ProHoster > Blog > Stjórnsýsla > Multivan og leið á Mikrotik RouterOS

Multivan og leið á Mikrotik RouterOS

Inngangur

Að taka upp greinina, auk hégóma, var knúin til niðurdrepandi tíðni spurninga um þetta efni í prófílhópum rússneskumælandi símskeytasamfélagsins. Greinin er ætluð nýliði Mikrotik RouterOS (hér eftir nefnd ROS) stjórnendum. Það fjallar aðeins um fjölbílinn, með áherslu á leiðarval. Sem bónus eru að minnsta kosti nægar stillingar til að tryggja örugga og þægilega notkun. Þeir sem eru að leita að upplýsingagjöf um efni biðraðir, álagsjöfnun, vlan, brýr, margra þrepa djúpgreiningu á ástandi rásarinnar og þess háttar - mega ekki eyða tíma og fyrirhöfn í lestur.

Upphafleg gögn

Sem tilraunamaður var valinn fimm porta Mikrotik beini með ROS útgáfu 6.45.3. Það mun beina umferð á milli tveggja staðbundinna neta (LAN1 og LAN2) og þriggja veitenda (ISP1, ISP2, ISP3). Rásin til ISP1 hefur kyrrstætt „grátt“ heimilisfang, ISP2 – „hvítt“, fengið í gegnum DHCP, ISP3 – „hvítt“ með PPPoE heimild. Tengimyndin er sýnd á myndinni:

Multivan og leið á Mikrotik RouterOS

Verkefnið er að stilla MTK leiðina út frá kerfinu þannig að:

  1. Veittu sjálfvirka skiptingu yfir í afritunarveitu. Aðalveitan er ISP2, fyrsti varasjóðurinn er ISP1, seinni varasjóðurinn er ISP3.
  2. Skipuleggðu LAN1 netaðgang að internetinu aðeins í gegnum ISP1.
  3. Veittu möguleika á að beina umferð frá staðbundnum netkerfum yfir á internetið í gegnum valda þjónustuveituna byggt á heimilisfangalistanum.
  4. Veita möguleika á að birta þjónustu frá staðarnetinu yfir á internetið (DSTNAT)
  5. Settu upp eldveggssíu til að veita lágmarks öryggi frá internetinu.
  6. Bein gæti gefið út sína eigin umferð í gegnum hvaða þjónustuveituna sem er, allt eftir því hvaða uppspretta heimilisfang er valið.
  7. Gakktu úr skugga um að svarpakkar séu fluttir á rásina sem þeir komu frá (þar á meðal LAN).

Athugasemd. Við munum stilla beininn „frá grunni“ til að tryggja að ekki komi á óvart í upphafsstillingunum „úr kassanum“ sem breytast frá útgáfu til útgáfu. Winbox var valið sem stillingartól, þar sem breytingar verða sýndar sjónrænt. Stillingarnar sjálfar verða stilltar með skipunum í Winbox flugstöðinni. Líkamleg tenging fyrir uppsetningu er gerð með beinni tengingu við Ether5 viðmótið.

Smá rökhugsun um hvað multivan er, er það vandamál eða er slægt klárt fólk í kringum að vefa samsærisnet

Fróðleiksfús og gaumgæfur stjórnandi, sem setur upp slíkt eða svipað kerfi á eigin spýtur, áttar sig skyndilega á því að það virkar nú þegar eðlilega. Já, já, án sérsniðna leiðartöflunnar og annarra leiðarreglna, sem flestar greinar um þetta efni eru fullar af. Við skulum athuga?

Getum við stillt netfang á viðmótum og sjálfgefnum gáttum? Já:

Á ISP1 var heimilisfangið og gáttin skráð hjá fjarlægð=2 и check-gateway=ping.
Á ISP2 er sjálfgefin stilling dhcp biðlara - í samræmi við það mun fjarlægðin vera jöfn einni.
Á ISP3 í stillingum pppoe biðlara þegar add-default-route=já setja default-route-distance=3.

Ekki gleyma að skrá NAT við brottför:

/ip eldvegg nat add action=masquerade chain=srcnat out-interface-list=WAN

Fyrir vikið skemmta notendum staðbundinna vefsvæða við að hlaða niður köttum í gegnum aðal ISP2 þjónustuveituna og það er rásarpöntun með því að nota vélbúnaðinn athuga gátt Sjá athugasemd 1

1. liður verkefnisins er útfærður. Hvar er fjölbíllinn með sínum merkjum? Nei…

Frekari. Þú þarft að losa tiltekna viðskiptavini frá staðarnetinu í gegnum ISP1:

/ip eldvegg mangle add action=route chain=forrouting dst-address-list=!BOGONS
passthrough=yes route-dst=100.66.66.1 src-address-list=Via_ISP1
/ip eldvegg mangle add action=route chain=forrouting dst-address-list=!BOGONS
passthrough=engin leið-dst=100.66.66.1 src-address=192.168.88.0/24

Liðir 2 og 3 í verkefninu hafa verið útfærðir. Merki, frímerki, leiðarreglur, hvar ertu?!

Þarftu að veita aðgang að uppáhalds OpenVPN netþjóninum þínum með heimilisfanginu 172.17.17.17 fyrir viðskiptavini af internetinu? Vinsamlegast:

/ip skýjasett ddns-enabled=já

Sem jafningi gefum við viðskiptavininum niðurstöðuna: ":setja [ip ský fá dns-nafn]"

Við skráum framsendingu hafna af netinu:

/ip eldvegg nat add action=dst-nat chain=dstnat dst-port=1194
in-interface-list=WAN siðareglur=udp to-addresses=172.17.17.17

Liður 4 er tilbúinn.

Við setjum upp eldvegg og annað öryggi fyrir lið 5, á sama tíma erum við ánægð með að allt sé nú þegar að virka fyrir notendur og náum í ílát með uppáhaldsdrykk ...
A! Göng eru gleymd.

l2tp-viðskiptavinur, stilltur af google grein, hefur hækkað í uppáhalds hollenska VDS þinn? Já.
l2tp-þjónn með IPsec hefur hækkað og viðskiptavinir með DNS-nafni frá IP Cloud (sjá að ofan.) loða við? Já.
Við hallum okkur aftur í stólnum, sötrum drykk og veltum letilega fyrir okkur liðum 6 og 7 í verkefninu. Við hugsum - þurfum við þess? Samt sem áður, það virkar þannig (c) ... Svo ef það er enn ekki þörf, þá er það það. Multivan útfærður.

Hvað er multivan? Þetta er tenging nokkurra netrása við einn beini.

Þú þarft ekki að lesa greinina frekar, því hvað getur verið til staðar fyrir utan að sýna vafasamt notagildi?

Fyrir þá sem eftir eru, sem hafa áhuga á liðum 6 og 7 í verkefninu, og finna líka fyrir kláða fullkomnunaráráttu, kafum við dýpra.

Mikilvægasta verkefnið við að útfæra fjölbíl er rétt umferðarleið. Nefnilega: óháð því hvaða (eða hvaða) Sjá. athugið 3 Rás ISP skoðar sjálfgefna leið á beini okkar, hún ætti að skila svari á nákvæmlega rásina sem pakkinn kom frá. Verkefnið er skýrt. Hvar er vandamálið? Reyndar, í einföldu staðarneti, er verkefnið það sama, en enginn nennir frekari stillingum og finnur ekki fyrir vandræðum. Munurinn er sá að allir leiðbeinanlegir hnútar á internetinu eru aðgengilegir í gegnum hverja rás okkar, en ekki í gegnum stranglega sérstaka, eins og á einföldu staðarneti. Og „vandamálið“ er að ef beiðni kom til okkar um IP-tölu ISP3, þá mun svarið í okkar tilviki fara í gegnum ISP2 rásina, þar sem sjálfgefna gáttinni er beint þangað. Skilur eftir og verður fargað af veitanda sem rangt. Vandamálið hefur verið greint. Hvernig á að leysa það?

Lausninni er skipt í þrjú stig:

  1. Forstilling. Á þessu stigi verða grunnstillingar beinisins stilltar: staðarnet, eldvegg, vistfangalistar, hárnál NAT osfrv.
  2. Multivan. Á þessu stigi verða nauðsynlegar tengingar merktar og flokkaðar í leiðartöflur.
  3. Tengist ISP. Á þessu stigi verða viðmótin sem veita tengingu við internetið stillt, leið og bókunarkerfi internetrásar verður virkjað.

1. Forstilling

1.1. Við hreinsum uppstillingu leiðarinnar með skipuninni:

/system reset-configuration skip-backup=yes no-defaults=yes

er sammála "Hættulegt! Endurstilla samt? [y/N]:“ og eftir endurræsingu tengjumst við Winbox í gegnum MAC. Á þessu stigi eru stillingar og notendagrunnur hreinsaður.

1.2. Búðu til nýjan notanda:

/user add group=full name=knight password=ultrasecret comment=”Not horse”

skráðu þig inn undir það og eyddu sjálfgefna:

/user remove admin

Athugasemd. Það er fjarlæging en ekki slökkva á sjálfgefna notandanum sem höfundur telur öruggara og mælir með notkun.

1.3. Við búum til grunnviðmótslista til að auðvelda notkun í eldvegg, uppgötvunarstillingum og öðrum MAC netþjónum:

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

Undirritunarviðmót með athugasemdum

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

og fylltu út viðmótslistana:

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

Athugasemd. Að skrifa skiljanlegar athugasemdir er þess virði að eyða tíma í þetta, auk þess sem það auðveldar mjög bilanaleit og skilning á uppsetningunni.

Höfundur telur nauðsynlegt, af öryggisástæðum, að bæta ether3 viðmótinu við „WAN“ tengilistann, þrátt fyrir að ip samskiptareglan fari ekki í gegnum það.

Ekki gleyma því að eftir að PPP viðmótið hefur verið hækkað á ether3, þá þarf það einnig að bæta við viðmótalistann „WAN“

1.4. Við felum beininn fyrir grenndargreiningu og eftirliti frá netkerfi veitenda í gegnum MAC:

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

1.5. Við búum til lágmarks nægilegt sett af eldveggssíureglum til að vernda leiðina:

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(reglan veitir leyfi fyrir stofnuðum og tengdum tengingum sem eru hafin bæði frá tengdum netum og leiðinni sjálfum)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(ping en ekki bara ping. Öll icmp er leyfð inn. Mjög gagnlegt til að finna MTU vandamál)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(reglan sem lokar inntakskeðjunni bannar allt annað sem kemur frá internetinu)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(reglan leyfir staðfestar og tengdar tengingar sem fara í gegnum beininn)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(reglan endurstillir tengingar með connection-state=invalid sem fer í gegnum beininn. Það er eindregið mælt með því af Mikrotik, en í sumum sjaldgæfum tilvikum getur það lokað fyrir gagnlega umferð)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(reglan bannar að pakkar sem koma af internetinu og hafa ekki staðist dstnat málsmeðferðina fara í gegnum beininn. Þetta mun vernda staðbundin net fyrir boðflenna sem, sem eru á sama útsendingarléni og ytri netkerfi okkar, munu skrá ytri IP-tölur okkar sem a. gátt og reyndu því að „kanna“ staðarnetin okkar.)

Athugasemd. Gerum ráð fyrir að netkerfin LAN1 og LAN2 séu treyst og umferðin á milli þeirra og frá þeim sé ekki síuð.

1.6. Búðu til lista með lista yfir netkerfi sem ekki er hægt að breyta:

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(Þetta er listi yfir heimilisföng og net sem ekki er hægt að beina á internetið og verður fylgt eftir í samræmi við það.)

Athugasemd. Listinn getur breyst, svo ég ráðlegg þér að athuga mikilvægi þess reglulega.

1.7. Settu upp DNS fyrir beininn sjálfan:

/ip dns set servers=1.1.1.1,8.8.8.8

Athugasemd. Í núverandi útgáfu af ROS hafa kraftmiklir netþjónar forgang fram yfir kyrrstæða. Nafnaupplausnbeiðnin er send á fyrsta netþjóninn í röð á listanum. Skiptingin yfir á næsta netþjón fer fram þegar sá núverandi er ekki tiltækur. Tímamörkin eru stór - meira en 5 sekúndur. Til baka aftur, þegar „fallinn netþjónn“ er hafin aftur, á sér ekki sjálfkrafa stað. Í ljósi þessa reiknirit og tilvist fjölbíls mælir höfundur ekki með því að nota netþjóna sem veitendur veita.

1.8. Settu upp staðarnet.
1.8.1. Við stillum fastar IP tölur á LAN tengi:

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2. Við setjum reglurnar fyrir leiðir til staðarneta okkar í gegnum aðalleiðartöfluna:

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

Athugasemd. Þetta er ein af fljótlegu og auðveldu leiðunum til að fá aðgang að staðarnetsföngum með uppsprettum ytri IP-tölu leiðarviðmóta sem fara ekki í gegnum sjálfgefna leið.

1.8.3. Virkja Hairpin NAT fyrir LAN1 og LAN2:

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

Athugasemd. Þetta gerir þér kleift að fá aðgang að auðlindum þínum (dstnat) í gegnum ytri IP á meðan þú ert inni á netinu.

2. Reyndar, framkvæmd mjög rétta multivan

Til að leysa vandamálið við að „svara hvaðan þeir spurðu“ munum við nota tvö ROS verkfæri: tengimerki и leiðarmerki. tengimerki gerir þér kleift að merkja við þá tengingu sem þú vilt og vinna síðan með þetta merki sem skilyrði fyrir umsókn leiðarmerki. Og þegar með leiðarmerki hægt að vinna í ip leið и reglum um leið. Við komumst að verkfærunum, nú þarftu að ákveða hvaða tengingar á að merkja - einu sinni, nákvæmlega hvar á að merkja - tvær.

Með þeirri fyrstu er allt einfalt - við verðum að merkja allar tengingar sem koma á leiðina af internetinu í gegnum viðeigandi rás. Í okkar tilviki verða þetta þrjú merki (eftir fjölda rása): „conn_isp1“, „conn_isp2“ og „conn_isp3“.

Litbrigðið við annað er að komandi tengingar verða tvenns konar: flutningstengingar og þær sem eru ætlaðar fyrir beininn sjálfan. Tengimerkisbúnaðurinn virkar í töflunni mangle. Íhugaðu hreyfingu pakkans á einfaldaðri skýringarmynd, vinsamlega unnin af sérfræðingum mikrotik-trainings.com auðlindarinnar (ekki auglýsingar):

Multivan og leið á Mikrotik RouterOS

Eftir örvarnar sjáum við að pakkinn kemur kl.inntak tengi", fer í gegnum keðjuna"Prerouting" og aðeins þá er það skipt í flutning og staðbundið í reitnum "Leiðarákvörðun". Þess vegna, til að slá tvær flugur í einu höggi, notum við Tengimerki í töflunni Mangle Pre-routing keðjur Prerouting.

Athugaðu:. Í ROS eru „leiðarmerki“ merki skráð sem „tafla“ í hlutanum Ip/leiðir/reglur og sem „leiðarmerki“ í öðrum hlutum. Þetta gæti valdið ruglingi í skilningi, en í raun er þetta sami hluturinn og er hliðstæða rt_tables í iproute2 á linux.

2.1. Við merkjum innkomnar tengingar frá hverjum veitendum:

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

Athugasemd. Til þess að merkja ekki þegar merktar tengingar nota ég tengingarmerki=ekkert merki í stað tengingarstöðu=nýtt vegna þess að mér finnst þetta réttara, sem og höfnun á slepptu ógildum tengingum í inntakssíu.


passthrough=no - vegna þess að í þessari útfærsluaðferð er endurmerking útilokuð og til að flýta fyrir er hægt að trufla upptalningu reglna eftir fyrstu samsvörun.

Hafa ber í huga að við tökum ekki á neinn hátt í veg fyrir leiðina ennþá. Nú eru aðeins stig undirbúnings. Næsta þrep innleiðingar verður vinnsla á flutningsumferð sem skilar sér yfir stofnaða tengingu frá áfangastað í staðarnetinu. Þeir. þessir pakkar sem (sjá skýringarmyndina) fóru í gegnum beininn á leiðinni:

“Input Interface”=>”Prerouting”=>”Roouting Decision”=>”Áfram”=>”Post Routing”=>”Output Interface” og komust til viðtakanda þeirra í staðarnetinu.

Mikilvægt! Í ROS er engin rökrétt skipting í ytri og innri viðmót. Ef við rekjum slóð svarpakkans samkvæmt skýringarmyndinni hér að ofan, þá mun hann fylgja sömu rökréttu leið og beiðnin:

“Input Interface”=>”Prerouting”=>”Roouting Decision”=>”Áfram”=>”Post Routing”=>”Output Interface” bara fyrir beiðni"Inntak Interface” var ISP tengið, og fyrir svarið - LAN

2.2. Við beinum svarflutningsumferð að samsvarandi leiðartöflum:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

Athugasemd. in-interface-list=!WAN - við vinnum aðeins með umferð frá staðarnetinu og dst-address-type=!local sem er ekki með áfangastað heimilisfangs viðmóts beinsins sjálfs.

Sama fyrir staðbundna pakka sem komu til beinisins á leiðinni:

“Input Interface”=>”Prerouting”=>”Routing Decision”=>”Input”=>”Staðbundið ferli”

Mikilvægt! Svarið mun fara á eftirfarandi hátt:

”Local Process”=>“Routing Decision”=>“Output”=>“Post Routing”=>“Output Interface“

2.3. Við beinum viðbrögðum staðbundinnar umferðar að samsvarandi leiðartöflum:

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

Á þessu stigi má telja það verkefni að undirbúa sendingu svars á netrásina sem beiðnin kom frá leyst. Allt er merkt, merkt og tilbúið til flutnings.
Framúrskarandi „hliðar“ áhrif þessarar uppsetningar er hæfileikinn til að vinna með DSNAT tengiframsendingu frá báðum (ISP2, ISP3) veitendum á sama tíma. Alls ekki, þar sem á ISP1 erum við með heimilisfang sem ekki er hægt að senda. Þessi áhrif eru mikilvæg, til dæmis fyrir póstþjón með tveimur MX-tölvum sem skoða mismunandi netrásir.

Til að útrýma blæbrigðum í rekstri staðarneta með ytri IP-beinum notum við lausnirnar úr málsgreinum. 1.8.2 og 3.1.2.6.

Að auki geturðu notað tól með merkingum til að leysa 3. málsgrein vandamálsins. Við útfærum það svona:

2.4. Við beinum umferð frá staðbundnum viðskiptavinum frá leiðarlistum yfir í viðeigandi töflur:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

Fyrir vikið lítur þetta eitthvað svona út:

Multivan og leið á Mikrotik RouterOS

3. Settu upp tengingu við ISP og virkjaðu vörumerkjaleiðingu

3.1. Settu upp tengingu við ISP1:
3.1.1. Stilltu fasta IP tölu:

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2. Settu upp kyrrstæða leið:
3.1.2.1. Bættu við sjálfgefna „neyðarleið“:

/ip route add comment="Emergency route" distance=254 type=blackhole

Athugasemd. Þessi leið gerir umferð frá staðbundnum ferlum kleift að standast leiðarákvörðunarstigið, óháð ástandi tengla einhverra veitenda. Litbrigðið á útleiðandi staðbundinni umferð er að til þess að pakkinn geti færst að minnsta kosti eitthvert, verður aðalleiðartaflan að hafa virka leið að sjálfgefna gáttinni. Ef ekki, þá verður pakkinn einfaldlega eytt.

Sem viðbót við verkfæri athuga gátt Fyrir dýpri greiningu á ástandi rásarinnar legg ég til að þú notir endurkvæma leiðaraðferðina. Kjarni aðferðarinnar er sá að við segjum leiðinni að leita að leið að gátt sinni ekki beint, heldur í gegnum milligátt. 4.2.2.1, 4.2.2.2 og 4.2.2.3 verða valdir sem slíkar „prófunargáttir“ fyrir ISP1, ISP2 og ISP3 í sömu röð.

3.1.2.2. Leið að „staðfestingar“ heimilisfanginu:

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

Athugasemd. Við lækkum umfangsgildið í sjálfgefið í ROS marksviði til að nota 4.2.2.1 sem endurkvæma gátt í framtíðinni. Ég legg áherslu á: umfang leiðarinnar að „prófunar“ heimilisfanginu verður að vera minna en eða jafnt og markumfangi leiðarinnar sem mun vísa til prófunar.

3.1.2.3. Endurtekin sjálfgefin leið fyrir umferð án leiðarmerkis:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

Athugasemd. Gildið fjarlægð=2 er notað vegna þess að ISP1 er lýst yfir sem fyrsta öryggisafritið í samræmi við verkefnisskilyrðin.

3.1.2.4. Endurkvæm sjálfgefna leið fyrir umferð með leiðarmerkinu „to_isp1“:

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

Athugasemd. Hér erum við reyndar loksins farin að njóta ávaxta þeirrar undirbúningsvinnu sem fram fór í 2. mgr.


Á þessari leið verður allri umferð sem hefur merkið „to_isp1“ beint á gátt fyrsta þjónustuveitunnar, óháð því hvaða sjálfgefna gátt er virk fyrir aðaltöfluna.

3.1.2.5. Fyrsta endurkvæma sjálfgefna leiðin fyrir ISP2 og ISP3 merkta umferð:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

Athugasemd. Þessar leiðir eru meðal annars nauðsynlegar til að panta umferð frá staðarnetum sem eru meðlimir á heimilisfangalistanum „to_isp*“'

3.1.2.6. Við skráum leiðina fyrir staðbundna umferð leiðarinnar á internetið í gegnum ISP1:

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

Athugasemd. Ásamt reglum í lið 1.8.2 veitir það aðgang að viðkomandi rás með tiltekinni uppsprettu. Þetta er mikilvægt fyrir byggingu göng sem tilgreina staðbundið IP tölu (EoIP, IP-IP, GRE). Þar sem reglurnar í ip leiðarreglum eru framkvæmdar frá toppi til botns, þar til fyrsta samsvörun skilyrðanna, þá ætti þessi regla að vera á eftir reglunum frá ákvæði 1.8.2.

3.1.3. Við skráum NAT regluna fyrir sendandi umferð:

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

Athugasemd. NATim allt sem fer út, nema það sem kemst inn í IPsec stefnurnar. Ég reyni að nota ekki action=grímugerð nema brýna nauðsyn beri til. Það er hægara og auðlindafrekara en src-nat vegna þess að það reiknar út NAT vistfangið fyrir hverja nýja tengingu.

3.1.4. Við sendum viðskiptavini af listanum sem er bannað að fá aðgang í gegnum aðrar veitendur beint í gátt ISP1 þjónustuveitunnar.

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

Athugasemd. action=route hefur meiri forgang og er beitt á undan öðrum leiðarreglum.


place-before=0 - setur regluna okkar fyrst á listanum.

3.2. Settu upp tengingu við ISP2.

Þar sem ISP2 veitandinn gefur okkur stillingarnar í gegnum DHCP er sanngjarnt að gera nauðsynlegar breytingar með skriftu sem byrjar þegar DHCP biðlarinn er ræstur:

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

Handritið sjálft í Winbox glugganum:

Multivan og leið á Mikrotik RouterOS
Athugasemd. Fyrri hluti handritsins er settur af stað þegar leigusamningur er tekinn, sá seinni - eftir að leigusamningur er gefinn út.Sjá athugasemd 2

3.3. Við settum upp tengingu við ISP3 þjónustuveituna.

Þar sem stillingaveitan gefur okkur kraftmikið er eðlilegt að gera nauðsynlegar breytingar með skriftum sem byrja eftir að ppp viðmótið hefur verið hækkað og eftir haustið.

3.3.1. Fyrst stillum við prófílinn:

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

Handritið sjálft í Winbox glugganum:

Multivan og leið á Mikrotik RouterOS
Athugasemd. Lína
/ip eldvegg mangle set [find comment="Connmark in from ISP3"] in-interface=$"interface";
gerir þér kleift að meðhöndla endurnefna viðmótsins á réttan hátt, þar sem það virkar með kóða þess en ekki skjánafninu.

3.3.2. Nú, með því að nota prófílinn, búðu til ppp tengingu:

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

Sem lokahnykk skulum við stilla klukkuna:

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

Fyrir þá sem lesa til enda

Fyrirhuguð leið til að útfæra multivan er persónulegt val höfundar og er ekki sú eina mögulega. ROS verkfærakistan er umfangsmikil og sveigjanleg, sem annars vegar veldur byrjendum erfiðleikum og er hins vegar ástæða vinsælda þess. Lærðu, reyndu, uppgötvaðu ný verkfæri og lausnir. Til dæmis er hægt að skipta um tól í þessari útfærslu fjölbílsins, sem beitingu hinnar áunninu þekkingu athuga-gátt með endurkvæmum leiðum til netvakt.

Skýringar

  1. athuga-gátt - vélbúnaður sem gerir þér kleift að slökkva á leiðinni eftir tvær misheppnaðar athuganir á gáttinni fyrir framboði í röð. Athugunin er framkvæmd einu sinni á 10 sekúndna fresti, auk svartímans. Alls er raunveruleg skiptitími á bilinu 20-30 sekúndur. Ef slík skiptitímasetning er ekki nægjanleg er möguleiki á að nota tólið netvakt, þar sem hægt er að stilla eftirlitstímann handvirkt athuga-gátt kveikir ekki á hléum pakkataps á hlekknum.

    Mikilvægt! Ef aðalleið er óvirkjuð verða allar aðrar leiðir sem vísa til hennar óvirkar. Þess vegna, fyrir þá að tilgreina check-gateway=ping óþarfi.

  2. Það gerist að bilun kemur upp í DHCP vélbúnaðinum, sem lítur út eins og viðskiptavinur sem er fastur í endurnýjunarástandinu. Í þessu tilviki mun seinni hluti handritsins ekki virka, en það kemur ekki í veg fyrir að umferð gangi rétt, þar sem ríkið rekur samsvarandi endurkvæma leið.
  3. ECMP (Equal Cost Multi-Path) - í ROS er hægt að stilla leið með nokkrum gáttum og sömu fjarlægð. Í þessu tilviki verður tengingum dreift á milli rása með því að nota round robin reiknirit, í hlutfalli við fjölda tilgreindra gátta.

Fyrir hvatann til að skrifa greinina, hjálpa til við að móta uppbyggingu hennar og staðsetningu kommura - persónulegt þakklæti til Evgeny @jscar

Heimild: www.habr.com