🥇Mikrotik RouterOS での Multivan とルーティング

導入

この記事を取り上げたのは、虚栄心に加えて、ロシア語圏の電報コミュニティのプロフィールグループでこのトピックに関する気のめいるような質問が頻繁にあったことがきっかけでした。この記事は、初心者の Mikrotik RouterOS (以下、ROS) 管理者を対象としています。ルーティングを重視してマルチバンのみを扱います。さらに、安全で便利な操作を保証するために最低限必要な設定が用意されています。キュー、ロードバランシング、VLAN、ブリッジ、チャネル状態の多段階詳細分析などのトピックの開示を求めている人は、読むのに時間と労力を無駄にしないかもしれません。

初期データ

テスト対象として、ROS バージョン 6.45.3 を搭載した 1 ポート Mikrotik ルーターが選択されました。 2 つのローカルネットワーク (LAN1 および LAN2) と 3 つのプロバイダー (ISP1、ISP2、ISP3) の間でトラフィックをルーティングします。 ISPXNUMX へのチャネルには静的「グレー」アドレス、ISPXNUMX - DHCP 経由で取得された「ホワイト」、ISPXNUMX - PPPoE 認証付きの「ホワイト」があります。接続図を次の図に示します。

タスクは、次のようにスキームに基づいて MTK ルーターを構成することです。

バックアッププロバイダーへの自動切り替えを提供します。メインプロバイダーは ISP2、最初の予備プロバイダーは ISP1、3 番目の予備プロバイダーは ISPXNUMX です。
ISP1 を介してのみインターネットへの LAN1 ネットワークアクセスを構成します。
アドレスリストに基づいて、選択したプロバイダーを介してローカルネットワークからインターネットにトラフィックをルーティングする機能を提供します。
ローカルネットワークからインターネット (DSTNAT) へのサービス公開の可能性を提供します。
ファイアウォールフィルターを設定して、インターネットからの最低限の十分なセキュリティを提供します。
ルーターは、選択した送信元アドレスに応じて、XNUMX つのプロバイダーのいずれかを介して独自のトラフィックを発行できます。
応答パケットが送信元のチャネル (LAN を含む) にルーティングされていることを確認します。

備考バージョンごとに変更される「すぐに使える」初期設定で予期せぬ事態が発生しないことを保証するために、ルータを「最初から」設定します。 Winbox は、変更が視覚的に表示される構成ツールとして選択されました。設定自体は Winbox ターミナルのコマンドによって設定されます。設定のための物理接続は、Ether5 インターフェイスへの直接接続によって行われます。

マルチバンとは何なのか、問題があるのか、それとも陰謀ネットワークを編み出している狡猾な賢い人々がいるのかについてのちょっとした推論

好奇心旺盛で気配りのある管理者が、そのようなスキームまたは同様のスキームを自分で設定すると、それがすでに正常に機能していることに突然気づきます。はい、はい。カスタムルーティングテーブルやその他のルートルールは必要ありません。このトピックに関するほとんどの記事にはこれらのルールが含まれています。確認しよう？

インターフェイスとデフォルトゲートウェイでアドレス指定を構成できますか? はい：

ISP1では、アドレスとゲートウェイが登録されていました。 距離=2 и チェックゲートウェイ=ping。
ISP2 では、デフォルトの dhcp クライアント設定に応じて、距離は XNUMX になります。
ISP3 の pppoe クライアント設定で、 デフォルトルートの追加=はい 置く デフォルトのルート距離=3.

出口で NAT を登録することを忘れないでください。

/ip firewall nat add action=masqueradechain=srcnat out-interface-list=WAN

その結果、ローカルサイトのユーザーは、主要な ISP2 プロバイダーを通じて猫をダウンロードして楽しんでおり、そのメカニズムを使用してチャンネル予約が行われています。 ゲートウェイをチェックする 注1を参照

タスクのポイント 1 が実装されます。マークのあるマルチバンはどこにありますか？いいえ…

さらに遠く。 ISP1 経由で特定のクライアントを LAN から解放する必要があります。

/ip ファイアウォールマングル追加アクション=ルートチェーン=プレルーティング dst-address-list=!BOGONS
passthrough = はい、route-dst = 100.66.66.1 src-address-list = Via_ISP1
/ip ファイアウォールマングル追加アクション=ルートチェーン=プレルーティング dst-address-list=!BOGONS
パススルー = いいえルート dst = 100.66.66.1 src アドレス = 192.168.88.0/24

タスクの項目 2 と 3 が実装されました。ラベル、スタンプ、ルートルール、ここはどこ?!

インターネットからクライアントにアドレス 172.17.17.17 を持つお気に入りの OpenVPN サーバーへのアクセスを許可する必要がありますか? お願いします：

/ip クラウドセット ddns-enabled=yes

ピアとして、私たちはクライアントに出力結果を与えます。:put [IP クラウド取得 DNS 名]　

インターネットからのポート転送を登録します。

/ip ファイアウォール nat 追加アクション=dst-nat チェーン=dstnat dst-port=1194
in-interface-list=WAN プロトコル=udp to-addresses=172.17.17.17

項目 4 の準備が整いました。

ポイント 5 についてはファイアウォールとその他のセキュリティを設定しましたが、同時にユーザーにとってすべてがすでに機能していることを嬉しく思い、お気に入りの飲み物の入った容器に手を伸ばします...
ああ！トンネルは忘れ去られている。

Google の記事で構成された l2tp-client は、お気に入りのオランダの VDS に昇格しましたか? はい。
IPsec を備えた l2tp サーバーが起動し、IP クラウドからの DNS 名によるクライアント (上記を参照) がしがみついていますか? はい。
私たちは椅子にもたれかかり、飲み物を飲みながら、タスクのポイント 6 と 7 をのんびりと検討します。私たちはこう思います - それは必要ですか? それでも、そのように動作します (c) ... それで、それでも必要ない場合は、それで終わりです。マルチバンが実装されました。

マルチバンとは何ですか？これは、複数のインターネットチャネルを XNUMX 台のルーターに接続することです。

この記事をこれ以上読む必要はありません。適用可能性が疑わしいことを誇示すること以外に何があるでしょうか?

残り、タスクのポイント 6 と 7 に興味があり、完璧主義に悩まされている人のために、さらに深く掘り下げていきます。

マルチバンを実装する際の最も重要なタスクは、正しいトラフィックルーティングです。つまり、どれ (またはどれ) に関係なく、参照してください。注 3 ISP のチャネルはルーターのデフォルトルートを確認し、パケットの送信元である正確なチャネルに応答を返す必要があります。課題は明確です。問題はどこだ？確かに、単純なローカルネットワークでは、タスクは同じですが、誰も追加の設定を気にせず、問題を感じません。違いは、インターネット上のルーティング可能なノードはすべて、単純な LAN のように厳密に特定されたチャネルを介してではなく、各チャネルを介してアクセスできることです。そして、「問題」は、ISP3 の IP アドレスを求めるリクエストが来た場合、デフォルトゲートウェイがそこに向けられているため、この場合、答えは ISP2 チャネルを経由することです。そのままにし、プロバイダーによって間違っているとして破棄されます。問題は特定されました。どうやって解決すればいいでしょうか？

解決策は XNUMX つの段階に分かれています。

プリセット。 この段階では、ルーターの基本設定（ローカルネットワーク、ファイアウォール、アドレスリスト、ヘアピン NAT など）が設定されます。
マルチバン。 この段階で、必要な接続がマークされ、ルーティングテーブルに分類されます。
ISP に接続しています。 この段階では、インターネットへの接続を提供するインターフェイスが構成され、ルーティングとインターネットチャネル予約メカニズムがアクティブになります。

1. プリセット

1.1. 次のコマンドを使用してルーター設定をクリアします。

/system reset-configuration skip-backup=yes no-defaults=yes

に同意する "危険！とにかくリセットしますか？ [y/N]:」と表示され、再起動後、MAC 経由で Winbox に接続します。この段階では、構成とユーザーベースがクリアされます。

1.2. 新しいユーザーを作成します。

/user add group=full name=knight password=ultrasecret comment=”Not horse”

その下でログインし、デフォルトのものを削除します。

/user remove admin

備考著者がより安全であると考え、使用を推奨しているのは、デフォルトユーザーを無効にするのではなく、削除することです。

1.3. ファイアウォール、検出設定、その他の MAC サーバーでの操作に便利なように、基本的なインターフェイスリストを作成します。

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

コメント付きの署名インターフェイス

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

そしてインターフェースのリストに記入します。

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

備考わかりやすいコメントを書くことは、これに時間を費やす価値があり、さらに、トラブルシューティングと構成の理解が大幅に容易になります。

著者は、IP プロトコルが通過しないにもかかわらず、セキュリティ上の理由から、ether3 インターフェイスを「WAN」インターフェイスリストに追加する必要があると考えています。

PPP インターフェイスが ether3 上で確立された後、それをインターフェイスリスト「WAN」にも追加する必要があることを忘れないでください。

1.4. ルーターを近隣検出から隠し、MAC を介してプロバイダーネットワークから制御します。

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

1.5. ルーターを保護するために、最小限の十分なファイアウォールフィルタールールのセットを作成します。

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(このルールは、接続されたネットワークとルーター自体の両方から開始される、確立された関連接続に対する許可を提供します)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(ping だけでなく、すべての icmp が許可されます。MTU の問題を見つけるのに非常に役立ちます)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(入力チェーンを閉じるルールにより、インターネットからのその他すべてのものが禁止されます)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(このルールでは、ルーターを通過する確立された関連接続が許可されます)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(このルールはルーターを通過する connection-state=invalid の接続をリセットします。Mikrotik によって強く推奨されていますが、まれな状況で有用なトラフィックがブロックされる可能性があります)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(このルールは、インターネットから送信され、dstnat 手順を通過していないパケットがルーターを通過することを禁止します。これにより、外部ネットワークと同じブロードキャストドメイン内にあり、外部 IP をしたがって、ローカルネットワークを「探索」してみます。)

備考ネットワーク LAN1 と LAN2 が信頼されており、それらの間のトラフィック、およびそれらからのトラフィックがフィルタリングされていないと仮定します。

1.6. ルーティング不可能なネットワークのリストを含むリストを作成します。

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(これは、インターネットにルーティングできないアドレスとネットワークのリストであり、それに応じて追跡されます。)

備考リストは変更される可能性があるため、関連性を定期的に確認することをお勧めします。

1.7. ルーター自体の DNS を設定します。

/ip dns set servers=1.1.1.1,8.8.8.8

備考 ROS の現在のバージョンでは、動的サーバーが静的サーバーよりも優先されます。名前解決要求は、リストの最初のサーバーに順番に送信されます。現在のサーバーが使用できない場合、次のサーバーへの移行が実行されます。タイムアウトが長く、5 秒を超えています。「ダウンしたサーバー」が再開されるときに、元に戻ることは自動的には行われません。このアルゴリズムとマルチバンの存在を考慮して、著者はプロバイダーが提供するサーバーを使用しないことをお勧めします。

1.8. ローカルネットワークを設定します。
1.8.1. LAN インターフェース上に静的 IP アドレスを構成します。

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2. メインルーティングテーブルを通じてローカルネットワークへのルートのルールを設定します。

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

備考これは、デフォルトルートを経由しないルーターインターフェイスの外部 IP アドレスのソースを使用して LAN アドレスにアクセスするための迅速かつ簡単な方法の XNUMX つです。

1.8.3. LAN1 と LAN2 のヘアピン NAT を有効にします。

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

備考これにより、ネットワーク内にいながら外部 IP 経由でリソース (dstnat) にアクセスできるようになります。

2.実際には、非常に正しいマルチバンの実装

「どこから尋ねられたかに答える」という問題を解決するために、次の XNUMX つの ROS ツールを使用します。 接続マーク и ルーティングマーク. 接続マーク 目的の接続をマークし、このマークを適用条件として使用できます。 ルーティングマーク。そしてすでに ルーティングマーク で働くことが可能 IPルート и ルートルール。ツールを理解しました。次に、どの接続にマークを付けるかを決定する必要があります (XNUMX 回、正確にどこにマークするか) XNUMX つ。

最初の方法では、すべてが簡単です。インターネットから適切なチャネルを介してルーターに到達するすべての接続にマークを付ける必要があります。この場合、これらは 1 つのラベル (チャネル数ごと)、「conn_isp2」、「conn_isp3」、および「conn_ispXNUMX」になります。

XNUMX 番目の場合のニュアンスは、受信接続には XNUMX つのタイプがあるということです。トランジット接続とルーター自体を対象とした接続です。テーブル内で接続マーク機構が動作します マングル。 mikrotik-trainings.com リソース (宣伝ではありません) の専門家が親切にまとめた簡略図でパッケージの動きを考えてみましょう。

矢印に従うと、パケットが「」に到着していることがわかります。入力インターフェース”、チェーンを通過します”プレルーティングそしてそれがブロック内でトランジットとローカルに分割されるだけです。ルーティングの決定」。そこで、一石二鳥として、 接続マーク 表の中 マングルプレルーティング チェーン プレルーティング.

注意：。 ROS では、「ルーティングマーク」ラベルは、Ip/Routes/Rules セクションでは「テーブル」としてリストされ、他のセクションでは「ルーティングマーク」としてリストされます。これは理解に混乱を招くかもしれませんが、実際にはこれは同じものであり、Linux 上の iproute2 の rt_tables に似ています。

2.1. 各プロバイダーからの受信接続をマークします。

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

備考すでにマークされている接続をマークしないようにするには、connection-state=new の代わりに connection-mark=no-mark 条件を使用します。これは、入力フィルターで無効な接続のドロップを拒否するだけでなく、これがより正確であると考えられるためです。

passthrough=no - この実装方法では再マーキングが除外され、高速化するために最初の一致後にルールの列挙を中断できるためです。

まだルーティングにはいかなる形でも干渉していないことに留意してください。今は準備段階のみです。実装の次の段階は、ローカルネットワークの宛先から確立された接続を介して戻るトランジットトラフィックの処理です。それらの。途中でルーターを通過したパケット (図を参照):

「入力インターフェイス」=>「プレルーティング」=>「ルーティング決定」=>「転送」=>「ポストルーティング」=>「出力インターフェイス」 そしてローカルネットワーク内の宛先に届きました。

重要！ ROS では、外部インターフェイスと内部インターフェイスへの論理的な分割はありません。上の図に従って応答パケットのパスを追跡すると、要求と同じ論理パスをたどることになります。

「入力インターフェイス」=>「プレルーティング」=>「ルーティング決定」=>「転送」=>「ポストルーティング」=>「出力インターフェイス」 ただのお願いだから」入力インタフェース」は ISP インターフェイスであり、その答えは LAN でした。

2.2. 応答の中継トラフィックを対応するルーティングテーブルに送信します。

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

コメント。 in-interface-list=!WAN - ローカルネットワークと、ルーター自体のインターフェイスのアドレスの宛先アドレスを持たない dst-address-type=!local からのトラフィックのみを処理します。

途中でルーターに到達したローカルパケットについても同様です。

「入力インターフェイス」=>「プレルーティング」=>「ルーティング決定」=>「入力」=>「ローカルプロセス」

重要！ 答えは次のようになります。

「ローカルプロセス」=>「ルーティング決定」=>「出力」=>「ポストルーティング」=>「出力インターフェース」

2.3. 応答のローカルトラフィックを対応するルーティングテーブルに送信します。

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

この段階で、要求の送信元であるインターネットチャネルに応答を送信する準備をするタスクは解決されたと見なされます。すべてがマークされ、ラベルが付けられ、配線する準備ができています。
この設定の優れた「副次的」効果は、両方 (ISP2、ISP3) プロバイダーからの DSNAT ポート転送を同時に使用できることです。 ISP1 にはルーティング不可能なアドレスがあるため、まったくそうではありません。この効果は、たとえば、異なるインターネットチャネルを参照する XNUMX つの MX を備えたメールサーバーの場合に重要です。

外部 IP ルーターを使用したローカルネットワークの運用の微妙な違いを排除するために、段落のソリューションを使用します。 1.8.2 および 3.1.2.6。

さらに、問題の段落 3 を解くためにマークが付いたツールを使用することもできます。次のように実装します。

2.4. ローカルクライアントからのトラフィックをルーティングリストから適切なテーブルに転送します。

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

その結果、次のようになります。

3. ISP への接続を設定し、ブランドルーティングを有効にします

3.1. ISP1 への接続をセットアップします。
3.1.1. 静的 IP アドレスを構成します。

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2. 静的ルーティングを設定します。
3.1.2.1. デフォルトの「緊急」ルートを追加します。

/ip route add comment="Emergency route" distance=254 type=blackhole

備考このルートにより、プロバイダーのリンクの状態に関係なく、ローカルプロセスからのトラフィックがルート決定ステージを通過できるようになります。送信ローカルトラフィックのニュアンスは、パケットが少なくともどこかに移動するには、メインルーティングテーブルにデフォルトゲートウェイへのアクティブなルートが必要であるということです。そうでない場合、パッケージは単に破棄されます。

ツールの拡張機能として ゲートウェイをチェックする チャネル状態をより深く分析するには、再帰ルート手法を使用することをお勧めします。この方法の本質は、ゲートウェイへのパスを直接ではなく中間ゲートウェイを介して探すようにルーターに指示することです。 4.2.2.1、4.2.2.2、および 4.2.2.3 が、それぞれ ISP1、ISP2、および ISP3 の「テスト」ゲートウェイとして選択されます。

3.1.2.2. 「検証」アドレスにルーティングします。

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

備考将来的に 4.2.2.1 を再帰ゲートウェイとして使用するために、ROS ターゲットスコープのスコープ値をデフォルトに下げます。強調したいのは、「テスト」アドレスへのルートのスコープは、テストアドレスを参照するルートのターゲットスコープ以下でなければならないということです。

3.1.2.3. ルーティングマークのないトラフィックの再帰的なデフォルトルート:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

備考タスク条件に従って ISP2 が最初のバックアップとして宣言されているため、 distance=1 の値が使用されます。

3.1.2.4. ルーティングマーク「to_isp1」を持つトラフィックの再帰的デフォルトルート:

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

備考実際、ここで私たちはようやく第 2 段落で行った準備作業の成果を享受し始めています。

このルートでは、どのデフォルトゲートウェイがメインテーブルに対して現在アクティブであるかに関係なく、マークルート「to_isp1」を持つすべてのトラフィックが最初のプロバイダーのゲートウェイに送信されます。

3.1.2.5. ISP2 および ISP3 タグ付きトラフィックの最初のフォールバック再帰的デフォルトルート:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

備考これらのルートは、特に、アドレスリスト「to_isp*」のメンバーであるローカルネットワークからのトラフィックを予約するために必要です。

3.1.2.6. ルーターのローカルトラフィックのルートを ISP1 経由でインターネットに登録します。

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

備考 1.8.2 項のルールと組み合わせて、指定されたソースで目的のチャンネルへのアクセスを提供します。これは、ローカル側 IP アドレス (EoIP、IP-IP、GRE) を指定するトンネルを構築する場合に重要です。 ip ルートルールのルールは条件が最初に一致するまで上から下に実行されるため、このルールは 1.8.2 項のルールの後にある必要があります。

3.1.3. 送信トラフィック用の NAT ルールを登録します。

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

備考 IPsec ポリシーに含まれるものを除き、送信されるすべてのものを NAT 化します。どうしても必要な場合を除き、action=masquerade は使用しないようにしています。新しい接続ごとに NAT アドレスを計算するため、src-nat よりも遅く、リソースを大量に消費します。

3.1.4. 他のプロバイダーを介したアクセスが禁止されているリストのクライアントを、ISP1 プロバイダーのゲートウェイに直接送信します。

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

備考 action=route の優先順位が高く、他のルーティングルールよりも先に適用されます。

place-before=0 - ルールをリストの最初に配置します。

3.2. ISP2への接続を設定します。

ISP2 プロバイダーは DHCP 経由で設定を提供するため、DHCP クライアントがトリガーされたときに開始されるスクリプトで必要な変更を加えることが合理的です。

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

Winbox ウィンドウ内のスクリプト自体:

備考スクリプトの最初の部分はリースが正常に取得されたときにトリガーされ、XNUMX 番目の部分はリースが解放された後にトリガーされます。注2を参照

3.3. ISP3 プロバイダーへの接続をセットアップします。

設定プロバイダーによって動的が提供されるため、ppp インターフェイスが起動された後と降下後に開始されるスクリプトで必要な変更を行うのが合理的です。

3.3.1. まずプロファイルを設定します。

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

Winbox ウィンドウ内のスクリプト自体:

備考ひも
/ip ファイアウォールマングルセット [find comment="ISP3 からの接続"] in-interface=$"interface";
インターフェイスの名前変更は表示名ではなくコードで機能するため、インターフェイスの名前変更を正しく処理できます。

3.3.2. 次に、プロファイルを使用して ppp 接続を作成します。

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

最後の仕上げとして、時計を設定しましょう。

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

最後まで読んでいただいた方へ

マルチバンを実装するために提案された方法は、作成者の個人的な好みであり、可能な唯一の方法ではありません。 ROS ツールキットは広範かつ柔軟であるため、初心者にとっては困難を引き起こす一方で、それが人気の理由でもあります。新しいツールやソリューションを学び、試し、発見してください。たとえば、得られた知識の応用として、このマルチバンの実装のツールを置き換えることができます。 チェックゲートウェイ への再帰ルートを使用 ネットウォッチ.

注釈

チェックゲートウェイ - ゲートウェイの可用性チェックが 10 回連続して失敗した場合に、ルートを非アクティブ化できるメカニズム。チェックは 20 秒ごとに 30 回と応答タイムアウトを加えて実行されます。実際の切り替えタイミングは合計で XNUMX ～ XNUMX 秒の範囲になります。このような切り替えタイミングが十分でない場合は、ツールを使用するオプションがあります。 ネットウォッチ、チェックタイマーを手動で設定できます。 チェックゲートウェイ リンク上で断続的なパケット損失が発生した場合には起動しません。
重要！プライマリルートを非アクティブにすると、それを参照する他のすべてのルートが非アクティブになります。したがって、彼らが指定するためには、 チェックゲートウェイ=ping 必要はありません。
DHCP メカニズムで障害が発生することがあり、クライアントが更新状態でスタックしているように見えます。この場合、スクリプトの XNUMX 番目の部分は機能しませんが、状態が対応する再帰ルートを追跡するため、トラフィックが正しく移動することは妨げられません。
ECMP (等コストマルチパス) - ROS では、複数のゲートウェイと同じ距離を持つルートを設定できます。この場合、接続は、指定されたゲートウェイの数に比例して、ラウンドロビンアルゴリズムを使用してチャネル全体に分散されます。

記事を書く原動力として、その構造とアクセントの配置の形成にご協力ください - Evgeny に個人的に感謝します @jscar

出所： habr.com

Mikrotik RouterOS でのマルチバンとルーティング

導入