Nga Tikanga o te Ararere Static i Mikrotik RouterOS

Ko te ararere te huarahi ki te rapu huarahi pai mo te tuku paatete ki runga i nga whatunga TCP/IP. Ko nga taputapu e hono ana ki te whatunga IPv4 he mahinga me nga ripanga ararere.

Ko tenei tuhinga ehara i te HOWTO, e whakaahua ana i te ararere pateko i RouterOS me nga tauira, i ata whakakorehia e au te toenga o nga tautuhinga (hei tauira, srcnat mo te uru ki te Ipurangi), na te mohio ki nga rauemi me whai taumata mohio mo nga whatunga me te RouterOS.

Te huri me te ararere

Ko te whakawhiti ko te tikanga o te whakawhiti i nga paakete i roto i tetahi waahanga Layer2 (Ethernet, ppp, ...). Mena ka kite te taputapu ko te kaiwhiwhi o te paatete kei runga i te kupenga Itarangi kotahi ki a ia, ka akohia e ia te wahitau mac ma te whakamahi i te kawa arp me te tuku tika i te paatete, ma te whakawhiti i te pouara. Ka taea e te hononga ppp (point-to-point) kia rua noa nga kaiuru, ka tukuna tonu te paakete ki tetahi wahitau 0xff.

Ko te ararere te tukanga o te whakawhiti i nga paakete i waenga i nga waahanga Layer2. Mena kei te pirangi tetahi taputapu ki te tuku putea kei waho te kaiwhiwhi i te wahanga Ethernet, ka titiro ia ki tana ripanga ararere ka tukuna te kete ki tetahi kuaha e mohio ana ki hea ka tukuna atu te kete i muri mai (kaore pea i te mohio, ko te kaituku taketake o te kete kaore i te mohio ki tenei).

Ko te huarahi ngawari ki te whakaaro mo te pouara he taputapu hono ki nga wahanga Layer2 e rua, neke atu ranei, me te kaha ki te whakawhiti i nga paatete ki waenga i a raatau ma te whakatau i te huarahi pai mai i te ripanga ararere.

Mena ka mohio koe ki nga mea katoa, kua mohio ranei koe, panuihia. Mo te toenga, ka tino taunaki ahau kia mohio koe ki te iti, engari tino kaha tuhinga.

Ararere i RouterOS me PacketFlow

Tata katoa nga mahi e pa ana ki te ararere pateko kei roto i te kete pūnaha. Puke kirihou ararere he taapiri tautoko mo nga huringa ararere hihiko (RIP, OSPF, BGP, MME), Whiriwhiri Ararere me te BFD.

Tahua matua mo te whakarite ararere: [IP]->[Route]. Ka hiahia pea nga kaupapa uaua ki te tapanga i mua i nga paatete me te tohu ararere ki: [IP]->[Firewall]->[Mangle] (nga mekameka PREROUTING и OUTPUT).

E toru nga waahi kei runga i te PacketFlow e whakatau ana i nga whakatau ararere paatete IP:

1. Ko nga putea ararere kua riro mai i te pouara. I tenei wa, ka whakatauhia mehemea ka haere te putea ki te tukanga o te rohe, ka tukuna atu ranei ki te whatunga. Ka whiwhi nga putea whakawhiti Atanga Putanga
2. Te ararere i nga paatete puta-a-rohe. Ka whiwhi putea putaatu Atanga Putanga
3. Te taahiraa ararere taapiri mo nga paatete puta, ka taea e koe te huri i te whakatau ararere ki roto [Output|Mangle]

• Ko te ara mokete i nga poraka 1, 2 e whakawhirinaki ana ki nga ture kei roto [IP]->[Route]
• Ko te ara o te paatete i nga wahanga 1, 2 me te 3 e whakawhirinaki ana ki nga ture kei roto [IP]->[Route]->[Rules]
• Ko te ara mokihi i roto i nga poraka 1, 3 ka taea te awe ma te whakamahi [IP]->[Firewall]->[Mangle]

RIB, FIB, Keteroki Ararere

Papatohu Ararere
Ko te turanga e kohia ai nga huarahi mai i nga kawa ararere hihiri, nga ara mai i te ppp me te dhcp, nga huarahi pateko me te hono. Kei roto i tenei pātengi raraunga nga huarahi katoa, haunga nga huarahi kua tohua e te kaiwhakahaere.

Herenga, ka taea e tatou te whakaaro [IP]->[Route] whakaatu RIB.

Whakamua Papa korero

Ko te turanga e kohia ai nga huarahi pai mai i RIB. Ko nga huarahi katoa i roto i te FIB he hohe ka whakamahia hei tuku i nga paatete. Ki te kore e hohe te ara (kua monohia e te kaiwhakahaere (pūnaha), karekau ranei te atanga e tukuna ai te paatete i te kaha), ka tangohia te huarahi mai i te FIB.

Hei whakatau ararere, ka whakamahia e te ripanga FIB nga korero e whai ake nei mo te paatete IP:

• Wāhitau Pūtake
• Wāhitau ūnga
• atanga puna
• Tohu ararere
• ToS (DSCP)

Ko te whakauru ki te kete FIB ka haere ma nga waahanga e whai ake nei:

• Ko te kete te tikanga mo te tukanga pouara rohe?
• Kei raro te putea i nga ture PBR punaha, kaiwhakamahi ranei?
  • Mēnā āe, ka tukuna te pākete ki te ripanga ararere kua tohua
• Ka tukuna te kete ki te tepu matua

Herenga, ka taea e tatou te whakaaro [IP]->[Route Active=yes] whakaatu FIB.

Keteroki Ararere
Te huarahi keteroki huarahi. Ka maumahara te pouara ki te wahi i tukuna ai nga paakete, a, mena he rite ano nga mea (he hononga ano pea) ka taea e ia te haere ma te ara kotahi, me te kore e tirotiro i te FIB. Ka whakawāteahia te keteroki ara.

Mo nga kaiwhakahaere RouterOS, kaore ratou i hanga taputapu mo te tiro me te whakahaere i te Keteroki Ararere, engari ka taea te whakakore i roto [IP]->[Settings].

I tangohia tenei tikanga mai i te kernel linux 3.6, engari kei te whakamahi tonu a RouterOS i te kernel 3.3.5, ko te Routing cahce tetahi o nga take.

Tāpirihia nga korero ara

[IP]->[Route]->[+]

1. Rarotoroto e hiahia ana koe ki te hanga ara (taunoa: 0.0.0.0/0)
2. Gateway IP, atanga ranei ka tukuna atu te kete (he maha pea, tirohia te ECMP i raro nei)
3. Tirohanga Wātea o te Waahi
4. Momo Rekoata
5. Tawhiti (metric) mo tetahi ara
6. Ripanga ararere
7. IP mo nga paatete puta i te rohe ma tenei ara
8. Ko te kaupapa o te Scope and Target Scope kua tuhia ki te mutunga o te tuhinga.

Nga haki ara

• X - Kua monoa te ara e te kaiwhakahaere (disabled=yes)
• A - Ka whakamahia te ara ki te tuku paakete
• D - Te arai taapiri hihiri (BGP, OSPF, RIP, MME, PPP, DHCP, Honoa)
• C - Kei te hono tika te kupengaroto ki te pouara
• S - Ara pateko
• r,b,o,m - Ko te ara i tapirihia e tetahi o nga tikanga ararere hihiri
• B,U,P - Te ara tātari (ka taka nga paatete hei utu mo te tuku)

He aha te tohu ki te kuaha: ip-address, atanga ranei?

Ma te punaha ka taea e koe te tohu i nga mea e rua, i te mea kaore e oati me te kore e tuku tohu mena kua he koe.

Wāhitau IP
Me uru te wahitau kuaha ki runga i te Layer2. Mo te Ethernet, ko te tikanga me whai wahitau te pouara mai i te kupengaroto kotahi i runga i tetahi o nga atanga ip hohe, mo te ppp, kua tohua te wahitau kuaha ki runga i tetahi o nga atanga hohe hei wahitau ipurangiroto.
Ki te kore e tutuki te tikanga urunga mo te Layer2, ka kiia te ara he hohekore, kaore hoki e taka ki te FIB.

atanga
Ko nga mea katoa he uaua ake, ko te whanonga o te pouara e whakawhirinaki ana ki te momo atanga:

• Ko te hononga PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) ka whakaaro kia rua noa nga kaiuru, ka tukuna tonu te paakete ki te kuaha mo te tuku, mena ka kitea e te kuaha ko te kaiwhiwhi tonu, katahi ka whakawhitia te kete ki tona tukanga rohe.
  
• Ka mau a Ethernet i te aroaro o te maha o nga kaiuru ka tukuna atu nga tono ki te atanga arp me te wahitau o te kaiwhiwhi o te paatete, e tika ana tenei me te whanonga noa mo nga huarahi hono.
  Engari ka ngana koe ki te whakamahi i te atanga hei huarahi mo te kupengaroto mamao, ka whiwhi koe i te ahuatanga e whai ake nei: kei te kaha te ara, ka paahi te ping ki te kuaha, engari kaore e tae ki te kaiwhiwhi mai i te kupengaroto kua tohua. Mena ka titiro koe ki te atanga ma te hongi, ka kite koe i nga tono arp me nga wahitau mai i te kupengaroto mamao.
  

Whakamātauria ki te whakapūtā te wāhitau ip hei kūwaha ina taea. Ko te rereke ko nga huarahi hono (hangaia aunoa) me nga hononga PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN*).

Karekau he pane PPP a OpenVPN, engari ka taea e koe te whakamahi i te ingoa atanga OpenVPN hei hanga huarahi.

Ara Motuhake atu

Ture ararere taketake. Ko te ara e whakaatu ana i te kupengaroto iti ake (me te kopare kupengaroto nui rawa atu) kei mua i te whakatau ararere a te paakete. Ko te tuunga o nga urunga ki te ripanga ararere karekau e whai paanga ki te whiringa - ko te ture matua he mea motuhake ake.

Ko nga huarahi katoa mai i te kaupapa kua tohua he hohe (kei roto i te FIB). tohu ki nga kupenga-roto rereke, kaua e taupatupatu tetahi ki tetahi.

Ki te kore tetahi o nga keeti e waatea ana, ka kiia te ara e hono ana kaore e hohe (ka tangohia mai i te FIB) ka rapua nga paatete mai i nga huarahi e toe ana.

Ko te ara me te kupengaroto 0.0.0.0/0 ka tukuna he tikanga motuhake i etahi wa, ka kiia ko te "Roa Taunoa" ranei "Kuwaha o te huarahi whakamutunga". Inaa, karekau he mea makutu mo tena, kei roto noa i nga wahitau IPv4 ka taea, engari ko enei ingoa e whakaatu pai ana i tana mahi - e tohu ana i te kuaha hei tuku i nga paatete kaore he huarahi ke atu, he tika ake.

Ko te nui rawa o te kanohi kupengaroto mo IPv4 ko /32, ka tohu tenei ara ki tetahi kaihautu motuhake ka taea te whakamahi ki te ripanga ararere.

Ko te Maramatanga ki te Ara Motuhake He mea nui ki tetahi taputapu TCP/IP.

tawhiti

Ko nga tawhiti (me nga Ine) e hiahiatia ana mo te tātari whakahaere i nga huarahi ki te kupengaroto kotahi ka uru atu ma nga kuaha maha. Ko te huarahi he iti ake te ine ka whakaarohia he kaupapa matua, ka uru ki roto i te FIB. Mena ka mutu te hohe o tetahi ara whai ine iti iho, ka whakakapihia e tetahi ara whai ine teitei ake i te FIB.

Mena he maha nga huarahi ki te kupenga-roto kotahi me te ine kotahi, ka taapirihia e te pouara tetahi o enei ki te ripanga FIB, ka arahina e tona arorau o roto.

Ka taea e te ine te tango i te uara mai i te 0 ki te 255:

• 0 - Inenga mo nga huarahi hono. Ko te tawhiti 0 kaore e taea e te kaiwhakahaere te whakarite
• 1-254 - E waatea ana ki te kaiwhakahaere mo te whakatakoto huarahi. Ko nga ine he iti te uara he kaupapa matua ake
• 255 - Ineine e waatea ana ki te kaiwhakahaere mo te whakatakoto huarahi. Kaore i rite ki te 1-254, ko te ara me te inenga o te 255 ka noho hohekore i nga wa katoa kaore e taka ki roto i te FIB
• inenga motuhake. Ko nga huarahi i ahu mai i nga kawa ararere hihiri he uara ine paerewa

tirohia te kuwaha

Tirohia te keeti he toronga MikroTik RoutesOS mo te tirotiro i te waatea o te kuaha ma te icmp, arp ranei. Kia 10 hēkona (kaore e taea te whakarereke), ka tukuna he tono ki te kuaha, ki te kore e rua nga wa i tae mai te whakautu, ka kiia te huarahi kaore i te waatea ka tangohia mai i te FIB. Mena kua monoa te keeti taki ka haere tonu te ara taki a ka kaha ano te huarahi i muri i te tirotiro angitu.

Ka monohia e te kuaha Tirohanga te urunga i whirihorahia ai me era atu urunga katoa (i nga ripanga ararere katoa me nga ara ecmp) me te keeti kua tohua.

I te nuinga o te waa, ka pai te mahi o te keeti taki mena karekau he raru mo te ngaronga o te kete ki te kuaha. Karekau te kuaha Tirohanga e mohio he aha nga korero kei waho o te kuaha kua takina, me whai taputapu taapiri: nga tuhinga, ararere recursive, nga tikanga ararere hihiri.

Ko te nuinga o nga kawa VPN me nga kawa kauhanga kei roto nga taputapu whakauru mo te tirotiro i nga mahi hononga, ko te whakaahei i te kuaha tirotiro mo ratou he kawenga taapiri (engari he iti rawa) i runga i te whatunga me te mahinga taputapu.

Nga huarahi ECMP

Ara-maha Utu Ōrite - te tuku pākete ki te kaiwhiwhi mā te whakamahi i ngā kūwaha maha i te wā kotahi mā te whakamahi i te hātepee Round Robin algorithm.

Ka hangaia he ara ECMP e te kaiwhakahaere ma te tohu i nga kuaha maha mo te kupenga-roto kotahi (mehemea e rua nga ara OSPF rite).

Ka whakamahia te ECMP mo te whakataurite kawenga i waenga i nga hongere e rua, i roto i te ariā, mena e rua nga hongere kei te ara ecmp, katahi ka rereke te hongere puta mo ia kete. Engari ka tukuna e te miihini Keteroki Ararere nga paakete mai i te hononga i te huarahi i mauhia e te paatete tuatahi, na reira, ka whiwhi tatou i te ahua o te taurite i runga i nga hononga (whakaritenga utanga mo ia hononga).

Mena ka monohia e koe te Keteroki Ararere, ka tika te tiritahi i nga paakete i te ara ECMP, engari he raru kei te NAT. Ko te ture NAT anake e whakahaere ana i te paatete tuatahi mai i te hononga (ko te toenga ka tukakina aunoatia), ka puta ko nga paakete kotahi ano te wahitau puna ka waiho nga hononga rereke.

Karekau te kuaha tirohia e mahi i nga ara ECMP (RouterOS bug). Engari ka taea e koe te huri i tenei herenga ma te hanga i etahi atu ara whakamana ka whakakorehia nga whakaurunga ki te ECMP.

Tātari mā te Ararere

Ko te kōwhiringa Momo ka whakatau he aha te mahi ki te mōkihi:

• unicast - tuku ki te kuaha kua tohua (atanga)
• poka pango - makahia he kete
• aukati, kare e taea te toro atu - makahia te kete ka tukuna he karere icmp ki te kaituku

Ka whakamahia te tātari i te wa e tika ana kia mau te tuku o nga paatete ki te ara he, o te akoranga, ka taea e koe te tarai i tenei ma te papangaahi.

E rua nga tauira

Hei whakakotahi i nga mea taketake mo te ararere.

Pouara kainga angamaheni

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

1. Ara pateko ki te 0.0.0.0/0 (ara taunoa)
2. Ara hono i runga i te atanga me te kaiwhakarato
3. Ara hono i runga i te atanga LAN

Pouara whare angamaheni me PPPoE

1. Ara pateko ki te ara taunoa, tāpiri aunoa. kua tohua i roto i nga ahuatanga hononga
2. Ara hono mo te hononga PPP
3. Ara hono i runga i te atanga LAN

Pouara whare angamaheni me nga kaiwhakarato e rua me te taapiri

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

1. Ara pateko ki te ara taunoa na roto i te kaiwhakarato tuatahi me te ine 1 me te tirotiro mo te waatea o te kuaha
2. Ara pateko ki te ara taunoa ma te kaiwhakarato tuarua me te ine 2
3. Ko nga huarahi hono

Ko nga waka ki te 0.0.0.0/0 ka haere ki te 10.10.10.1 i te wa e waatea ana tenei kuaha, ki te kore ka huri ki te 10.20.20.1

Ko taua kaupapa ka kiia he rahui hongere, engari ehara i te mea he koretake. Ki te puta he whati i waho o te kuaha o te kaiwhakarato (hei tauira, i roto i te whatunga o te kaiwhakahaere), ka kore to pouara e mohio ki taua mea, ka whakaaro tonu te huarahi he kaha.

Pouara kaainga angamaheni me nga kaiwhakarato e rua, te taapiri me te ECMP

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

1. Nga ara pateko mo te tirotiro i te kuaha chack
2. ara ECMP
3. Ko nga huarahi hono

Ko nga huarahi hei tirotiro he puru (te tae o nga huarahi kore mahi), engari kaore tenei e whakararu i te kuaha taki. Ko te putanga o naianei (6.44) o RoS he mea matua aunoa mo te ara ECMP, engari he pai ake te taapiri i nga huarahi whakamatautau ki etahi atu ripanga ararere (kowhiringa routing-mark)

I runga i te Speedtest me etahi atu waahi rite, karekau he pikinga tere (ka wehewehea e te ECMP nga waka ma nga hononga, kaua ma nga paatete), engari me tere ake te uta o nga tono p2p.

Tātari mā te Ararere

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

1. Ara pateko ki te ara taunoa
2. Te ara pateko ki 192.168.200.0/24 i runga i te kauhanga ipip
3. Te aukati i te ara pateko ki 192.168.200.0/24 ma te pouara ISP

He kōwhiringa tātari e kore e haere te waka kauhanga ki te pouara o te kaiwhakarato ina monokia te atanga ipip. Ko nga kaupapa penei he iti rawa te hiahia, na te mea ka taea e koe te whakatinana i te aukati ma te papaahi.

Koropiko ararere
Roopu ararere - he ahuatanga ka rere te paakete i waenga i nga pouara i mua i te paunga o te ttl. I te nuinga o te wa ko te hua o te hapa whirihoranga, i roto i nga whatunga nui ka tukuna e te whakatinanatanga o nga tikanga ararere hihiri, i nga mea iti - me te tupato.

He penei te ahua:

He tauira (ngawari) me pehea te whiwhi hua rite:

Ko te tauira kopikopiko Ararere he kore whai tikanga, engari e whakaatu ana karekau he mohio o nga pouara mo te ripanga ararere o to ratou hoa tata.

Ararere Kaupapa Kaupapahere me etahi atu Ripanga Ararere

I te wa e whiriwhiri ana i te ara, ka whakamahia e te pouara kotahi noa te mara mai i te pane pane (Dst. Wāhitau) - he ararere taketake tenei. Ko te ararere i runga i etahi atu tikanga, penei i te wahitau puna, te momo waka (ToS), te whakataurite me te kore ECMP, no te Ararere Kaupapa Kaupapa (PBR) me te whakamahi i etahi atu ripanga ararere.

Ara Motuhake atu Ko te ture whiriwhiri ara matua i roto i te ripanga ararere.

Ma te taunoa, ka taapirihia nga ture ararere katoa ki te ripanga matua. Ka taea e te kaiwhakahaere te hanga i te maha o nga ripanga ararere taapiri me nga putea ara ki a raatau. Ko nga ture i roto i nga ripanga rereke e kore e taupatupatu tetahi ki tetahi. Ki te kore e kitea e te kete he ture tika i roto i te ripanga kua tohua, ka haere ki te tepu matua.

Tauira me te tohatoha mā te Pātūahi:

• 192.168.100.10 -> 8.8.8.8
  1. Ko nga waka mai i 192.168.100.10 ka tapaina mā-isp1 в [Prerouting|Mangle]
  2. I te wahanga Ararere i te ripanga mā-isp1 he rapu huarahi ki 8.8.8.8
  3. Ka kitea te huarahi, ka tukuna nga waka ki te kuwaha 10.10.10.1
• 192.168.200.20 -> 8.8.8.8
  1. Ko nga waka mai i 192.168.200.20 ka tapaina mā-isp2 в [Prerouting|Mangle]
  2. I te wahanga Ararere i te ripanga mā-isp2 he rapu huarahi ki 8.8.8.8
  3. Ka kitea te huarahi, ka tukuna nga waka ki te kuwaha 10.20.20.1
• Ki te kore tetahi o nga kuaha (10.10.10.1, 10.20.20.1) e waatea ana, ka haere te kete ki te tepu matua ka rapua he huarahi pai ki reira

Nga take kupu

Kei a RouterOS etahi take kupu.
I te wa e mahi ana me nga ture i roto [IP]->[Routes] kua tohuhia te ripanga ararere, ahakoa kua tuhia ko te tapanga:

В [IP]->[Routes]->[Rule] he tika nga mea katoa, i roto i te ahuatanga tapanga i te mahi ripanga:

Me pehea te tuku putea ki tetahi ripanga ararere motuhake

Ka whakaratohia e RouterOS etahi taputapu:

• Ture i roto i [IP]->[Routes]->[Rules]
• Tohu huarahi (action=mark-routing) i roto [IP]->[Firewall]->[Mangle]
• VRF

Ture [IP]->[Route]->[Rules]
Ka tukatukahia nga ture, mena ka rite te paatete ki nga tikanga o te ture, kare e haere atu.

Ko nga Ture Ararere ka taea e koe te whakawhānui ake i nga huarahi o te ararere, kaua e whakawhirinaki anake ki te wahitau kaiwhiwhi, engari ki te wahitau puna me te atanga i whakawhiwhia ai te kete.

Kei roto i nga ture nga tikanga me tetahi mahi:

• Nga tikanga. Whakahokia te rarangi o nga tohu e tirohia ai te kete ki te FIB, ko ToS anake kei te ngaro.
• Nga mahi
  • Rapu - tukuna he kete ki te tepu
  • titiro ki te ripanga anake - maukati te kete ki te ripanga, ki te kore e kitea te ara, ka kore te kete e haere ki te tepu matua
  • maturuturu - maturuturu he kete
  • kaore e taea te toro atu - makahia te paakete me te whakamohiotanga o te kaituku

I roto i te FIB, ko nga waka ki nga tukanga o te rohe ka tukatukahia ma te karo i nga ture [IP]->[Route]->[Rules]:

Waitohu [IP]->[Firewall]->[Mangle]
Ko nga tapanga ararere ka taea e koe te tautuhi i te kuaha mo tetahi paatete ma te whakamahi tata ki nga tikanga katoa o te Pareahi:

Ko te tikanga, na te mea kaore katoa i te whai tikanga, a ko etahi ka mahi koretake.

E rua nga huarahi ki te tapanga i tetahi kete:

• Hoatu tonu tohu ararere
• Whakamua tohu-hononga, ka noho ki runga tohu-hononga ki te hoatu tohu ararere

I roto i tetahi tuhinga mo nga papangaahi, i tuhia e au ko te waahanga tuarua he pai ake. ka whakaiti i te kawenga i runga i te cpu, mo te tohu i nga huarahi - ehara tenei i te tino pono. Ko enei tikanga tohu kaore i te rite tonu, ka whakamahia hei whakaoti rapanga maha.

Tauira Whakamahi

Me neke atu ki nga tauira o te whakamahi i te Ararere Kaupapa Kaupapahere, he maamaa ake te whakaatu he aha i hiahiatia ai enei mea katoa.

MultiWAN me te whakahoki mai i nga waka puta (Putanga).
He raruraru noa mo te whirihoranga MultiWAN: Kei te waatea a Mikrotik mai i te Ipurangi ma te kaiwhakarato "kaha".

Kaore te pouara e aro he aha te ip i tae mai ai te tono, i te wa e whakaputa ana i te whakautu, ka rapua e ia he ara i roto i te ripanga ararere kei te kaha te ara i roto i te isp1. I tua atu, tera pea ka taraihia te putea i te huarahi ki te kaiwhiwhi.

Ko tetahi atu kaupapa whakamere. Mena kua whirihorahia he nat puna "maamaa" ki te atanga ether1: /ip fi nat add out-interface=ether1 action=masquerade ka haere te kete ki te ipurangi me te src. address=10.10.10.100, he kino rawa atu.

He maha nga huarahi hei whakatika i te raru, engari ka hiahia etahi atu ripanga ararere:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

Whakamahia [IP]->[Route]->[Rules]
Tauwhāitihia te ripanga ararere ka whakamahia mō ngā pākete me te IP Pūtake kua tohua.

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

Ka taea te whakamahi action=lookup, engari mo nga waka puta-a-rohe, ka whakakorehia e tenei whiringa nga hononga mai i te atanga he.

• Ka hangaia e te punaha he putea whakautu me Src. Wāhi noho: 10.20.20.200
• Ko te Whakatau Ararere(2) ka tirotirohia te taahiraa [IP]->[Routes]->[Rules] ā, ka tukuna te pākete ki te ripanga ararere over-isp2
• E ai ki te ripanga ararere, me tuku te kete ki te kuwaha 10.20.20.1 ma te atanga ether2

Ko tenei tikanga kaore e hiahiatia he Aroturuki Hononga mahi, kaore i rite ki te whakamahi i te ripanga Mangle.

Whakamahia [IP]->[Firewall]->[Mangle]
Ka timata te hononga ki tetahi kete taumai, no reira ka tohua e matou (action=mark-connection), mo nga putea puta mai i te hononga kua tohua, tautuhia te tapanga ararere (action=mark-routing).

/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Mena he maha nga ips kua whirihorahia ki tetahi atanga, ka taea e koe te taapiri atu ki te ahuatanga dst-address kia tino mohio.

• Ka whakatuwherahia e te putea te hononga ki te atanga ether2. Ka uru te kete ki roto [INPUT|Mangle] e kii ana ki te tohu i nga paatete katoa mai i te hononga hei mai-isp2
• Ka hangaia e te punaha he putea whakautu me Src. Wāhi noho: 10.20.20.200
• I te wahanga Whakatau Ararere(2), ka tukuna te kete, i runga ano i te ripanga ararere, ki te keeti 10.20.20.1 ma te atanga ether1. Ka taea e koe te manatoko i tenei ma te takiuru i nga kohinga [OUTPUT|Filter]
• I te atamira [OUTPUT|Mangle] ka tirohia te tapanga hononga mai-isp2 ā, ka whiwhi te pākete he tapanga ara over-isp2
• Ka tirohia e te Whakatikatika Ararere(3) te waahi o te tapanga ararere ka tukuna ki te ripanga ararere tika
• E ai ki te ripanga ararere, me tuku te kete ki te kuwaha 10.20.20.1 ma te atanga ether2

MultiWAN me te whakahoki mai i nga waka dst-nat

Ko te tauira he uaua ake, he aha te mahi mena he tūmau (hei tauira, tukutuku) kei muri i te pouara i runga i te kupengaroto tūmataiti me whai waahi koe ki reira ma tetahi o nga kaiwhakarato.

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

Ko te ngako o te raru ka rite, he rite te otinga ki te whiringa Firewall Mangle, ko etahi atu mekameka anake ka whakamahia:

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Kaore te hoahoa e whakaatu ana i te NAT, engari ki taku whakaaro he maamaa nga mea katoa.

Nga hononga maha me nga hononga ki waho

Ka taea e koe te whakamahi i nga kaha PBR ki te hanga vpn maha (SSTP i roto i te tauira) hononga mai i nga atanga pouara rereke.

Nga ripanga ararere atu:

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

Ngā tohu mōkī:

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

Nga ture NAT ngawari, ki te kore ka waiho e te paakete te atanga me te Src he. wāhitau:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

Parsing:

• Ka hangaia e te Pouara nga tukanga SSTP e toru
• I te wahanga Whakatau Ararere (2), ka tohua he huarahi mo enei mahinga i runga i te ripanga ararere matua. Mai i te ara ano, ka whiwhi te paakete Src. Wāhitau herea ki te atanga ether1
• В [Output|Mangle] Ko nga paatete mai i nga hononga rereke ka whiwhi tapanga rereke
• Ka uru atu nga paakete ki nga ripanga e rite ana ki nga tapanga i te wahanga Whakatikatika Ararere ka whiwhi huarahi hou mo te tuku paatete
• Engari kei a Src tonu nga kete. Wāhitau mai i ether1, i runga i te atamira [Nat|Srcnat] ka whakakapihia te wahitau kia rite ki te atanga

He mea whakamiharo, i runga i te pouara ka kite koe i te ripanga hononga e whai ake nei:

Ka mahi te Aroturuki Hononga i mua [Mangle] и [Srcnat], no reira ka ahu mai nga hononga katoa mai i te wahitau kotahi, mena ka ata tirohia e koe, ka uru ki roto Replay Dst. Address ka whai wāhitau i muri i te NAT:

I runga i te tūmau VPN (kei a au tetahi kei runga i te papa whakamatautau), ka kite koe i ahu mai nga hononga katoa i nga wahitau tika:

Kia mau te ara
He huarahi ngawari ake, ka taea e koe te tautuhi i tetahi kuaha motuhake mo ia wahitau:

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

Engari ko enei huarahi ka pa ki nga haerenga ki waho engari ki nga waka whakawhiti. Ano, ki te kore koe e hiahia ki te kawe waka ki te tūmau vpn ki te haere i roto i nga huarahi korero kore tika, katahi koe ka taapiri atu kia 6 atu ture ki [IP]->[Routes]с type=blackhole. I roto i te putanga o mua - 3 ture i roto i [IP]->[Route]->[Rules].

Te tohatoha o nga hononga kaiwhakamahi ma nga huarahi whakawhitiwhiti

Nga mahi ngawari o ia ra. Ano, ka hiahiatia etahi atu ripanga ararere:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

Te whakamahi [IP]->[Route]->[Rules]

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

Mena e whakamahia ana action=lookup, katahi ka monokia tetahi o nga hongere, ka haere nga waka ki te tepu matua ka haere ma te hongere mahi. Mena e tika ana tenei, kaore ranei e whakawhirinaki ana ki te mahi.

Ma te whakamahi i nga tohu i roto [IP]->[Firewall]->[Mangle]
He tauira ngawari me nga rarangi o nga wahitau ip. Ko te tikanga, ka taea te whakamahi tata nga tikanga katoa. Ko te whakatupato anake o te layer7, ahakoa ka honoa ki nga tapanga hononga, te ahua kei te mahi tika nga mea katoa, engari ka hee tonu etahi o nga waka.

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

Ka taea e koe te "maukati" nga kaiwhakamahi i roto i te ripanga ararere kotahi [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

Na roto ranei [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

Retreat pro dst-address-type=!local
He ahuatanga taapiri dst-address-type=!local he mea tika kia tae atu nga waka mai i nga kaiwhakamahi ki nga tikanga o te rohe o te pouara (dns, winbox, ssh, ...). Mena he maha nga kupenga-a-rohe e hono ana ki te pouara, he mea tika kia kaua e haere nga waka i waenga i a raatau ki te Ipurangi, hei tauira, ma te whakamahi dst-address-table.

I roto i te tauira whakamahi [IP]->[Route]->[Rules] karekau he rereke, engari ka tae atu nga waka ki nga tikanga o te rohe. Ko te meka ko te whakauru ki te kete FIB kua tohua ki roto [PREROUTING|Mangle] he tapanga ara, ka uru ki tetahi ripanga ararere atu i te matua, kaore he atanga paetata. Mo nga Ture Ararere, i te tuatahi ka tirohia mena kua whakaritea te paakete mo te mahi a-rohe, a, i te wahanga PBR Kaiwhakamahi ka haere ki te ripanga ararere kua tohua.

Te whakamahi [IP]->[Firewall]->[Mangle action=route]
Ka mahi noa tenei mahi i roto [Prerouting|Mangle] a ka taea e koe te arahi i nga waka ki te kuaha kua tohua me te kore e whakamahi i etahi atu ripanga ararere, ma te tohu tika i te wahitau kuaha:

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

pānga route He iti ake te kaupapa matua i nga ture ararere ([IP]->[Route]->[Rules]). Mo nga tohu huarahi, ka whakawhirinaki nga mea katoa ki te tuunga o nga ture, mena ko te ture me action=route nui atu te utu action=mark-route, katahi ka whakamahia (ahakoa te haki passtrough), ki te kore e tohu i te huarahi.
He iti noa nga korero i runga i te wiki mo tenei mahi me nga whakatau katoa ka puta ma te whakamatautau, ahakoa he aha, kaore au i kite i nga whiringa i te wa e whakamahi ana i tenei whiringa ka whai painga ki etahi atu.

PPC i runga i te taurite hihiri

Ma te Kaiwhakaako Hononga - he taapiri ngawari ake o te ECMP. Kaore i rite ki te ECMP, ka wehewehea nga waka ma nga hononga (kaore e mohio a ECMP mo nga hononga, engari ka honoa ki te Routing Cache, ka puta he mea rite).

Ka mau te PCC nga mara kua tohua mai i te pane ip, ka huri ki te uara moka-32, ka wehewehea hāhi. Ko te toenga o te wehenga ka whakatauritea ki nga mea kua tohua toenga a ki te taurite, katahi ka tukuna te mahi kua tohua. Pānuitia atu. He ahua haurangi, engari ka mahi.

He tauira me nga waahi noho e toru:

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

He tauira o te tohatoha hihiri o te waka ma te src.address i waenga i nga hongere e toru:

#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

I te wa e tohu ana i nga huarahi, he taapiri taapiri: in-interface=br-lan, me te kore i raro action=mark-routing Ka tae mai nga hokohoko whakautu mai i te Ipurangi, a, i runga i nga ripanga ararere, ka hoki ki te kaiwhakarato.

Te huri i nga hongere korero

He taputapu pai te Tirohanga ping, engari ka tirohia noa te hononga ki te hoa IP tata, he maha nga pouara i roto i nga whatunga kaiwhakarato, ka mutu ka pakaru te hononga ki waho o te hoa tata, katahi ano ka taea e nga kaiwhakahaere waea tuara. he raruraru, i te nuinga o te wa kaore te ping e whakaatu i nga korero hou mo te uru ki te whatunga ao.
Mena kei nga kaiwhakarato me nga kaporeihana nui te kawa ararere hihiko BGP, me whakaaro takitahi nga kaiwhakamahi o te kaainga me te tari me pehea te tirotiro i te urunga Ipurangi ma tetahi hongere korero motuhake.

Ko te tikanga, ka whakamahia nga tuhinga, na roto i tetahi hongere korero, tirohia te waatea o tetahi wahitau ip i runga i te Ipurangi, i te wa e whiriwhiri ana i tetahi mea pono, hei tauira, google dns: 8.8.8.8. 8.8.4.4. Engari i roto i te hapori Mikrotik, he taputapu pai ake kua whakarereketia mo tenei.

He kupu torutoru mo te ararere recursive
Ko te ararere recursive e tika ana i te wa e hangai ana te Multihop BGP me te uru ki roto i te tuhinga mo nga kaupapa o te ararere pateko anake na te mohio o nga kaiwhakamahi MikroTik i whakaaro me pehea te whakamahi i nga huarahi recursive e hono ana me te kuaha haki ki te huri i nga waahana korero kaore he tuhinga taapiri.

Kua tae ki te wa ki te mohio ki nga whiringa whaanui / whaanui i nga waahanga whanui me te pehea e herea ai te huarahi ki te atanga:

1. Ka rapua e te ara he atanga hei tuku i te paatete i runga i tona uara awhi me nga urunga katoa i te ripanga matua iti iho i te rite ranei nga uara mokowhiti.
2. Mai i nga atanga kua kitea, ko te mea e taea ai e koe te tuku putea ki te kuaha kua tohua ka tohua
3. Ko te atanga o te urunga hono kua kitea kua tohua hei tuku i te kete ki te kuaha

I te aroaro o te huarahi recursive, ka rite nga mea katoa, engari i nga waahanga e rua:

• 1-3 Ka taapirihia tetahi ara ki nga ara hono, ma reira ka tae atu ki te kuaha kua tohua
• 4-6 Te rapu i te ara hono mo te keeti "takawaenga".

Ko nga raweketanga katoa me te rapu recursive ka puta ki te RIB, a ko te hua whakamutunga ka tukuna ki te FIB: 0.0.0.0/0 via 10.10.10.1 on ether1.

He tauira mo te whakamahi ararere recursive ki te huri ara

Whirihoranga:

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

Ka taea e koe te tirotiro ka tukuna nga kete ki te 10.10.10.1:

Karekau he mohio mo te ararere recursive me te tuku pings ki te 8.8.8.8 (i runga i te ripanga matua) ka uru mai ma te keeti 10.10.10.1.

Mena ka ngaro te whakawhitiwhiti korero i waenga i te 10.10.10.1 me te 8.8.8.8, ka momotuhia te huarahi, engari ka haere tonu nga paatete (tae atu ki nga ping whakamatautau) ki te 8.8.8.8 ki te 10.10.10.1:

Mena kua ngaro te hono ki te ether1, ka puta he ahuatanga kino ina haere nga paakete i mua i te 8.8.8.8 ki te kaiwhakarato tuarua:

He raru tenei mena kei te whakamahi koe i te NetWatch ki te whakahaere i nga tuhinga kaore i te waatea te 8.8.8.8. Mena kua pakaru te hononga, ka mahi noa a NetWatch i roto i te hongere korero taapiri ka whakaaro he pai nga mea katoa. Kua whakatauhia ma te taapiri i tetahi atu ara tātari:

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

Kei runga habré tuhinga, kei reira nga ahuatanga me NetWatch e whakaarohia ana i roto i etahi atu korero.

Ae, i te wa e whakamahi ana i taua rahui, ka whakapakeketia te wahitau 8.8.8.8 ki tetahi o nga kaiwhakarato, no reira ehara i te mea pai te whiriwhiri hei puna dns.

He kupu torutoru mo te Ararere Mariko me te Whakamua (VRF)

I hangaia te hangarau VRF ki te hanga i etahi pouara mariko i roto i te kotahi tinana, e whakamahia whanuitia ana tenei hangarau e nga kaiwhakahaere waea (te nuinga o te taha ki te MPLS) ki te whakarato ratonga L3VPN ki nga kaihoko me nga wahitau oroiti inaki:

Engari ko te VRF i Mikrotik kua whakaritea i runga i nga tepu ararere me te maha o nga ngoikoretanga, hei tauira, kei te waatea nga wahitau IP o te pouara mai i nga VRF katoa, ka taea e koe te panui atu hono.

tauira whirihoranga vrf:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

Mai i te taputapu e hono ana ki te ether2, ka kite tatou ka haere te ping ki te wahitau pouara mai i tetahi atu vrf (a he raru tenei), karekau te ping e haere ki te Ipurangi:

Hei uru atu ki te Ipurangi, me rehita koe i tetahi atu ara e uru atu ana ki te tepu matua (i roto i nga kupu vrf, ka kiia tenei ko te riihi ara):

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

Anei nga huarahi e rua mo te turuturu ara: te whakamahi i te ripanga ararere: 172.17.0.1@main me te whakamahi ingoa atanga: 172.17.0.1%wlan1.

Na ka whakarite tohu mo te hokinga mai ki roto [PREROUTING|Mangle]:

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no 

Nga kupengaroto he rite tonu te wahitau
Whakaritenga mo te uru ki nga kupenga-roto he rite te korero i runga i te pouara kotahi ma te whakamahi i te VRF me te mahere kupenga:

whirihoranga taketake:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

ture pātūahi:

#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

Nga ture ararere mo te hokinga waka:

#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

Te taapiri i nga ara i whiwhi ma te dhcp ki tetahi ripanga ararere
Ka rawe te VRF mena ka hiahia koe ki te taapiri aunoa i tetahi ara hihiri (hei tauira, mai i te kiritaki dhcp) ki tetahi ripanga ararere motuhake.

Te taapiri atanga ki te vrf:

/ip route vrf
add interface=ether1 routing-mark=over-isp1

Nga ture mo te tuku waka (whakaputa me te whakawhiti) ma te ripanga over-isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

Tāpiri, ara rūpahu mō te ararere ki waho ki te mahi:

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

Ko tenei huarahi anake e hiahiatia ana kia taea e nga paatete puta atu o te rohe te whakawhiti i te whakatau Ararere (2) i mua [OUTPUT|Mangle] me te tiki i te tapanga ararere, mena he huarahi kaha ano kei runga i te pouara i mua i te 0.0.0.0/0 i te ripanga matua, kaore e hiahiatia.

Chain connected-in и dynamic-in в [Routing] -> [Filters]

Ko te tātari ara (roto me waho) he taputapu e whakamahia tahi ana me nga tikanga ararere hihiri (na reira ka waatea noa i muri i te whakaurunga o te kete. ararere), engari e rua nga mekameka whakamere i roto i nga whiriwhiringa taumai:

• hono-i roto - tātari ara hono
• hihiri-i roto - tātari ara hihiri i whakawhiwhia e PPP me DCHP

Ko te tātari ka taea e koe te whakakore noa i nga huarahi, engari ki te whakarereke i te maha o nga whiringa: te tawhiti, te tohu ararere, te korero, te awhi, te whaainga whaainga, ...

He taputapu tino tika tenei, a mena ka taea e koe te mahi me te kore he Whiriwhiringa Ararere (engari ehara i nga tuhinga), kaua e whakamahi i nga Whiriwhiri Ararere, kaua e pohehe koe me te hunga ka whirihora i te pouara i muri i a koe. I roto i te horopaki o te ararere hihiri, ka kaha ake te whakamahi i nga Whiriwhiri Ararere me te whai hua.

Tautuhi i te Tohu Ararere mo nga Ara Hihiko
He tauira mai i te pouara kaainga. E rua aku hononga VPN kua whirihorahia, me takai nga waka ki roto kia rite ki nga ripanga ararere. I te wa ano, e hiahia ana ahau ki te hanga aunoa i nga huarahi ka whakahohehia te atanga:

#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

Kaore au i te mohio he aha, he bug pea, engari ki te hanga koe i tetahi vrf mo te atanga ppp, ka uru tonu te huarahi ki te 0.0.0.0/0 ki te ripanga matua. Ki te kore, ka ngawari ake nga mea katoa.

Te whakakore i nga huarahi hono
I etahi wa ka hiahiatia tenei:

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

Nga taputapu patuiro

Ka whakaratohia e RouterOS etahi taputapu mo te patuiro ararere:

• [Tool]->[Tourch] - ka taea e koe te tiro i nga paanui i runga i nga atanga
• /ip route check - ka taea e koe te kite ko wai te keeti ka tukuna atu te kete, kaore e mahi me nga ripanga ararere
• /ping routing-table=<name> и /tool traceroute routing-table=<name> - ping me te whakapapa ma te whakamahi i te ripanga ararere kua tohua
• action=log в [IP]->[Firewall] - he taputapu pai e taea ai e koe te whai i te ara o te paatete i te rere o te paatete, kei te waatea tenei mahi i nga mekameka me nga ripanga katoa

Source: will.com