🥇 Основи на статичко рутирање во Mikrotik RouterOS

Рутирањето е процес на пронаоѓање на најдобрата патека за пренос на пакети преку TCP/IP мрежите. Секој уред поврзан на IPv4 мрежа содржи табели за процеси и насочување.

Оваа статија не е HOWTO, таа опишува статичко рутирање во RouterOS со примери, намерно ги испуштив останатите поставки (на пример, srcnat за пристап до Интернет), така што разбирањето на материјалот бара одредено ниво на познавање на мрежи и RouterOS.

Префрлување и рутирање

Префрлувањето е процес на размена на пакети во рамките на еден сегмент Layer2 (Ethernet, ppp, ...). Ако уредот види дека примачот на пакетот е на истата етернет подмрежа со него, тој ја учи mac адресата користејќи го протоколот arp и директно го пренесува пакетот, заобиколувајќи го рутерот. Конекцијата ppp (точка-до-точка) може да има само двајца учесници и пакетот секогаш се испраќа на една адреса 0xff.

Рутирањето е процес на пренос на пакети помеѓу сегментите Layer2. Ако уредот сака да испрати пакет чиј примател е надвор од сегментот на етернет, тој гледа во неговата рутирачка табела и го пренесува пакетот до портата, која знае каде да го испрати пакетот следно (или можеби не знае, оригиналниот испраќач на пакетот не е свесен за ова).

Најлесен начин да се размислува за рутер е како уред поврзан со два или повеќе сегменти Layer2 и способен да пренесува пакети меѓу нив со одредување на најдобрата рута од табелата за насочување.

Ако разбирате сè, или веќе сте знаеле, тогаш прочитајте. За останатите, силно препорачувам да се запознаете со мала, но многу обемна статии.

Рутирање во RouterOS и PacketFlow

Речиси целата функционалност поврзана со статичко рутирање е во пакетот систем. Пластична кеса рутирање додава поддршка за динамични алгоритми за рутирање (RIP, OSPF, BGP, MME), филтри за рутирање и BFD.

Главно мени за поставување на рутирање: [IP]->[Route]. Комплексните шеми може да бараат пакетите да бидат претходно означени со ознака за рутирање во: [IP]->[Firewall]->[Mangle] (синџири PREROUTING и OUTPUT).

Постојат три места на PacketFlow каде што се донесуваат одлуки за рутирање на IP пакети:

Рутирање на пакети добиени од рутерот. Во оваа фаза, се одлучува дали пакетот ќе оди во локалниот процес или ќе биде испратен понатаму до мрежата. Транзитните пакети добиваат Излез интерфејс
Рутирање на локални појдовни пакети. Добиваат појдовни пакети Излез интерфејс
Дополнителен чекор за рутирање за појдовни пакети, ви овозможува да ја промените одлуката за рутирање во [Output|Mangle]

Патеката на пакетите во блоковите 1, 2 зависи од правилата во [IP]->[Route]
Патеката на пакетот во точките 1, 2 и 3 зависи од правилата во [IP]->[Route]->[Rules]
На патеката на пакетот во блоковите 1, 3 може да се влијае со користење [IP]->[Firewall]->[Mangle]

RIB, FIB, Кеш за рутирање

Информативна база за рутирање
Основата во која маршрутите се собираат од протоколи за динамично рутирање, правци од ppp и dhcp, статични и поврзани правци. Оваа база на податоци ги содржи сите правци, освен оние филтрирани од администраторот.

Условно, можеме да претпоставиме дека [IP]->[Route] прикажува RIB.

База за информации за препраќање

Базата во која се собираат најдобрите рути од RIB. Сите правци во FIB се активни и се користат за препраќање пакети. Ако маршрутата стане неактивна (оневозможена од администраторот (системот) или интерфејсот преку кој треба да се испрати пакетот не е активен), рутата се отстранува од FIB.

За да донесе одлука за рутирање, табелата FIB ги користи следниве информации за IP пакет:

Изворна адреса
Адреса на дестинација
изворен интерфејс
Ознака за рутирање
ToS (DSCP)

Влегувањето во пакетот FIB поминува низ следните фази:

Дали пакетот е наменет за процес на локален рутер?
Дали пакетот е предмет на системски или кориснички правила PBR?
- Ако одговорот е да, тогаш пакетот се испраќа до одредената рутирачка табела
Пакетот се испраќа до главната табела

Условно, можеме да претпоставиме дека [IP]->[Route Active=yes] прикажува FIB.

Рутирање кеш
Механизам за кеширање на рута. Рутерот памти каде се испратени пакетите и ако има слични (најверојатно од истата врска) ги пушта да одат по истата рута, без проверка во FIB. Кешот на маршрутата периодично се брише.

За администраторите на RouterOS, тие не направија алатки за прегледување и управување со рутирачката кеш, туку кога може да се оневозможи во [IP]->[Settings].

Овој механизам беше отстранет од кернелот на Linux 3.6, но RouterOS сè уште го користи кернелот 3.3.5, можеби Routing cahce е една од причините.

Дијалог за додавање маршрута

[IP]->[Route]->[+]

Подмрежа за која сакате да креирате рута (стандардно: 0.0.0.0/0)
IP или интерфејс на портата на кој ќе се испрати пакетот (може да има неколку, видете ECMP подолу)
Проверка на достапноста на портата
Тип на запис
Растојание (метричка) за рута
Табела за насочување
IP за локални појдовни пакети преку оваа рута
Целта на опсегот и целниот опсег е напишана на крајот од статијата.

Знамиња на рутата

X - маршрутата е оневозможена од администраторот (disabled=yes)
A - Рутата се користи за испраќање пакети
D - маршрутата е додадена динамично (BGP, OSPF, RIP, MME, PPP, DHCP, Поврзано)
C - Подмрежата е директно поврзана со рутерот
S - Статичка рута
r,b,o,m - Рута додадена од еден од динамичните протоколи за рутирање
B,U,P - Маршрута на филтрирање (отфрла пакети наместо да пренесува)

Што да наведете во портата: ip-адреса или интерфејс?

Системот ви овозможува да ги наведете и двете, додека не пцуе и не дава навестувања дали сте направиле нешто погрешно.

IP адреса
Адресата на портата мора да биде достапна преку Layer2. За Ethernet, ова значи дека рутерот мора да има адреса од истата подмрежа на еден од активните ip интерфејси, за ppp, дека адресата на портата е наведена на еден од активните интерфејси како адреса на подмрежа.
Ако условот за пристапност за Layer2 не е исполнет, рутата се смета за неактивна и не спаѓа во FIB.

интерфејс
Сè е покомплицирано и однесувањето на рутерот зависи од типот на интерфејсот:

PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) врската претпоставува само двајца учесници и пакетот секогаш ќе биде испратен до портата за пренос, ако портата открие дека примачот е самиот тој, тогаш ќе го пренесе пакетот на нејзиниот локален процес.
Ethernet претпоставува присуство на многу учесници и ќе испраќа барања до arp интерфејсот со адресата на примачот на пакетот, ова е очекувано и сосема нормално однесување за поврзаните рути.
Но, кога ќе се обидете да го користите интерфејсот како рута за оддалечена подмрежа, ќе ја добиете следнава ситуација: маршрутата е активна, пинг до портата поминува, но не стигнува до примачот од наведената подмрежа. Ако го погледнете интерфејсот преку трагач, ќе видите arp барања со адреси од оддалечена подмрежа.

Обидете се да ја наведете ip адресата како порта секогаш кога е можно. Исклучок се поврзаните рути (создадени автоматски) и интерфејсите PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN*).

OpenVPN не содржи заглавие PPP, но можете да го користите името на интерфејсот OpenVPN за да креирате рута.

Поконкретна рута

Основно правило за рутирање. Рутата што ја опишува помалата подмрежа (со најголемата маска на подмрежа) има приоритет во одлуката за рутирање на пакетот. Позицијата на записите во рутирачката табела не е релевантна за изборот - главното правило е Поконкретно.

Сите правци од наведената шема се активни (лоцирани во FIB). укажуваат на различни подмрежи и не се во конфликт една со друга.

Ако една од портите стане недостапна, поврзаната рута ќе се смета за неактивна (отстранета од FIB) и ќе се пребаруваат пакетите од преостанатите маршрути.

На рутата со подмрежа 0.0.0.0/0 понекогаш и се дава посебно значење и се нарекува „Стандардна рута“ или „Последна порта“. Всушност, нема ништо магично во него и едноставно ги вклучува сите можни IPv4 адреси, но овие имиња добро ја опишуваат неговата задача - го означува портата каде се препраќаат пакети за кои нема други, попрецизни рути.

Максималната можна маска за подмрежа за IPv4 е /32, оваа рута укажува на одреден хост и може да се користи во табелата за насочување.

Разбирањето на поконкретна рута е од фундаментално значење за секој TCP/IP уред.

Растојание

Потребни се растојанија (или метрика) за административно филтрирање на маршрутите до една подмрежа достапна преку повеќе порти. Маршрута со пониска метрика се смета за приоритет и ќе биде вклучена во FIB. Ако маршрутата со пониска метрика престане да биде активна, тогаш таа ќе биде заменета со маршрута со повисока метрика во FIB.

Ако има неколку правци до истата подмрежа со иста метрика, рутерот ќе додаде само една од нив во табелата FIB, водејќи се од неговата внатрешна логика.

Метриката може да има вредност од 0 до 255:

0 - Метрика за поврзани правци. Растојанието 0 не може да го постави администраторот
1-254 - Метрика достапни на администраторот за поставување маршрути. Метриките со помала вредност имаат поголем приоритет
255 - Метрика достапна за администраторот за поставување маршрути. За разлика од 1-254, рутата со метрика од 255 секогаш останува неактивна и не спаѓа во FIB
специфични метрики. Рутите добиени од протоколи за динамичко рутирање имаат стандардни метрички вредности

проверете го порталот

Check gateway е екстензија на MikroTik RoutesOS за проверка на достапноста на портата преку icmp или arp. Еднаш на секои 10 секунди (не може да се промени), се испраќа барање до портата, ако одговорот не се добие двапати, рутата се смета за недостапна и се отстранува од FIB. Ако портата за проверка е оневозможена, маршрутата за проверка продолжува и маршрутата ќе стане повторно активна по една успешна проверка.

Check gateway го оневозможува записот во кој е конфигуриран и сите други записи (во сите табели за рутирање и ecmp рути) со наведениот портал.

Во принцип, проверете го портата работи добро се додека нема проблеми со загубата на пакети до портата. Проверете го портата не знае што се случува со комуникацијата надвор од проверената порта, ова бара дополнителни алатки: скрипти, рекурзивно рутирање, динамични протоколи за рутирање.

Повеќето VPN и тунел протоколи содржат вградени алатки за проверка на активноста на поврзувањето, овозможувајќи проверка на портата за нив е дополнително (но многу мало) оптоварување на мрежата и перформансите на уредот.

ECMP правци

Мулти-патеки со еднаква цена - испраќање пакети до примачот користејќи неколку порти истовремено користејќи го алгоритмот Round Robin.

ECMP рута ја креира администраторот со назначување на повеќе портали за една подмрежа (или автоматски, ако има две еквивалентни OSPF рути).

ECMP се користи за балансирање на оптоварување помеѓу два канали, во теорија, ако има два канали во маршрутата ecmp, тогаш за секој пакет излезниот канал треба да биде различен. Но, механизмот за рутирање на кешот испраќа пакети од врската долж рутата што ја зеде првиот пакет, како резултат на тоа, добиваме еден вид балансирање врз основа на врски (балансирање на вчитување по конекција).

Ако го оневозможите Routing Cache, тогаш пакетите во маршрутата ECMP ќе бидат правилно споделени, но има проблем со NAT. Правилото NAT го обработува само првиот пакет од врската (останатите се обработуваат автоматски), и излегува дека пакетите со иста изворна адреса оставаат различни интерфејси.

Проверете го портата не работи во правците на ECMP (грешка на RouterOS). Но, можете да го заобиколите ова ограничување со создавање дополнителни рути за валидација што ќе ги оневозможат записите во ECMP.

Филтрирање со помош на рутирање

Опцијата Тип одредува што да прави со пакетот:

unicast - испрати до наведениот портал (интерфејс)
црна дупка - отфрлете пакет
забрани, недостапно - отфрли го пакетот и прати icmp порака до испраќачот

Филтрирањето обично се користи кога е неопходно да се обезбеди испраќање на пакети по погрешна патека, се разбира, можете да го филтрирате ова преку заштитниот ѕид.

Пар примери

Да се консолидираат основните работи за рутирање.

Типичен домашен рутер

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

Статична рута до 0.0.0.0/0 (стандардна рута)
Поврзана рута на интерфејсот со давателот
Поврзана рута на LAN интерфејс

Типичен домашен рутер со PPPoE

Статичка рута до стандардната рута, додадена автоматски. тоа е наведено во својствата на поврзувањето
Поврзана рута за PPP поврзување
Поврзана рута на LAN интерфејс

Типичен домашен рутер со два провајдери и вишок

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

Статичка рута до стандардната рута преку првиот провајдер со метрика 1 и проверка на достапноста на порталот
Статичка рута до стандардната рута преку вториот провајдер со метрика 2
Поврзани правци

Сообраќајот до 0.0.0.0/0 оди преку 10.10.10.1 додека оваа порта е достапна, во спротивно се префрла на 10.20.20.1

Таквата шема може да се смета за резервација на канал, но не е без недостатоци. Ако дојде до прекин надвор од портата на провајдерот (на пример, внатре во мрежата на операторот), вашиот рутер нема да знае за тоа и ќе продолжи да ја смета рутата за активна.

Типичен домашен рутер со два провајдери, вишок и ECMP

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

Статични правци за проверка на влезната врата
ECMP рута
Поврзани правци

Маршрутите за проверка се сини (боја на неактивни маршрути), но тоа не се меша со портата за проверка. Тековната верзија (6.44) на RoS и дава автоматски приоритет на рутата ECMP, но подобро е да се додадат тест правци на други табели за рутирање (опција routing-mark)

На Speedtest и други слични сајтови, нема да има зголемување на брзината (ECMP го дели сообраќајот по врски, а не по пакети), но p2p апликациите треба да се преземаат побрзо.

Филтрирање преку рутирање

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

Статичка рута до стандардната рута
Статичка рута до 192.168.200.0/24 преку ipip тунел
Забранува статичен пат до 192.168.200.0/24 преку рутер на интернет провајдер

Опција за филтрирање во која сообраќајот во тунел нема да оди до рутерот на давателот кога интерфејсот ipip е оневозможен. Вакви шеми ретко се бараат, бидејќи можете да спроведете блокирање преку заштитниот ѕид.

Јамка за рутирање
Јамка за рутирање - ситуација кога пакетот работи помеѓу рутерите пред да истече ttl. Обично тоа е резултат на грешка во конфигурацијата, во големи мрежи се третира со имплементација на протоколи за динамично рутирање, во мали - со внимание.

Изгледа нешто вака:

Пример (наједноставен) за тоа како да се добие сличен резултат:

Примерот за рутирање јамка нема практична употреба, но покажува дека рутерите немаат поим за рутирачката табела на нивниот сосед.

Рутирање на база на политики и дополнителни табели за рутирање

При изборот на рута, рутерот користи само едно поле од заглавието на пакетот (Dst. Address) - ова е основно рутирање. Рутирањето врз основа на други услови, како што се адресата на изворот, типот на сообраќај (ToS), балансирањето без ECMP, припаѓа на рутирањето на базата на политики (PBR) и користи дополнителни табели за рутирање.

Поконкретна рута е главното правило за избор на маршрута во рутирачката табела.

Стандардно, сите правила за рутирање се додаваат во главната табела. Администраторот може да креира произволен број на дополнителни рутирачки табели и да насочува пакети до нив. Правилата во различни табели не се во конфликт едни со други. Ако пакетот не најде соодветно правило во наведената табела, ќе оди во главната табела.

Пример со дистрибуција преку Firewall:

192.168.100.10 -> 8.8.8.8
1. Сообраќајот од 192.168.100.10 добива етикета преку-isp1 в [Prerouting|Mangle]
2. Во фазата на рутирање во табелата преку-isp1 бара рута до 8.8.8.8
3. Пронајдена маршрута, сообраќајот е испратен до портата 10.10.10.1
192.168.200.20 -> 8.8.8.8
1. Сообраќајот од 192.168.200.20 добива етикета преку-isp2 в [Prerouting|Mangle]
2. Во фазата на рутирање во табелата преку-isp2 бара рута до 8.8.8.8
3. Пронајдена маршрута, сообраќајот е испратен до портата 10.20.20.1
Ако една од портите (10.10.10.1 или 10.20.20.1) стане недостапна, тогаш пакетот ќе оди на табелата Главната и таму ќе бара соодветна рута

Терминолошки прашања

RouterOS има одредени терминолошки проблеми.
При работа со правила во [IP]->[Routes] означена е рутирачката табела, иако е напишано дека етикетата:

В [IP]->[Routes]->[Rule] сè е точно, во состојбата на етикетата во дејството на табелата:

Како да испратите пакет до одредена рутирачка табела

RouterOS обезбедува неколку алатки:

Правила во [IP]->[Routes]->[Rules]
Маркери за маршрута (action=mark-routing) во [IP]->[Firewall]->[Mangle]
VRF

прописи [IP]->[Route]->[Rules]
Правилата се обработуваат последователно, ако пакетот одговара на условите на правилото, тој не поминува понатаму.

Правилата за рутирање ви дозволуваат да ги проширите можностите за рутирање, потпирајќи се не само на адресата на примачот, туку и на изворната адреса и интерфејсот на кој е примен пакетот.

Правилата се состојат од услови и акција:

Услови. Практично повторете ја листата на знаци со кои се проверува пакетот во FIB, недостасува само ToS.
Активност
- пребарување - испратете пакет на маса
- пребарување само во табелата - заклучете го пакетот во табелата, ако маршрутата не е пронајдена, пакетот нема да оди на главната табела
- капка - испушти пакет
- недостижно - отфрлете го пакетот со известување за испраќачот

Во FIB, сообраќајот до локалните процеси се обработува заобиколувајќи ги правилата [IP]->[Route]->[Rules]:

означување [IP]->[Firewall]->[Mangle]
Етикетите за рутирање ви дозволуваат да ја поставите портата за пакет користејќи речиси сите услови на Firewall:

Практично, бидејќи не сите од нив имаат смисла, а некои може да работат нестабилно.

Постојат два начини да се означи пакетот:

Веднаш стави ознака за насочување
Стави прво врска-ознака, потоа врз основа на врска-ознака да стави ознака за насочување

Во една статија за заштитните ѕидови, напишав дека се претпочита втората опција. го намалува оптоварувањето на процесорот, во случај на обележување правци - ова не е сосема точно. Овие методи на обележување не се секогаш еквивалентни и обично се користат за решавање на разни проблеми.

Примери на употреба

Ајде да преминеме на примерите за користење на рутирање на базата на политики, тие се многу полесно да покажат зошто е потребно сето ова.

MultiWAN и вратете го појдовниот (Излезен) сообраќај
Чест проблем со конфигурацијата MultiWAN: Mikrotik е достапен од Интернет само преку „активен“ провајдер.

На рутерот не му е гајле до која ip дојде барањето, при генерирање на одговор ќе бара рута во рутирачката табела каде што е активна рутата преку isp1. Понатаму, таков пакет најверојатно ќе се филтрира на патот до примачот.

Уште една интересна точка. Ако е конфигуриран „едноставен“ изворен nat на интерфејсот ether1: /ip fi nat add out-interface=ether1 action=masquerade пакетот ќе оди онлајн со src. адреса=10.10.10.100, што ги прави работите уште полоши.

Постојат неколку начини да се реши проблемот, но за секој од нив ќе бидат потребни дополнителни табели за насочување:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

Користете [IP]->[Route]->[Rules]
Наведете ја рутирачката табела што ќе се користи за пакети со наведената изворна IP IP.

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

Може да се користи action=lookup, но за локалниот појдовен сообраќај, оваа опција целосно ги исклучува врските од погрешниот интерфејс.

Системот генерира пакет за одговор со Src. Адреса: 10.20.20.200
Чекорот за рутирање Одлука(2) проверува [IP]->[Routes]->[Rules] а пакетот се испраќа до рутирачката табела над-isp2
Според рутирачката табела, пакетот мора да се испрати до портата 10.20.20.1 преку интерфејсот ether2

Овој метод не бара работен Tracker за поврзување, за разлика од користењето на табелата Mangle.

Користете [IP]->[Firewall]->[Mangle]
Врската започнува со дојдовен пакет, па го означуваме (action=mark-connection), за појдовни пакети од означена врска, поставете ја ознаката за насочување (action=mark-routing).

/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Ако неколку IP се конфигурирани на еден интерфејс, можете да додадете на условот dst-address да бидете сигурни.

Пакет ја отвора врската на интерфејсот ether2. Пакетот влегува [INPUT|Mangle] кој вели да се означат сите пакети од врската како од-isp2
Системот генерира пакет за одговор со Src. Адреса: 10.20.20.200
Во фазата Routing Decision(2), пакетот, во согласност со рутирачката табела, се испраќа до портата 10.20.20.1 преку интерфејсот ether1. Можете да го потврдите ова со најавување на пакетите [OUTPUT|Filter]
На сцената [OUTPUT|Mangle] ознаката за поврзување е проверена од-isp2 и пакетот добива ознака за рута над-isp2
Чекорот Routing Adjusment(3) проверува присуство на ознака за насочување и ја испраќа до соодветната рутирачка табела
Според рутирачката табела, пакетот мора да се испрати до портата 10.20.20.1 преку интерфејсот ether2

MultiWAN и вратен сообраќај dst-nat

Примерот е покомплициран, што да направите ако има сервер (на пример, веб) зад рутерот на приватна подмрежа и треба да обезбедите пристап до него преку кој било од провајдерите.

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

Суштината на проблемот ќе биде иста, решението е слично на опцијата Firewall Mangle, ќе се користат само други синџири:

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Дијаграмот не покажува NAT, но мислам дека се е јасно.

MultiWAN и излезни врски

Можете да ги користите можностите PBR за да креирате повеќе vpn (SSTP во примерот) конекции од различни интерфејси на рутер.

Дополнителни табели за рутирање:

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

Ознаки на пакувањето:

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

Едноставни NAT правила, инаку пакетот ќе го напушти интерфејсот со погрешен Src. адреса:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

Парсирање:

Рутерот создава три SSTP процеси
Во фазата Одлука за насочување (2), се избира рута за овие процеси врз основа на главната рутирачка табела. Од истата рута, пакетот добива Src. Адресата е врзана за интерфејсот ether1
В [Output|Mangle] пакетите од различни врски добиваат различни ознаки
Пакетите влегуваат во табелите што одговараат на ознаките во фазата на прилагодување на насочување и добиваат нова рута за испраќање пакети
Но пакетите сè уште имаат Src. Обраќање од етер1, на сцена [Nat|Srcnat] адресата се заменува според интерфејсот

Интересно, на рутерот ќе ја видите следната табела за поврзување:

Следачот за поврзување работи порано [Mangle] и [Srcnat], така што сите врски доаѓаат од иста адреса, ако погледнете подетално, тогаш во Replay Dst. Address ќе има адреси по NAT:

На серверот VPN (имам еден на тест клупата), можете да видите дека сите врски доаѓаат од точните адреси:

Чекај начин
Постои полесен начин, можете едноставно да наведете одредена порта за секоја од адресите:

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

Но, таквите рути ќе влијаат не само на појдовниот, туку и на транзитниот сообраќај. Плус, ако не ви треба сообраќај до серверот vpn за да поминете низ несоодветни канали за комуникација, тогаш ќе треба да додадете уште 6 правила на [IP]->[Routes]с type=blackhole. Во претходната верзија - 3 правила во [IP]->[Route]->[Rules].

Дистрибуција на кориснички врски по канали за комуникација

Едноставни, секојдневни задачи. Повторно, ќе бидат потребни дополнителни табели за рутирање:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

Користење [IP]->[Route]->[Rules]

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

Ако користите action=lookup, тогаш кога еден од каналите е оневозможен, сообраќајот ќе оди до главната табела и ќе оди преку работниот канал. Дали ова е неопходно или не, зависи од задачата.

Користење на ознаките во [IP]->[Firewall]->[Mangle]
Едноставен пример со списоци на ip адреси. Во принцип, може да се користат речиси сите услови. Единственото предупредување на layer7, дури и кога е поврзано со етикети за поврзување, може да изгледа дека сè работи правилно, но дел од сообраќајот сепак ќе оди на погрешен пат.

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

Можете да ги „заклучите“ корисниците во една рутирачка табела преку [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

Или преку [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

Повлечете про dst-address-type=!local
Дополнителен услов dst-address-type=!local неопходно е сообраќајот од корисниците да стигне до локалните процеси на рутерот (dns, winbox, ssh, ...). Ако неколку локални подмрежи се поврзани со рутерот, неопходно е да се осигура дека сообраќајот меѓу нив не оди на Интернет, на пример, користејќи dst-address-table.

Во примерот со користење [IP]->[Route]->[Rules] нема такви исклучоци, но сообраќајот допира до локални процеси. Факт е дека влегувањето во пакетот FIB означен во [PREROUTING|Mangle] има ознака на маршрутата и оди во рутирачка табела различна од главната, каде што нема локален интерфејс. Во случај на Правила за рутирање, прво се проверува дали пакетот е наменет за локален процес и само во фазата User PBR тој оди во наведената рутирачка табела.

Користење [IP]->[Firewall]->[Mangle action=route]
Оваа акција работи само во [Prerouting|Mangle] и ви овозможува да го насочите сообраќајот кон наведениот портал без да користите дополнителни табели за рутирање, со директно одредување на адресата на портата:

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

ефект route има помал приоритет од правилата за рутирање ([IP]->[Route]->[Rules]). Во случај на траса ознаки, сè зависи од позицијата на правилата, ако правилото со action=route вреди повеќе од action=mark-route, тогаш ќе се користи (без разлика на знамето passtrough), во спротивно означување на трасата.
Има многу малку информации на викито за оваа акција и сите заклучоци се добиени експериментално, во секој случај, не најдов опции кога користењето на оваа опција дава предности во однос на другите.

Динамичко балансирање базирано на ППЦ

Класификатор за поврзување - е пофлексибилен аналог на ECMP. За разлика од ECMP, тој построго го дели сообраќајот по конекции (ECMP не знае ништо за врските, но кога е спарен со Routing Cache, се добива нешто слично).

PCC зема наведените полиња од насловот на ip, ги претвора во 32-битна вредност и се дели со именител. Остатокот од поделбата се споредува со наведеното остаток и ако се совпаѓаат, тогаш се применува наведеното дејство. Повеќе. Звучи лудо, но функционира.

Пример со три адреси:

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

Пример за динамична дистрибуција на сообраќај по src.адреса помеѓу три канали:

#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

При обележување маршрути, постои дополнителен услов: in-interface=br-lan, без него под action=mark-routing сообраќајот за одговор од Интернет ќе добие и, во согласност со табелите за рутирање, ќе се врати кај давателот.

Префрлување канали за комуникација

Проверете го пинг е добра алатка, но ја проверува само врската со најблиската IP-врска, мрежите на провајдерите обично се состојат од голем број рутери и може да дојде до прекин на врската надвор од најблискиот врсник, а потоа има телекомуникациски оператори кои исто така може имате проблеми, генерално, пинг-от за проверка не покажува секогаш ажурирани информации за пристап до глобалната мрежа.
Ако провајдерите и големите корпорации имаат протокол за динамичко рутирање BGP, тогаш домашните и канцелариските корисници треба самостојно да сфатат како да го проверат пристапот до Интернет преку одреден канал за комуникација.

Вообичаено, се користат скрипти кои преку одреден канал за комуникација ја проверуваат достапноста на ip адреса на Интернет, притоа избирајќи нешто доверливо, на пример, google dns: 8.8.8.8. 8.8.4.4. Но, во заедницата Микротик, за ова е прилагодена поинтересна алатка.

Неколку зборови за рекурзивното рутирање
Рекурзивното рутирање е неопходно при градење на Multihop BGP peering и навлезе во написот за основите на статичното рутирање само поради лукавите корисници на MikroTik кои сфатија како да користат рекурзивни правци спарени со проверка на порталот за да ги префрлат каналите за комуникација без дополнителни скрипти.

Време е да се разберат опциите за опфатот / целниот опсег во општи термини и како рутата е поврзана со интерфејсот:

Рутата бара интерфејс за да го испрати пакетот врз основа на неговата вредност на опсегот и сите записи во главната табела со помали или еднакви вредности на целниот опсег
Од пронајдените интерфејси се избира оној преку кој можете да испратите пакет до наведената порта
Интерфејсот на пронајдениот поврзан запис е избран за испраќање на пакетот до портата

Во присуство на рекурзивна рута, сè се случува исто, но во две фази:

1-3 На поврзаните правци се додава уште една рута, преку која може да се стигне до наведената порта
4-6 Наоѓање на поврзаната рута за „средната“ порта

Сите манипулации со рекурзивното пребарување се случуваат во RIB, а само конечниот резултат се пренесува во FIB: 0.0.0.0/0 via 10.10.10.1 on ether1.

Пример за користење на рекурзивно рутирање за префрлување на рути

Конфигурација:

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

Можете да проверите дали пакетите ќе бидат испратени на 10.10.10.1:

Check gateway не знае ништо за рекурзивното рутирање и едноставно испраќа пингови до 8.8.8.8, кој (врз основа на главната табела) е достапен преку портата 10.10.10.1.

Ако дојде до губење на комуникацијата помеѓу 10.10.10.1 и 8.8.8.8, тогаш маршрутата е исклучена, но пакетите (вклучувајќи тест пинг) до 8.8.8.8 продолжуваат да минуваат низ 10.10.10.1:

Ако врската со ether1 е изгубена, тогаш се појавува непријатна ситуација кога пакетите пред 8.8.8.8 минуваат низ вториот провајдер:

Ова е проблем ако користите NetWatch за извршување на скрипти кога 8.8.8.8 не е достапна. Ако врската е прекината, NetWatch едноставно ќе работи преку резервниот комуникациски канал и ќе претпостави дека сè е во ред. Решено со додавање дополнителна рута на филтер:

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

Има на habré Член, каде подетално се разгледува ситуацијата со NetWatch.

И да, кога се користи таква резервација, адресата 8.8.8.8 ќе биде поврзана со еден од провајдерите, така што изборот на неа како извор на dns не е добра идеја.

Неколку зборови за виртуелно рутирање и препраќање (VRF)

Технологијата VRF е дизајнирана да создаде неколку виртуелни рутери во еден физички, оваа технологија е широко користена од телекомуникациските оператори (обично во врска со MPLS) за да обезбеди L3VPN услуги на клиентите со преклопувачки адреси на подмрежа:

Но, VRF во Mikrotik е организиран врз основа на табели за насочување и има голем број на недостатоци, на пример, локалните ip адреси на рутерот се достапни од сите VRFs, можете да прочитате повеќе по ссылке.

Пример за конфигурација vrf:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

Од уредот поврзан на ether2, гледаме дека пинг оди до адресата на рутерот од друг vrf (и ова е проблем), додека пинг не оди на Интернет:

За да пристапите на Интернет, треба да регистрирате дополнителна рута што пристапува до главната табела (во терминологијата vrf, ова се нарекува протекување на рутата):

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

Еве два начини на протекување на маршрутата: користење на рутирачката табела: 172.17.0.1@main и користејќи име на интерфејс: 172.17.0.1%wlan1.

И поставете ознака за повратен сообраќај [PREROUTING|Mangle]:

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no

Подмрежи со иста адреса
Организација на пристап до подмрежи со исто адресирање на истиот рутер користејќи VRF и netmap:

Основна конфигурација:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

правила за заштитен ѕид:

#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

Правила за рутирање за повратен сообраќај:

#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

Додавање маршрути добиени преку dhcp на дадена рутирачка табела
VRF може да биде интересен ако треба автоматски да додадете динамична рута (на пример, од dhcp клиент) на одредена рутирачка табела.

Додавање интерфејс во vrf:

/ip route vrf
add interface=ether1 routing-mark=over-isp1

Правила за испраќање сообраќај (појдовен и транзитен) низ табелата над-isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

Дополнителна, лажна рута за излезно рутирање до работа:

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

Оваа рута е потребна само за локалните појдовни пакети да можат претходно да поминат низ одлуката за рутирање (2). [OUTPUT|Mangle] и земете ја ознаката за рутирање, ако има други активни рути на рутерот пред 0.0.0.0/0 во главната табела, тоа не е потребно.

Синџири `connected-in` и `dynamic-in` в `[Routing] -> [Filters]`

Филтрирање рути (влезни и излезни) е алатка која обично се користи заедно со протоколи за динамичко рутирање (и затоа е достапна само по инсталирањето на пакетот рутирање), но има два интересни синџири во дојдовните филтри:

поврзани-во — филтрирање поврзани маршрути
динамично-во - филтрирање динамички правци добиени од PPP и DCHP

Филтрирањето ви овозможува не само да ги отфрлите маршрутите, туку и да промените голем број опции: растојание, ознака за насочување, коментар, опсег, целен опсег, ...

Ова е многу прецизна алатка и ако можете да направите нешто без филтри за рутирање (но не скрипти), тогаш не користете филтри за рутирање, не се збунувајте себе си и оние кои ќе го конфигурираат рутерот после вас. Во контекст на динамичкото рутирање, филтрите за рутирање ќе се користат многу почесто и попродуктивно.

Поставување на ознаката за насочување за динамички маршрути
Пример од домашен рутер. Имам конфигурирани две VPN конекции и сообраќајот во нив треба да биде завиткан во согласност со табелите за насочување. Во исто време, сакам рутите да се креираат автоматски кога интерфејсот е активиран:

#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

Не знам зошто, веројатно грешка, но ако креирате vrf за интерфејсот ppp, тогаш рутата до 0.0.0.0/0 сепак ќе влезе во главната табела. Во спротивно, сè би било уште полесно.

Оневозможување на поврзани рути
Понекогаш ова е потребно:

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

Алатки за дебагирање

RouterOS обезбедува голем број алатки за дебагирање на рутирање:

[Tool]->[Tourch] - ви овозможува да гледате пакети на интерфејси
/ip route check - ви овозможува да видите до која порта ќе се испрати пакетот, не работи со табели за насочување
/ping routing-table=<name> и /tool traceroute routing-table=<name> - пинг и следење со помош на наведената рутирачка табела
action=log в [IP]->[Firewall] - одлична алатка која ви овозможува да ја следите патеката на пакетот долж протокот на пакети, оваа акција е достапна во сите синџири и табели

Извор: www.habr.com

Основи на статичко рутирање во Mikrotik RouterOS