.5. Nou kreye seri minimòm ase nan règ filtre firewall pou pwoteje routeur la:

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(Règ la bay pèmisyon pou koneksyon etabli ak ki gen rapò ki inisye nan tou de rezo konekte ak routeur nan tèt li)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(Ping epi li pa sèlman ping. Tout icmp gen dwa antre. Trè itil pou jwenn pwoblèm MTU)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(Règ la ki fèmen chèn D 'entèdi tout lòt bagay ki soti nan entènèt la)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(règ la pèmèt koneksyon etabli ak ki gen rapò ki pase nan routeur la)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(règ la reset koneksyon ak koneksyon-state = envalid pase nan routeur la. Li rekòmande anpil pa Mikrotik, men nan kèk sitiyasyon ki ra li ka bloke trafik itil)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(règ la entèdi pake ki soti nan entènèt la epi yo pa te pase pwosedi dstnat la pase nan routeur la. Sa a pral pwoteje rezo lokal yo kont entrigan ki, yo te nan domèn nan emisyon menm ak rezo ekstèn nou yo, pral anrejistre IP ekstèn nou an kòm yon gateway epi, kidonk, eseye "eksplore" rezo lokal nou yo.)

Remak. Se pou nou sipoze ke rezo LAN1 ak LAN2 yo fè konfyans epi trafik ki genyen ant yo ak soti nan yo pa filtre.

1.6. Kreye yon lis ak yon lis rezo ki pa routabl:

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(Sa a se yon lis adrès ak rezo ki pa abòde sou entènèt la epi yo pral swiv kòmsadwa.)

Remak. Lis la ka chanje, kidonk mwen konseye w tcheke pertinence a detanzantan.

1.7. Mete DNS pou routeur la li menm:

/ip dns set servers=1.1.1.1,8.8.8.8

Remak. Nan vèsyon aktyèl la nan ROS, serveurs dinamik pran priyorite sou sa yo estatik. Demann rezolisyon non an voye bay premye sèvè a nan lòd nan lis la. Se tranzisyon an nan pwochen sèvè a te pote soti lè yon sèl aktyèl la pa disponib. Delè a se gwo - plis pase 5 segonn. Retounen tounen, lè "tonbe sèvè a" rekòmanse, pa otomatikman rive. Bay algorithm sa a ak prezans nan yon multivan, otè a rekòmande pa sèvi ak sèvè bay founisè yo.

1.8. Mete yon rezo lokal.
1.8.1. Nou konfigirasyon adrès IP estatik sou entèfas LAN:

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2. Nou mete règ yo pou wout ki mennen nan rezo lokal nou yo atravè tablo prensipal routage:

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

Remak. Sa a se youn nan fason yo rapid ak fasil jwenn aksè nan adrès LAN ak sous adrès IP ekstèn nan interfaces routeur ki pa ale nan wout la default.

1.8.3. Pèmèt Hairpin NAT pou LAN1 ak LAN2:

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

Remak. Sa a pèmèt ou jwenn aksè nan resous ou yo (dstnat) atravè yon IP ekstèn pandan w ap andedan rezo a.

2. Aktyèlman, aplikasyon an nan multivan an trè kòrèk

Pou rezoud pwoblèm nan nan "reponn kote yo te mande soti nan", nou pral sèvi ak de zouti ROS: mak koneksyon и mak routage. mak koneksyon pèmèt ou make koneksyon an vle ak Lè sa a, travay ak mak sa a kòm yon kondisyon pou aplike mak routage. E deja avèk mak routage posib pou travay nan IP route и règ wout yo. Nou kalkile zouti yo, kounye a ou bezwen deside ki koneksyon yo make - yon fwa, egzakteman ki kote yo make - de.

Avèk youn nan premye, tout bagay se senp - nou dwe make tout koneksyon yo ki vini nan routeur la soti nan entènèt la atravè chanèl ki apwopriye a. Nan ka nou an, sa yo pral twa etikèt (pa kantite chanèl): "conn_isp1", "conn_isp2" ak "conn_isp3".

Nuans nan dezyèm lan se ke koneksyon fèk ap rantre yo pral nan de kalite: transpò piblik ak sa yo ki gen entansyon pou routeur nan tèt li. Mekanis mak koneksyon an ap travay nan tablo a mangle. Konsidere mouvman an nan pake a sou yon dyagram senplifye, dousman konpile pa espesyalis yo nan resous mikrotik-trainings.com (pa piblisite):

Apre flèch yo, nou wè ke pake a rive nan "koòdone D '", ale nan chèn lan "Preroutage" epi sèlman lè sa a li divize an transpò piblik ak lokal nan blòk la "Desizyon routage". Se poutèt sa, yo touye de zwazo ak yon sèl wòch, nou itilize Mak Koneksyon nan tablo a Mangle Pre-routage chenn Preroutage.

Remak. Nan ROS, etikèt "Routing mark" yo nan lis kòm "Table" nan seksyon Ip/Wout/Règ yo, epi kòm "Routing Mark" nan lòt seksyon. Sa a ka prezante kèk konfizyon nan konpreyansyon, men, an reyalite, sa a se menm bagay la, epi li se yon analogue nan rt_tables nan iproute2 sou linux.

2.1. Nou make koneksyon k ap rantre nan chak founisè yo:

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

Remak. Pou m pa make koneksyon ki deja make, mwen sèvi ak koneksyon-mark = pa gen okenn mak olye pou yo koneksyon-eta = nouvo paske mwen panse ke sa a pi kòrèk, osi byen ke rejè gout koneksyon envalid nan filtè D '.

passthrough = non - paske nan metòd aplikasyon sa a, re-marke ekskli epi, pou pi vit, ou ka entèwonp enimerasyon règ apre premye match la.

Li ta dwe sonje ke nou pa entèfere nan okenn fason ak routage ankò. Koulye a, gen sèlman etap nan preparasyon an. Pwochen etap nan aplikasyon an pral pwosesis trafik transpò piblik ki retounen sou koneksyon etabli soti nan destinasyon an nan rezo lokal la. Moun sa yo. pake sa yo ki (gade dyagram nan) te pase nan routeur la sou wout la:

"Entèfas Antre" => "Prerouting" => "Desizyon Routage" => "Voye" => "Post Routing" => "Entèfas Sòti" epi li te rive nan adrès yo nan rezo lokal la.

Enpòtan! Nan ROS, pa gen okenn divizyon lojik nan entèfas ekstèn ak entèn. Si nou trase chemen an nan pake repons lan dapre dyagram ki anwo a, Lè sa a, li pral swiv chemen an lojik menm jan ak demann lan:

"Entèfas Antre" => "Prerouting" => "Desizyon Routage" => "Voye" => "Post Routing" => "Entèfas Sòti" jis pou yon demann"Antre Entèfas” se te koòdone nan ISP, ak pou repons lan - LAN

2.2. Nou dirije trafik transpò piblik repons nan tab routage korespondan yo:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

Kòmantè. in-interface-list=!WAN - nou travay sèlman ak trafik ki soti nan rezo lokal la ak dst-address-type=!lokal ki pa gen adrès destinasyon adrès la nan interfaces yo nan routeur nan tèt li.

Menm bagay la tou pou pake lokal ki te vin nan routeur la sou wout la:

"Entèfas Antre" => "Prerouting" => "Desizyon Routage" => "Entre" => "Pwosesis lokal"

Enpòtan! Repons lan pral ale nan fason sa a:

” Pwosesis lokal ” => ” Desizyon routage ” => ” Sòti ” => ” Post routage ” => ” Entèfas pwodiksyon ”

2.3. Nou dirije trafik repons lokal yo nan tab routage korespondan yo:

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

Nan etap sa a, travay la nan prepare voye yon repons sou chanèl entènèt la ki soti nan demann lan ka konsidere kòm rezoud. Tout bagay make, make ak pare yo dwe achemine.
Yon efè "kote" ekselan nan konfigirasyon sa a se kapasite nan travay ak transmisyon pò DSNAT soti nan tou de (ISP2, ISP3) founisè an menm tan an. Pa ditou, depi sou ISP1 nou gen yon adrès ki pa routable. Efè sa a enpòtan, pou egzanp, pou yon sèvè lapòs ak de MX ki gade diferan chanèl entènèt.

Pou elimine nuans yo nan operasyon an nan rezo lokal yo ak routeurs IP ekstèn, nou itilize solisyon yo nan paragraf yo. 1.8.2 ak 3.1.2.6.

Anplis de sa, ou ka sèvi ak yon zouti ki gen mak pou rezoud paragraf 3 nan pwoblèm nan. Nou aplike li jan sa a:

2.4. Nou dirije trafik soti nan kliyan lokal yo soti nan lis routage yo nan tab ki apwopriye yo:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

Kòm yon rezilta, li sanble yon bagay tankou sa a:

3. Fikse yon koneksyon ak ISP a epi pèmèt routage mak

3.1. Mete yon koneksyon ak ISP1:
3.1.1. Konfigure yon adrès IP estatik:

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2. Mete kanpe routage estatik:
3.1.2.1. Ajoute yon wout "ijans" default:

/ip route add comment="Emergency route" distance=254 type=blackhole

Remak. Wout sa a pèmèt trafik ki soti nan pwosesis lokal yo pase etap Desizyon Route, kèlkeswa eta lyen nenpòt nan founisè yo. Nuans nan trafik lokal sortan se ke nan lòd pou pake a deplase omwen yon kote, tab routage prensipal la dwe gen yon wout aktif nan pòtay default la. Si ou pa, Lè sa a, pake a pral tou senpleman dwe detwi.

Kòm yon ekstansyon zouti tcheke pòtay la Pou yon analiz pi fon nan eta chanèl la, mwen sijere w sèvi ak metòd la wout repetitif. Sans nan metòd la se ke nou di routeur la gade pou yon chemen nan pòtay li yo pa dirèkteman, men atravè yon pòtay entèmedyè. 4.2.2.1, 4.2.2.2 ak 4.2.2.3 yo pral chwazi kòm pòtay "tès" sa yo pou ISP1, ISP2 ak ISP3 respektivman.

3.1.2.2. Wout nan adrès "verifikasyon" la:

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

Remak. Nou bese valè sijè ki abòde lan nan defo a nan dimansyon sib ROS yo nan lòd yo sèvi ak 4.2.2.1 kòm yon pòtay rekursif nan tan kap vini an. Mwen mete aksan sou: sijè ki abòde wout la nan adrès "tès la" dwe mwens pase oswa egal ak sijè ki abòde lan sib nan wout la ki pral refere a youn nan tès la.

3.1.2.3. Wout default rekursif pou trafik san mak routage:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

Remak. Yo itilize valè distans = 2 paske ISP1 deklare kòm premye backup selon kondisyon travay yo.

3.1.2.4. Wout default rekursif pou trafik ak mak routage "to_isp1":

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

Remak. Aktyèlman, isit la nou finalman kòmanse jwi fwi travay preparasyon ki te fèt nan paragraf 2 la.

Sou wout sa a, tout trafik ki gen wout make "to_isp1" pral dirije nan pòtay premye founisè a, kèlkeswa pòtay default ki aktif kounye a pou tab prensipal la.

3.1.2.5. Premye wout default rekouvèr pou ISP2 ak ISP3 ki make trafik:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

Remak. Wout sa yo nesesè, pami lòt bagay, pou rezève trafik ki soti nan rezo lokal ki se manm lis adrès "to_isp*"'

3.1.2.6. Nou anrejistre wout la pou trafik lokal routeur la sou entènèt la atravè ISP1:

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

Remak. Nan konbinezon ak règ ki soti nan paragraf 1.8.2, li bay aksè nan kanal la vle ak yon sous bay yo. Sa a se kritik pou bati tinèl ki presize adrès IP lokal la (EoIP, IP-IP, GRE). Depi règ yo nan règ wout ip yo egzekite soti anwo jouk anba, jouk matche ak nan premye nan kondisyon yo, Lè sa a, règ sa a ta dwe apre règ yo soti nan kloz 1.8.2.

3.1.3. Nou anrejistre règ NAT pou trafik sortan:

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

Remak. NATim tout bagay ki soti, eksepte pou sa ki antre nan règleman IPsec yo. Mwen eseye pa sèvi ak action=masquerade sof si absoliman nesesè. Li pi dousman ak plis entansif resous pase src-nat paske li kalkile adrès NAT la pou chak nouvo koneksyon.

3.1.4. Nou voye kliyan ki soti nan lis la ki entèdi pou jwenn aksè atravè lòt founisè dirèkteman nan pòtay founisè ISP1 a.

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

Remak. aksyon = wout gen yon pi gwo priyorite epi li aplike anvan lòt règ routage.

place-before=0 - mete règ nou an premye nan lis la.

3.2. Mete yon koneksyon ak ISP2.

Depi founisè ISP2 a ban nou paramèt yo atravè DHCP, li rezonab pou fè chanjman ki nesesè yo ak yon script ki kòmanse lè kliyan DHCP la deklanche:

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

Script la tèt li nan fenèt Winbox la:

Remak. Premye pati nan script la deklanche lè kontra-lwaye a jwenn siksè, dezyèm lan - apre kontra-lwaye a lage.Gade nòt 2

3.3. Nou mete yon koneksyon ak founisè ISP3 la.

Depi founisè paramèt la ban nou dinamik, li rezonab pou fè chanjman ki nesesè yo ak scripts ki kòmanse apre koòdone ppp la te leve ak apre sezon otòn la.

3.3.1. Premye nou konfigirasyon pwofil la:

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

Script la tèt li nan fenèt Winbox la:

Remak. Fisèl
/ip pare-feu mangle mete [jwenn kòmantè="Connmark nan soti nan ISP3"] nan-koòdone = $"koòdone";
pèmèt ou kòrèkteman okipe chanje non an nan koòdone a, paske li travay ak kòd li yo epi yo pa non an ekspozisyon.

3.3.2. Koulye a, lè l sèvi avèk pwofil la, kreye yon koneksyon ppp:

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

Kòm yon manyen final, ann mete revèy la:

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

Pou moun ki li jiska lafen

Fason yo pwopoze pou aplike yon multivan se preferans pèsonèl otè a epi li pa sèlman posib. Kit zouti ROS la se vaste ak fleksib, ki, sou yon bò, lakòz difikilte pou débutan, epi, nan lòt men an, se rezon ki fè popilarite li. Aprann, eseye, dekouvri nouvo zouti ak solisyon. Pou egzanp, kòm yon aplikasyon nan konesans akeri a, li posib ranplase zouti nan aplikasyon sa a nan multivan an tcheke-gateway ak wout repetitif pou netwatch.

Nòt

1. tcheke-gateway - yon mekanis ki pèmèt ou dezaktive wout la apre de chèk youn apre lòt san siksè nan pòtay la pou disponiblite. Chèk la fèt yon fwa chak 10 segonn, plis tan repons lan. An total, distribisyon aktyèl la chanje manti nan seri a nan 20-30 segonn. Si tan chanjman sa yo pa ase, gen yon opsyon pou itilize zouti a netwatch, kote revèy chèk la ka mete manyèlman. tcheke-gateway pa tire sou pèt pake tanzantan sou lyen an.

   Enpòtan! Dezaktive yon wout prensipal pral dezaktive tout lòt wout ki fè referans a li. Se poutèt sa, pou yo endike check-gateway = ping pa nesesè.

2. Sa rive ke yon echèk rive nan mekanis DHCP a, ki sanble ak yon kliyan kole nan eta a renouvle. Nan ka sa a, dezyèm pati a nan script la pa pral travay, men li pa pral anpeche trafik soti nan mache kòrèkteman, depi eta a swiv wout ki koresponn repetitif la.
3. ECMP (Egal Pri Multi-Path) - nan ROS li posib pou mete yon wout ak plizyè pòtay ak menm distans la. Nan ka sa a, koneksyon yo pral distribye atravè chanèl lè l sèvi avèk algorithm nan wonn robin, nan pwopòsyon ak kantite pòtay espesifye.

Pou UN nan ekri atik la, ede nan fòme estrikti li yo ak plasman nan aksan - rekonesans pèsonèl Evgeny. @jscar

Sous: www.habr.com