🥇 Mikrotik RouterOS वर मल्टीव्हन आणि राउटिंग

परिचय

रशियन भाषिक टेलिग्राम समुदायाच्या प्रोफाइल गटांमध्ये या विषयावरील प्रश्नांच्या निराशाजनक वारंवारतेमुळे, व्यर्थता व्यतिरिक्त, लेख घेण्यास सूचित केले गेले. लेखाचा उद्देश नवशिक्या Mikrotik RouterOS (यापुढे ROS म्हणून संदर्भित) प्रशासकांसाठी आहे. हे केवळ मल्टीव्हॅनशी संबंधित आहे, ज्यामध्ये रूटिंगवर जोर दिला जातो. बोनस म्हणून, सुरक्षित आणि सोयीस्कर ऑपरेशन सुनिश्चित करण्यासाठी किमान पुरेशी सेटिंग्ज आहेत. जे लोक रांगा, लोड बॅलन्सिंग, व्लान्स, पूल, चॅनेलच्या स्थितीचे बहु-स्तरीय सखोल विश्लेषण आणि यासारख्या विषयांचे प्रकटीकरण शोधत आहेत - वाचन वेळ आणि श्रम वाया घालवू शकत नाहीत.

स्रोत डेटा

चाचणी विषय म्हणून, ROS आवृत्ती 6.45.3 सह पाच-पोर्ट Mikrotik राउटर निवडले गेले. हे दोन स्थानिक नेटवर्क (LAN1 आणि LAN2) आणि तीन प्रदाते (ISP1, ISP2, ISP3) दरम्यान रहदारीला मार्गस्थ करेल. ISP1 च्या चॅनेलमध्ये स्थिर "राखाडी" पत्ता आहे, ISP2 - "पांढरा", DHCP, ISP3 - PPPoE अधिकृततेसह "पांढरा" द्वारे प्राप्त केला जातो. कनेक्शन आकृती आकृतीमध्ये दर्शविली आहे:

योजनेवर आधारित एमटीके राउटर कॉन्फिगर करणे हे कार्य आहे जेणेकरून:

बॅकअप प्रदात्याकडे स्वयंचलित स्विचिंग प्रदान करा. मुख्य प्रदाता ISP2 आहे, पहिला राखीव ISP1 आहे, दुसरा राखीव ISP3 आहे.
फक्त ISP1 द्वारे इंटरनेटवर LAN1 नेटवर्क प्रवेश आयोजित करा.
अॅड्रेस-लिस्टवर आधारित निवडलेल्या प्रदात्याद्वारे स्थानिक नेटवर्कवरून इंटरनेटवर रहदारी रूट करण्याची क्षमता प्रदान करा.
स्थानिक नेटवर्कवरून इंटरनेट (DSTNAT) वर सेवा प्रकाशित करण्याची शक्यता प्रदान करा
इंटरनेटवरून किमान पुरेशी सुरक्षा प्रदान करण्यासाठी फायरवॉल फिल्टर सेट करा.
निवडलेल्या स्त्रोत पत्त्यावर अवलंबून, राउटर तीनपैकी कोणत्याही प्रदात्याद्वारे स्वतःची रहदारी जारी करू शकतो.
रिस्पॉन्स पॅकेट ज्या चॅनलमधून आले होते (लॅनसह) त्या चॅनेलवर राउट केले असल्याची खात्री करा.

टिप्पणी. आम्‍ही राउटर "स्क्रॅचपासून" कॉन्फिगर करू जेणेकरुन सुरुवातीच्या कॉन्फिगरेशनमध्ये "आउट ऑफ द बॉक्स" मध्ये आश्चर्यचकित नसल्याची हमी दिली जाईल जी आवृत्ती ते आवृत्ती बदलते. Winbox एक कॉन्फिगरेशन साधन म्हणून निवडले होते, जेथे बदल दृश्यमानपणे प्रदर्शित केले जातील. सेटिंग्ज स्वतः Winbox टर्मिनलमधील कमांडद्वारे सेट केल्या जातील. कॉन्फिगरेशनसाठी भौतिक कनेक्शन Ether5 इंटरफेसशी थेट कनेक्शनद्वारे केले जाते.

मल्टीव्हॅन म्हणजे काय, ही एक समस्या आहे किंवा षड्यंत्र नेटवर्क विणण्यासाठी धूर्त स्मार्ट लोक आहेत याबद्दल थोडा तर्क

एक जिज्ञासू आणि लक्ष देणारा प्रशासक, स्वतःहून अशी किंवा तत्सम योजना तयार करतो, अचानक अचानक लक्षात येते की ती आधीच सामान्यपणे कार्यरत आहे. होय, होय, आपल्या सानुकूल रूटिंग सारण्या आणि इतर मार्ग नियमांशिवाय, जे या विषयावरील बहुतेक लेखांनी भरलेले आहेत. चला तपासूया?

आम्ही इंटरफेस आणि डीफॉल्ट गेटवेवर पत्ता कॉन्फिगर करू शकतो? होय:

ISP1 वर, पत्ता आणि गेटवे नोंदणीकृत होते अंतर = 2 и check-gateway=ping.
ISP2 वर, डीफॉल्ट dhcp क्लायंट सेटिंग - त्यानुसार, अंतर एक समान असेल.
Pppoe क्लायंट सेटिंग्जमध्ये ISP3 वर जेव्हा add-default-route=होय टाकणे डिफॉल्ट-मार्ग-अंतर=3.

बाहेर पडताना NAT ची नोंदणी करण्यास विसरू नका:

/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN

परिणामी, स्थानिक साइटच्या वापरकर्त्यांना मुख्य ISP2 प्रदात्याद्वारे मांजरी डाउनलोड करण्यात मजा येते आणि यंत्रणा वापरून चॅनेल आरक्षण आहे. गेटवे तपासा टीप 1 पहा

टास्कचा पॉइंट 1 अंमलात आणला आहे. त्याच्या गुणांसह मल्टीव्हन कुठे आहे? नाही…

पुढील. तुम्हाला LAN वरून ISP1 द्वारे विशिष्ट क्लायंट सोडण्याची आवश्यकता आहे:

/ip firewall mangle add action=route chain=prerouting dst-address-list=!BOGONS
passthrough=yes route-dst=100.66.66.1 src-address-list=Via_ISP1
/ip firewall mangle add action=route chain=prerouting dst-address-list=!BOGONS
passthrough=no route-dst=100.66.66.1 src-address=192.168.88.0/24

कार्याचे आयटम 2 आणि 3 कार्यान्वित केले गेले आहेत. लेबल, शिक्के, मार्ग नियम, तुम्ही कुठे आहात ?!

इंटरनेटवरील क्लायंटसाठी 172.17.17.17 पत्त्यासह आपल्या आवडत्या OpenVPN सर्व्हरवर प्रवेश करण्याची आवश्यकता आहे? कृपया:

/ip क्लाउड सेट ddns-enabled=होय

एक सरदार म्हणून, आम्ही क्लायंटला आउटपुट परिणाम देतो: “:पुट [ip cloud get dns-name]"

आम्ही इंटरनेटवरून पोर्ट फॉरवर्डिंगची नोंदणी करतो:

/ip फायरवॉल nat add action=dst-nat chain=dstnat dst-port=1194
in-interface-list=WAN protocol=udp to-addresses=172.17.17.17

आयटम 4 तयार आहे.

आम्ही पॉइंट 5 साठी फायरवॉल आणि इतर सुरक्षा सेट केली आहे, त्याच वेळी आम्हाला आनंद आहे की सर्व काही आधीच वापरकर्त्यांसाठी कार्य करत आहे आणि आम्ही आवडत्या पेयासह कंटेनरसाठी पोहोचलो ...
ए! बोगदे विसरले आहेत.

l2tp-client, google article द्वारे कॉन्फिगर केलेले, तुमच्या आवडत्या डच VDS वर वाढले आहे? होय.
IPsec सह l2tp-सर्व्हर वाढला आहे आणि IP क्लाउडवरून DNS-नावाचे क्लायंट (वर पहा.) चिकटून आहेत? होय.
आमच्या खुर्चीवर मागे झुकून, पेय पिऊन, आम्ही आळशीपणे कार्याचे गुण 6 आणि 7 विचारात घेतो. आम्हाला वाटते - आम्हाला याची गरज आहे का? सर्व समान, ते त्याप्रमाणे कार्य करते (c) ... म्हणून, जर अद्याप त्याची आवश्यकता नसेल, तर ते आहे. मल्टीव्हॅन लागू केले.

मल्टीव्हन म्हणजे काय? हे एका राउटरशी अनेक इंटरनेट चॅनेलचे कनेक्शन आहे.

तुम्हाला लेख पुढे वाचण्याची गरज नाही, कारण संदिग्ध लागू करण्याव्यतिरिक्त काय असू शकते?

जे शिल्लक आहेत, ज्यांना टास्कच्या 6 आणि 7 मुद्द्यांमध्ये रस आहे आणि परिपूर्णतेची खाज देखील जाणवते, आम्ही आणखी खोलवर जाऊ.

मल्टीव्हॅनची अंमलबजावणी करण्याचे सर्वात महत्वाचे कार्य म्हणजे योग्य ट्रॅफिक रूटिंग. म्हणजे: जे (किंवा जे) पहा. टीप 3 आमच्या राउटरवर आयएसपीचे चॅनेल डीफॉल्ट मार्ग पाहतात, ते पॅकेट ज्या चॅनेलवरून आले होते त्यास प्रतिसाद दिला पाहिजे. कार्य स्पष्ट आहे. अडचण कुठे आहे? खरंच, साध्या स्थानिक नेटवर्कमध्ये, कार्य समान आहे, परंतु कोणालाही अतिरिक्त सेटिंग्जचा त्रास होत नाही आणि त्रास होत नाही. फरक असा आहे की इंटरनेटवरील कोणताही राउटेबल नोड आमच्या प्रत्येक चॅनेलद्वारे प्रवेश करण्यायोग्य आहे, आणि एका साध्या LAN प्रमाणे काटेकोरपणे विशिष्टद्वारे नाही. आणि “समस्या” अशी आहे की जर आमच्याकडे ISP3 च्या IP पत्त्यासाठी विनंती आली, तर आमच्या बाबतीत उत्तर ISP2 चॅनेलद्वारे जाईल, कारण डीफॉल्ट गेटवे तेथे निर्देशित केला जातो. पाने आणि प्रदात्याद्वारे चुकीचे म्हणून टाकून दिले जातील. समस्या ओळखण्यात आली आहे. ते कसे सोडवायचे?

उपाय तीन टप्प्यात विभागलेला आहे:

प्रीसेटिंग. या टप्प्यावर, राउटरच्या मूलभूत सेटिंग्ज सेट केल्या जातील: स्थानिक नेटवर्क, फायरवॉल, पत्ता सूची, हेअरपिन NAT इ.
मल्टीव्हन. या टप्प्यावर, आवश्यक कनेक्शन चिन्हांकित केले जातील आणि राउटिंग टेबलमध्ये क्रमवारी लावले जातील.
ISP शी कनेक्ट करत आहे. या टप्प्यावर, इंटरनेटला कनेक्शन प्रदान करणारे इंटरफेस कॉन्फिगर केले जातील, रूटिंग आणि इंटरनेट चॅनेल आरक्षण यंत्रणा सक्रिय केली जाईल.

1. प्रीसेटिंग

१.१. आम्ही कमांडसह राउटर कॉन्फिगरेशन साफ करतो:

/system reset-configuration skip-backup=yes no-defaults=yes

सहमत "धोकादायक! तरीही रीसेट करायचे? [y/N]:” आणि, रीबूट केल्यानंतर, आम्ही MAC द्वारे Winbox शी कनेक्ट करतो. या टप्प्यावर, कॉन्फिगरेशन आणि वापरकर्ता बेस साफ केला जातो.

१.२. नवीन वापरकर्ता तयार करा:

/user add group=full name=knight password=ultrasecret comment=”Not horse”

त्याखाली लॉग इन करा आणि डीफॉल्ट हटवा:

/user remove admin

टिप्पणी. डीफॉल्ट वापरकर्त्याला काढून टाकणे आणि अक्षम न करणे हे लेखक सुरक्षित मानतात आणि वापरण्यासाठी शिफारस करतात.

१.३. फायरवॉल, शोध सेटिंग्ज आणि इतर MAC सर्व्हरमध्ये काम करण्याच्या सोयीसाठी आम्ही मूलभूत इंटरफेस सूची तयार करतो:

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

टिप्पण्यांसह इंटरफेस साइन करणे

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

आणि इंटरफेस याद्या भरा:

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

टिप्पणी. समजण्यायोग्य टिप्पण्या लिहिणे यावर घालवलेल्या वेळेचे मूल्य आहे, तसेच ते समस्यानिवारण आणि कॉन्फिगरेशन समजून घेणे मोठ्या प्रमाणात सुलभ करते.

लेखक सुरक्षिततेच्या कारणास्तव, "WAN" इंटरफेस सूचीमध्ये ether3 इंटरफेस जोडणे आवश्यक मानतो, तरीही ip प्रोटोकॉल त्यातून जाणार नाही.

हे विसरू नका की इथर3 वर पीपीपी इंटरफेस वाढवल्यानंतर, त्याला इंटरफेस सूची "WAN" मध्ये देखील जोडणे आवश्यक आहे.

१.४. आम्ही MAC द्वारे प्रदाता नेटवर्कवरून अतिपरिचित शोध आणि नियंत्रणापासून राउटर लपवतो:

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

१.५. आम्ही राउटरचे संरक्षण करण्यासाठी फायरवॉल फिल्टर नियमांचा किमान पुरेसा संच तयार करतो:

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(नियम स्थापित केलेल्या आणि संबंधित कनेक्शनसाठी परवानगी प्रदान करतो जे कनेक्ट केलेल्या नेटवर्क आणि राउटरपासूनच सुरू केले जातात)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(पिंग आणि फक्त पिंग नाही. सर्व icmp ला परवानगी आहे. MTU समस्या शोधण्यासाठी खूप उपयुक्त)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(इनपुट चेन बंद करणारा नियम इंटरनेटवरून येणार्‍या इतर सर्व गोष्टींना मनाई करतो)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(नियम स्थापित आणि संबंधित कनेक्शनला परवानगी देतो जे राउटरमधून जातात)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(नियम कनेक्शन-स्टेट=अवैध राउटरमधून जाणाऱ्या कनेक्शनसह रीसेट करतो. मिक्रोटिकने याची जोरदार शिफारस केली आहे, परंतु काही दुर्मिळ परिस्थितींमध्ये ते उपयुक्त रहदारी अवरोधित करू शकते)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(नियम इंटरनेटवरून आलेल्या पॅकेट्सना प्रतिबंधित करतो आणि राउटरमधून जाण्यासाठी dstnat प्रक्रिया पार केली नाही. हे स्थानिक नेटवर्कला घुसखोरांपासून संरक्षण करेल जे आमच्या बाह्य नेटवर्कसह समान प्रसारण डोमेनमध्ये असल्याने, आमच्या बाह्य IP ची नोंदणी करतील. गेटवे आणि अशा प्रकारे आमचे स्थानिक नेटवर्क "एक्सप्लोर" करण्याचा प्रयत्न करा.)

टिप्पणी. LAN1 आणि LAN2 नेटवर्क विश्वासार्ह आहेत असे गृहीत धरू या आणि त्यांतील व त्यांच्यातील रहदारी फिल्टर केलेली नाही.

१.६. नॉन-रूटेबल नेटवर्कच्या सूचीसह एक सूची तयार करा:

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(ही पत्ते आणि नेटवर्कची सूची आहे जी इंटरनेटवर राउटेबल नाहीत आणि त्यानुसार त्यांचे अनुसरण केले जाईल.)

टिप्पणी. सूची बदलाच्या अधीन आहे, म्हणून मी तुम्हाला वेळोवेळी प्रासंगिकता तपासण्याचा सल्ला देतो.

१.७. राउटरसाठीच DNS सेट करा:

/ip dns set servers=1.1.1.1,8.8.8.8

टिप्पणी. ROS च्या सध्याच्या आवृत्तीमध्ये, डायनॅमिक सर्व्हरला स्थिर सर्व्हरपेक्षा प्राधान्य दिले जाते. यादीतील क्रमाने नाव रिझोल्यूशन विनंती पहिल्या सर्व्हरला पाठविली जाते. जेव्हा वर्तमान अनुपलब्ध असेल तेव्हा पुढील सर्व्हरवर संक्रमण केले जाते. कालबाह्य मोठा आहे - 5 सेकंदांपेक्षा जास्त. परत येणे, जेव्हा “पडलेला सर्व्हर” पुन्हा सुरू होतो, तेव्हा आपोआप होत नाही. हा अल्गोरिदम आणि मल्टीव्हॅनची उपस्थिती लक्षात घेता, लेखक प्रदात्यांद्वारे प्रदान केलेले सर्व्हर न वापरण्याची शिफारस करतो.

१.८. स्थानिक नेटवर्क सेट करा.
१.८.१. आम्ही LAN इंटरफेसवर स्थिर IP पत्ते कॉन्फिगर करतो:

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

१.८.२. आम्ही मुख्य रूटिंग टेबलद्वारे आमच्या स्थानिक नेटवर्कच्या मार्गांसाठी नियम सेट करतो:

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

टिप्पणी. डीफॉल्ट मार्गावरून न जाणार्‍या राउटर इंटरफेसच्या बाह्य IP पत्त्यांच्या स्त्रोतांसह LAN पत्त्यांमध्ये प्रवेश करण्याचा हा एक जलद आणि सोपा मार्ग आहे.

१.८.३. LAN1.8.3 आणि LAN1 साठी हेअरपिन NAT सक्षम करा:

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

टिप्पणी. हे तुम्हाला नेटवर्कमध्ये असताना बाह्य IP द्वारे तुमच्या संसाधनांमध्ये (dstnat) प्रवेश करण्यास अनुमती देते.

2. वास्तविक, अगदी योग्य मल्टीव्हॅनची अंमलबजावणी

"त्यांनी कुठून विचारले याचे उत्तर देणे" या समस्येचे निराकरण करण्यासाठी, आम्ही दोन ROS साधने वापरू: कनेक्शन चिन्ह и मार्ग चिन्ह. कनेक्शन चिन्ह तुम्हाला इच्छित कनेक्शन चिन्हांकित करण्यास आणि नंतर अर्ज करण्याची अट म्हणून या लेबलसह कार्य करण्यास अनुमती देते मार्ग चिन्ह. आणि आधीच सह मार्ग चिन्ह मध्ये काम करणे शक्य आहे आयपी मार्ग и मार्ग नियम. आम्ही साधने शोधून काढली, आता तुम्हाला कोणते कनेक्शन चिन्हांकित करायचे ते ठरवायचे आहे - एकदा, नेमके कुठे चिन्हांकित करायचे - दोन.

पहिल्यासह, सर्वकाही सोपे आहे - आम्ही योग्य चॅनेलद्वारे इंटरनेटवरून राउटरवर येणारे सर्व कनेक्शन चिन्हांकित केले पाहिजेत. आमच्या बाबतीत, ही तीन लेबले असतील (चॅनेलच्या संख्येनुसार): “conn_isp1”, “conn_isp2” आणि “conn_isp3”.

दुस-यामधील सूक्ष्मता अशी आहे की येणारे कनेक्शन दोन प्रकारचे असतील: संक्रमण आणि ते जे राउटरसाठीच आहेत. कनेक्शन चिन्हाची यंत्रणा टेबलमध्ये कार्य करते मंगल. mikrotik-trainings.com संसाधनाच्या तज्ञांनी संकलित केलेल्या सरलीकृत आकृतीवर पॅकेजच्या हालचालीचा विचार करा (जाहिरात नाही):

बाणांचे अनुसरण केल्यावर, आम्ही पाहतो की पॅकेट "येत आहे.इनपुट इंटरफेस", साखळीतून जातो"प्रीरूटिंग"आणि त्यानंतरच ते ब्लॉकमध्ये संक्रमण आणि स्थानिक विभागले गेले आहे"राउटिंग निर्णय" म्हणून, एका दगडात दोन पक्षी मारण्यासाठी, आम्ही वापरतो कनेक्शन मार्क टेबल मध्ये मांगले प्री-राउटिंग साखळ्या प्रीरूटिंग.

टीप. ROS मध्ये, “Routing mark” लेबले Ip/Routes/Rules विभागात “Table” म्हणून आणि इतर विभागांमध्ये “Routing Mark” म्हणून सूचीबद्ध आहेत. हे समजण्यात काही गोंधळ निर्माण करू शकते, परंतु, खरं तर, ही समान गोष्ट आहे आणि लिनक्सवरील iproute2 मधील rt_tables चे अॅनालॉग आहे.

२.१. आम्ही प्रत्येक प्रदात्याकडून येणारे कनेक्शन चिन्हांकित करतो:

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

टिप्पणी. आधीच चिन्हांकित कनेक्शन चिन्हांकित करू नये म्हणून, मी कनेक्शन-स्टेट=नवीऐवजी कनेक्शन-मार्क=नो-मार्क कंडिशन वापरतो कारण मला वाटते की हे अधिक योग्य आहे, तसेच इनपुट फिल्टरमधील अवैध कनेक्शन नाकारणे.

passthrough=no - कारण या अंमलबजावणी पद्धतीमध्ये, री-मार्किंग वगळण्यात आले आहे आणि, वेग वाढवण्यासाठी, तुम्ही पहिल्या सामन्यानंतर नियमांच्या गणनेमध्ये व्यत्यय आणू शकता.

हे लक्षात घेतले पाहिजे की आम्ही अद्याप रूटिंगमध्ये कोणत्याही प्रकारे हस्तक्षेप करत नाही. आता फक्त तयारीचे टप्पे आहेत. अंमलबजावणीचा पुढील टप्पा स्थानिक नेटवर्कमधील गंतव्यस्थानावरून स्थापित कनेक्शनवर परत येणार्‍या ट्रान्झिट ट्रॅफिकची प्रक्रिया असेल. त्या. ते पॅकेट जे (आकृती पहा) मार्गात राउटरमधून गेले:

“इनपुट इंटरफेस”=>”प्रीरूटिंग”=>”राउटिंग निर्णय”=>”फॉरवर्ड”=>”पोस्ट रूटिंग”=>”आउटपुट इंटरफेस” आणि स्थानिक नेटवर्कमध्ये त्यांच्या पत्त्यावर पोहोचलो.

महत्त्वाचे! ROS मध्ये, बाह्य आणि अंतर्गत इंटरफेसमध्ये कोणतेही तार्किक विभाजन नाही. जर आपण वरील आकृतीनुसार प्रतिसाद पॅकेटचा मार्ग शोधला, तर तो विनंतीप्रमाणेच तार्किक मार्गाचा अवलंब करेल:

“इनपुट इंटरफेस”=>”प्रीरूटिंग”=>”राउटिंग निर्णय”=>”फॉरवर्ड”=>”पोस्ट रूटिंग”=>”आउटपुट इंटरफेस” फक्त एका विनंतीसाठी"इनपुट इंटरफेस” हा ISP इंटरफेस होता आणि उत्तरासाठी - LAN

२.२. आम्ही संबंधित राउटिंग टेबल्सवर प्रतिसाद ट्रान्झिट रहदारी निर्देशित करतो:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

टिप्पणी. in-interface-list=!WAN - आम्ही फक्त स्थानिक नेटवर्क आणि dst-address-type=!local वरील रहदारीसह कार्य करतो ज्यात राउटरच्या इंटरफेसच्या पत्त्याचा गंतव्य पत्ता नाही.

मार्गात राउटरवर आलेल्या स्थानिक पॅकेटसाठी समान:

“इनपुट इंटरफेस”=>”प्रीरूटिंग”=>”राउटिंग निर्णय”=>”इनपुट”=>”स्थानिक प्रक्रिया”

महत्त्वाचे! उत्तर खालील प्रकारे जाईल:

"स्थानिक प्रक्रिया" =>"राउटिंग निर्णय" =>"आउटपुट" =>"पोस्ट राउटिंग" =>"आउटपुट इंटरफेस"

२.३. आम्ही स्थानिक रहदारीला संबंधित राउटिंग टेबलवर थेट प्रतिसाद देतो:

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

या टप्प्यावर, ज्या इंटरनेट चॅनेलवरून विनंती आली आहे त्या इंटरनेट चॅनेलला प्रतिसाद पाठविण्याची तयारी करण्याचे कार्य सोडवले जाऊ शकते. सर्व काही चिन्हांकित, लेबल केलेले आणि मार्गासाठी तयार आहे.
दोन्ही (ISP2, ISP3) प्रदात्यांकडून एकाच वेळी DSNAT पोर्ट फॉरवर्डिंगसह कार्य करण्याची क्षमता हा या सेटअपचा एक उत्कृष्ट "साइड" प्रभाव आहे. मुळीच नाही, कारण ISP1 वर आमच्याकडे नॉन-रूटेबल पत्ता आहे. हा प्रभाव महत्त्वाचा आहे, उदाहरणार्थ, भिन्न इंटरनेट चॅनेल पाहणाऱ्या दोन MX सह मेल सर्व्हरसाठी.

बाह्य आयपी राउटरसह स्थानिक नेटवर्कच्या ऑपरेशनमधील बारकावे दूर करण्यासाठी, आम्ही परिच्छेदांमधील उपाय वापरतो. 1.8.2 आणि 3.1.2.6.

याव्यतिरिक्त, आपण समस्येच्या परिच्छेद 3 चे निराकरण करण्यासाठी खुणा असलेले साधन वापरू शकता. आम्ही ते याप्रमाणे अंमलात आणतो:

२.४. आम्ही स्थानिक क्लायंटकडून राउटिंग सूचीमधून योग्य सारण्यांकडे रहदारी निर्देशित करतो:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

परिणामी, ते असे काहीतरी दिसते:

3. ISP ला कनेक्शन सेट करा आणि ब्रँडेड राउटिंग सक्षम करा

३.१. ISP3.1 वर कनेक्शन सेट करा:
3.1.1. स्थिर IP पत्ता कॉन्फिगर करा:

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

३.१.२. स्थिर राउटिंग सेट करा:
3.1.2.1. डीफॉल्ट "आणीबाणी" मार्ग जोडा:

/ip route add comment="Emergency route" distance=254 type=blackhole

टिप्पणी. कोणत्याही प्रदात्याच्या लिंकची स्थिती विचारात न घेता हा मार्ग स्थानिक प्रक्रियेतील रहदारीला मार्ग निर्णयाचा टप्पा पार करण्यास अनुमती देतो. आउटगोइंग लोकल ट्रॅफिकचा महत्त्वाचा मुद्दा असा आहे की पॅकेट किमान कुठेतरी हलवण्यासाठी, मुख्य रूटिंग टेबलमध्ये डीफॉल्ट गेटवेसाठी सक्रिय मार्ग असणे आवश्यक आहे. नसल्यास, पॅकेज फक्त नष्ट होईल.

साधन विस्तार म्हणून गेटवे तपासा चॅनेल स्थितीच्या सखोल विश्लेषणासाठी, मी रिकर्सिव रूट पद्धत वापरण्याचा सल्ला देतो. पद्धतीचा सार असा आहे की आम्ही राउटरला त्याच्या गेटवेचा मार्ग थेट नाही तर मध्यवर्ती गेटवेद्वारे शोधण्यास सांगतो. 4.2.2.1, 4.2.2.2 आणि 4.2.2.3 अनुक्रमे ISP1, ISP2 आणि ISP3 साठी अशा "चाचणी" गेटवे म्हणून निवडले जातील.

३.१.२.२. "सत्यापन" पत्त्याचा मार्ग:

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

टिप्पणी. भविष्यात रिकर्सिव गेटवे म्हणून 4.2.2.1 वापरण्यासाठी आम्ही ROS लक्ष्य स्कोपमधील स्कोप व्हॅल्यू डीफॉल्टवर कमी करतो. मी यावर जोर देतो: “चाचणी” पत्त्याच्या मार्गाची व्याप्ती चाचणीचा संदर्भ देणाऱ्या मार्गाच्या लक्ष्य व्याप्तीपेक्षा कमी किंवा समान असणे आवश्यक आहे.

३.१.२.३. राउटिंग चिन्हाशिवाय रहदारीसाठी आवर्ती डीफॉल्ट मार्ग:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

टिप्पणी. अंतर = 2 मूल्य वापरले जाते कारण कार्य परिस्थितीनुसार ISP1 प्रथम बॅकअप म्हणून घोषित केले जाते.

३.१.२.४. राउटिंग मार्क “to_isp3.1.2.4” सह रहदारीसाठी आवर्ती डीफॉल्ट मार्ग:

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

टिप्पणी. वास्तविक, परिच्छेद २ मध्ये केलेल्या पूर्वतयारी कार्याचे फळ आपण शेवटी उपभोगायला सुरुवात करत आहोत.

या मार्गावर, "to_isp1" चिन्हांकित मार्ग असलेली सर्व रहदारी पहिल्या प्रदात्याच्या गेटवेकडे निर्देशित केली जाईल, मुख्य सारणीसाठी सध्या कोणता डीफॉल्ट गेटवे सक्रिय आहे याची पर्वा न करता.

३.१.२.५. ISP3.1.2.5 आणि ISP2 टॅग केलेल्या रहदारीसाठी प्रथम फॉलबॅक रिकर्सिव डीफॉल्ट मार्ग:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

टिप्पणी. "to_isp*"' अॅड्रेस लिस्टचे सदस्य असलेल्या स्थानिक नेटवर्कवरील रहदारी आरक्षित करण्यासाठी इतर गोष्टींबरोबरच हे मार्ग आवश्यक आहेत.

३.१.२.६. आम्ही ISP3.1.2.6 द्वारे इंटरनेटवर राउटरच्या स्थानिक रहदारीसाठी मार्ग नोंदणी करतो:

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

टिप्पणी. परिच्छेद 1.8.2 मधील नियमांसह, ते दिलेल्या स्त्रोतासह इच्छित चॅनेलमध्ये प्रवेश प्रदान करते. स्थानिक बाजूचा IP पत्ता (EoIP, IP-IP, GRE) निर्दिष्ट करणारे बोगदे बांधण्यासाठी हे महत्त्वाचे आहे. ip रूट नियमांमधील नियम वरपासून खालपर्यंत अंमलात आणले जात असल्याने, अटींचा पहिला सामना होईपर्यंत, हा नियम कलम 1.8.2 मधील नियमांनंतरचा असावा.

३.१.३. आम्ही आउटगोइंग ट्रॅफिकसाठी NAT नियमाची नोंदणी करतो:

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

टिप्पणी. IPsec धोरणांमध्ये समाविष्ट असलेल्या गोष्टी वगळता जे काही बाहेर जाते ते NATim करा. मी अगदी आवश्यक असल्याशिवाय action=masquerade न वापरण्याचा प्रयत्न करतो. हे src-nat पेक्षा हळू आणि अधिक संसाधन गहन आहे कारण ते प्रत्येक नवीन कनेक्शनसाठी NAT पत्त्याची गणना करते.

३.१.४. आम्ही सूचीतील क्लायंट पाठवतो ज्यांना इतर प्रदात्यांद्वारे प्रवेश करण्यास मनाई आहे त्यांना थेट ISP3.1.4 प्रदात्याच्या गेटवेवर.

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

टिप्पणी. action=route ला उच्च प्राधान्य आहे आणि ते इतर रूटिंग नियमांपूर्वी लागू केले जाते.

place-before=0 - आमचा नियम सूचीमध्ये प्रथम ठेवतो.

३.२. ISP3.2 वर कनेक्शन सेट करा.

ISP2 प्रदाता आम्हाला DHCP द्वारे सेटिंग्ज देत असल्याने, DHCP क्लायंट ट्रिगर झाल्यावर सुरू होणार्‍या स्क्रिप्टसह आवश्यक बदल करणे वाजवी आहे:

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

Winbox विंडोमध्ये स्क्रिप्ट स्वतः:

टिप्पणी. स्क्रिप्टचा पहिला भाग जेव्हा लीज यशस्वीरित्या प्राप्त होतो तेव्हा ट्रिगर केला जातो, दुसरा - लीज सोडल्यानंतर.टीप 2 पहा

३.३. आम्ही ISP3.3 प्रदात्याशी कनेक्शन सेट केले.

सेटिंग्ज प्रदाता आम्हाला डायनॅमिक देत असल्याने, ppp इंटरफेस वाढल्यानंतर आणि पडल्यानंतर सुरू होणाऱ्या स्क्रिप्टमध्ये आवश्यक बदल करणे वाजवी आहे.

३.३.१. प्रथम आम्ही प्रोफाइल कॉन्फिगर करतो:

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

Winbox विंडोमध्ये स्क्रिप्ट स्वतः:

टिप्पणी. ओळ
/ip फायरवॉल मॅंगल सेट [find comment="Connmark in from ISP3"] in-interface=$"interface";
तुम्हाला इंटरफेसचे पुनर्नामित योग्यरित्या हाताळण्यास अनुमती देते, कारण ते त्याच्या कोडसह कार्य करते आणि प्रदर्शन नावासह नाही.

३.३.२. आता, प्रोफाइल वापरून, एक ppp कनेक्शन तयार करा:

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

अंतिम स्पर्श म्हणून, घड्याळ सेट करूया:

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

जे शेवटपर्यंत वाचतात त्यांच्यासाठी

मल्टीव्हॅनची अंमलबजावणी करण्याचा प्रस्तावित मार्ग लेखकाची वैयक्तिक पसंती आहे आणि एकमेव शक्य नाही. आरओएस टूलकिट विस्तृत आणि लवचिक आहे, जे एकीकडे, नवशिक्यांसाठी अडचणी निर्माण करते आणि दुसरीकडे, त्याच्या लोकप्रियतेचे कारण आहे. जाणून घ्या, प्रयत्न करा, नवीन साधने आणि उपाय शोधा. उदाहरणार्थ, अधिग्रहित ज्ञानाचा वापर म्हणून, मल्टीव्हॅनच्या या अंमलबजावणीमध्ये साधन पुनर्स्थित करणे शक्य आहे. चेक-गेटवे च्या पुनरावृत्ती मार्गांसह नेटवॉच.

नोट्स

चेक-गेटवे - एक यंत्रणा जी तुम्हाला उपलब्धतेसाठी गेटवेच्या सलग दोन अयशस्वी तपासणीनंतर मार्ग निष्क्रिय करण्याची परवानगी देते. तपासणी दर 10 सेकंदात एकदा केली जाते, तसेच प्रतिसाद कालबाह्य. एकूण, वास्तविक स्विचिंग वेळ 20-30 सेकंदांच्या श्रेणीमध्ये आहे. अशा स्विचिंगची वेळ पुरेशी नसल्यास, साधन वापरण्याचा पर्याय आहे नेटवॉच, जेथे चेक टाइमर स्वहस्ते सेट केला जाऊ शकतो. चेक-गेटवे लिंकवर अधूनमधून पॅकेट गमावल्यास फायर होत नाही.
महत्वाचे! प्राथमिक मार्ग निष्क्रिय केल्याने त्याचा संदर्भ असलेले इतर सर्व मार्ग निष्क्रिय केले जातील. म्हणून, त्यांना निर्दिष्ट करण्यासाठी check-gateway=ping गरज नाही.
असे घडते की DHCP यंत्रणेमध्ये अपयश येते, जे क्लायंट नूतनीकरण स्थितीत अडकल्यासारखे दिसते. या प्रकरणात, स्क्रिप्टचा दुसरा भाग कार्य करणार नाही, परंतु ते रहदारीला योग्यरित्या चालण्यापासून प्रतिबंधित करणार नाही, कारण राज्य संबंधित रिकर्सिव्ह मार्गाचा मागोवा घेते.
ECMP (समान खर्च बहु-पथ) - ROS मध्ये अनेक गेटवे आणि समान अंतर असलेला मार्ग सेट करणे शक्य आहे. या प्रकरणात, निर्दिष्ट गेटवेच्या संख्येच्या प्रमाणात, राऊंड रॉबिन अल्गोरिदम वापरून कनेक्शन चॅनेलवर वितरीत केले जातील.

लेख लिहिण्याच्या प्रेरणेसाठी, त्याची रचना आणि उच्चारांची नियुक्ती करण्यात मदत करा - इव्हगेनीबद्दल वैयक्तिक कृतज्ञता @jscar

स्त्रोत: www.habr.com

Mikrotik RouterOS वर मल्टीव्हॅन आणि राउटिंग