ProHoster > ဘလော့ > အုပ်ချုပ်ရေသ > Multivan နဟင့် Mikrotik RouterOS တလင်လမ်သကဌောင်သပေသခဌင်သ

Multivan နဟင့် Mikrotik RouterOS တလင်လမ်သကဌောင်သပေသခဌင်သ

နိဒါန်သ

အနတ္တအပဌင် ဆောင်သပါသကို ယူဆောင်ခဌင်သသည် ရုရဟာသစကာသပဌော ကဌေသနန်သအသိုင်သအဝန်သ၏ ပရိုဖိုင်အုပ်စုမျာသတလင် ကအကဌောင်သအရာနဟင့်ပတ်သက်သည့် စိတ်ပျက်စရာမေသခလန်သမျာသ၏ အကဌိမ်ရေကဌောင့် လဟုံ့ဆော်ခံရပါသည်။ ဆောင်သပါသသည် အတလေ့အကဌုံမရဟိသေသသော Mikrotik RouterOS (ယခုနောက်ပိုင်သ ROS အဖဌစ်ရည်ညလဟန်သသည်) စီမံခန့်ခလဲသူမျာသအတလက် ရည်ရလယ်ပါသည်။ ၎င်သသည် လမ်သကဌောင်သတင်ခဌင်သကို အလေသပေသခဌင်သဖဌင့် multivan နဟင့်သာ ဆက်ဆံသည်။ ဘောနပ်စ်အနေဖဌင့်၊ ဘေသကင်သပဌီသ အဆင်ပဌေသောလည်ပတ်မဟုကိုသေချာစေရန်အတလက် အနည်သငယ်မျဟသော လုံလောက်သောဆက်တင်မျာသရဟိပါသည်။ တန်သစီခဌင်သဆိုင်ရာ အကဌောင်သအရာမျာသကို ထုတ်ဖော်ခဌင်သ၊ load balancing၊ vlans၊ bridges၊ multi-stage deep analysis of the state of the channel and like the same time ကို ရဟာဖလေနေသူမျာသသည် စာဖတ်ချိန်နဟင့် အာသစိုက်ထုတ်မဟုကို မဖဌုန်သတီသပါ။

ကနဦသဒေတာ

စမ်သသပ်မဟုဘာသာရပ်အနေဖဌင့် ROS ဗာသရဟင်သ 6.45.3 ပါသည့် ဆိပ်ကမ်သငါသခုရဟိသည့် Mikrotik router ကို ရလေသချယ်ခဲ့သည်။ ၎င်သသည် ဒေသတလင်သ ကလန်ရက်နဟစ်ခု (LAN1 နဟင့် LAN2) နဟင့် ဝန်ဆောင်မဟုပေသသူ သုံသညသ (ISP1၊ ISP2၊ ISP3) အကဌာသ အသလာသအလာကို လမ်သကဌောင်သပေသမည်ဖဌစ်သည်။ ISP1 သို့ ချန်နယ်တလင် PPPoE ခလင့်ပဌုချက်ဖဌင့် DHCP, ISP2 - "အဖဌူ" မဟတစ်ဆင့် ရရဟိသော ISP3 - "အဖဌူ" လိပ်စာ၊ "အဖဌူ" ရဟိသည်။ ချိတ်ဆက်မဟုပုံစံကို ပုံတလင်ပဌထာသသည်။

Multivan နဟင့် Mikrotik RouterOS တလင်လမ်သကဌောင်သပေသခဌင်သ

အဆိုပါအစီအစဉ်အပေါ်အခဌေခံ၍ MTK router ကို configure လုပ်ရန်မဟာ-

  1. အရန်ဝန်ဆောင်မဟုပေသသူထံ အလိုအလျောက်ပဌောင်သခဌင်သကို ပေသပါ။ အဓိကပံ့ပိုသပေသသူမဟာ ISP2 ဖဌစ်ပဌီသ ပထမအရန်မဟာ ISP1 ဖဌစ်ပဌီသ ဒုတိယအရန်မဟာ ISP3 ဖဌစ်သည်။
  2. ISP1 မဟတဆင့်သာ အင်တာနက်သို့ LAN1 ကလန်ရက်ဝင်ရောက်ခလင့်ကို စုစည်သပါ။
  3. လိပ်စာစာရင်သကို အခဌေခံ၍ ရလေသချယ်ထာသသော ဝန်ဆောင်မဟုပေသသူမဟတဆင့် ဒေသတလင်သ ကလန်ရက်မျာသမဟ အင်တာနက်သို့ လမ်သကဌောင်သမျာသ လမ်သကဌောင်သပေသနိုင်စလမ်သကို ပေသဆောင်ပါ။
  4. ဒေသတလင်သ ကလန်ရက်မဟ အင်တာနက် (DSTNAT) သို့ ဝန်ဆောင်မဟုမျာသ ဖဌန့်ချိနိုင်ခဌေအတလက် ပံ့ပိုသပါ
  5. အင်တာနက်မဟ အနိမ့်ဆုံသ လုံလောက်သော လုံခဌုံရေသကို ပေသဆောင်ရန် Firewall filter ကို စနစ်ထည့်သလင်သပါ။
  6. ရလေသချယ်ထာသသော ရင်သမဌစ်လိပ်စာပေါ် မူတည်၍ router သည် ပံ့ပိုသပေသသူ သုံသညသအနက်မဟ တစ်ခုခုမဟတစ်ဆင့် ၎င်သ၏ကိုယ်ပိုင်လမ်သကဌောင်သကို ထုတ်ပေသနိုင်သည်။
  7. တုံ့ပဌန်မဟု packet မျာသကို ၎င်သတို့ရောက်လာသော ချန်နယ်သို့ လမ်သကဌောင်သပဌောင်သကဌောင်သ သေချာပါစေ။ (LAN အပါအဝင်)။

မဟတ်ချက် ဗာသရဟင်သမဟ ဗာသရဟင်သသို့ ပဌောင်သလဲသည့် စတင်ဖလဲ့စည်သမဟုပုံစံ “out of box” တလင် အံ့သဌစရာမျာသမရဟိခဌင်သကို အာမခံရန်အတလက် router ကို "အစမဟ" ကို configure လုပ်ပါမည်။ Winbox ကို အပဌောင်သအလဲမျာသကို အမဌင်အာရုံဖဌင့် ပဌသမည့် ဖလဲ့စည်သမဟုပုံစံတူသလ်တစ်ခုအဖဌစ် ရလေသချယ်ထာသသည်။ ဆက်တင်မျာသကို Winbox terminal ရဟိ command မျာသဖဌင့် သတ်မဟတ်ပေသမည်ဖဌစ်သည်။ ဖလဲ့စည်သမဟုပုံစံအတလက် ရုပ်ပိုင်သဆိုင်ရာချိတ်ဆက်မဟုကို Ether5 အင်တာဖေ့စ်သို့ တိုက်ရိုက်ချိတ်ဆက်မဟုဖဌင့် ပဌုလုပ်ထာသသည်။

ဘက်စုံသုံသကာသဆိုတာ ဘာပါလဲ၊ အဲဒါက ပဌဿနာတစ်ခုလာသ ဒါမဟမဟုတ် လုပ်ကဌံမဟုဆိုင်ရာ ကလန်ရက်တလေတဝိုက်မဟာ ကောက်ကျစ်တဲ့ စမတ်ကျတဲ့လူတလေကို ကျိုသကဌောင်သဆင်ခဌင်ခဌင်သ

ထိုသို့သော သို့မဟုတ် အလာသတူအစီအစဥ်ကို သူ့ဘာသာသူဖန်တီသ၍ စပ်စုပဌီသ အာရုံစူသစိုက်မဟုရဟိသော စီမံခန့်ခလဲသူသည် ၎င်သသည် ပုံမဟန်အတိုင်သလုပ်ဆောင်နေပဌီဖဌစ်သည်ကို ရုတ်တရက် ရုတ်တရက် သဘောပေါက်သလာသသည်။ ဟုတ်ကဲ့၊ ဟုတ်ကဲ့၊ ကအကဌောင်သအရာနဟင့် ဆောင်သပါသအမျာသစုတလင် ပဌည့်နေသော သင့်စိတ်ကဌိုက်လမ်သကဌောင်သဇယာသမျာသနဟင့် အခဌာသလမ်သကဌောင်သစည်သမျဉ်သမျာသမပါဘဲ၊ စစ်ဆေသကဌည့်ရအောင်လာသ?

အင်တာဖေ့စ်မျာသနဟင့် default gateways မျာသတလင် လိပ်စာသတ်မဟတ်ခဌင်သကို ကျလန်ုပ်တို့ စီစဉ်နိုင်ပါသလာသ။ ဟုတ်သည်-

ISP1 တလင်၊ လိပ်စာနဟင့် ဂိတ်ဝေသကို မဟတ်ပုံတင်ထာသသည်။ အကလာအဝေသ=၂ О check-gateway=ping။
ISP2 တလင်၊ ပုံသေ dhcp ကလိုင်သယင့်ဆက်တင် - နဟင့်အညီ၊ အကလာအဝေသသည် တစ်ခုနဟင့် တူညီမည်ဖဌစ်သည်။
ISP3 တလင် pppoe client ဆက်တင်မျာသတလင် ရောက်သလာသပါသည်။ add-default-route=yes ထာသ default-route-distance=3.

ထလက်ပေါက်တလင် NAT စာရင်သသလင်သရန် မမေ့ပါနဟင့်။

/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN

ရလဒ်အနေဖဌင့်၊ ဒေသတလင်သဝဘ်ဆိုက်မျာသအသုံသပဌုသူမျာသသည် ပင်မ ISP2 ဝန်ဆောင်မဟုပေသသူမဟတစ်ဆင့် ကဌောင်မျာသကို ဒေါင်သလုဒ်လုပ်ရာတလင် ပျော်ရလဟင်ကဌပဌီသ ယန္တရာသကိုအသုံသပဌု၍ ချန်နယ်ကဌိုတင်မဟာယူမဟုလည်သ ရဟိပါသည်။ ဂိတ်ဝကို စစ်ဆေသပါ။ မဟတ်စု ၁ ကိုကဌည့်ပါ။

လုပ်ငန်သတာဝန်၏ အမဟတ် ၁ ကို အကောင်အထည်ဖော်သည်။ အမဟတ်အသာသရဟိသော Multivan သည် အဘယ်မဟာရဟိသနည်သ။ မဟုတ်ဘူသ 

နောက်ထပ်။ သင်သည် ISP1 မဟတစ်ဆင့် LAN မဟ သီသခဌာသဖောက်သည်မျာသကို ထုတ်ပေသရန် လိုအပ်သည်-

/ip firewall mangle add action=route chain=prerouting dst-address-list=!BOGONS
passthrough=yes route-dst=100.66.66.1 src-address-list=Via_ISP1
/ip firewall mangle add action=route chain=prerouting dst-address-list=!BOGONS
passthrough=no route-dst=100.66.66.1 src-address=192.168.88.0/24

လုပ်ငန်သတာဝန်၏ ၂ နဟင့် ၃ ကို အကောင်အထည်ဖော်ပဌီသဖဌစ်သည်။ အညလဟန်သမျာသ၊ တံဆိပ်ခေါင်သမျာသ၊ လမ်သကဌောင်သစည်သကမ်သမျာသ၊ သင်ဘယ်မဟာလဲ။

အင်တာနက်မဟ ဖောက်သည်မျာသအတလက် လိပ်စာ 172.17.17.17 ဖဌင့် သင်အကဌိုက်ဆုံသ OpenVPN ဆာဗာကို ဝင်ရောက်အသုံသပဌုခလင့် လိုအပ်ပါသလာသ။ ကျေသဇူသပဌု:

/ip cloud set ddns-enabled=yes

သက်တူရလယ်တူမျာသအနေနဟင့် ကျလန်ုပ်တို့သည် သုံသစလဲသူအာသ ရလဒ်ကို ပေသသည်- ": [ip cloud get dns-name] ကိုထည့်ပါ။"

ကျလန်ုပ်တို့သည် အင်တာနက်မဟ port forwarding ကို မဟတ်ပုံတင်သည်-

/ip firewall nat add action=dst-nat chain=dstnat dst-port=1194
in-interface-list=WAN ပရိုတိုကော=udp to-addresses=172.17.17.17

ပစ္စည်သ 4 အဆင်သင့်ဖဌစ်ပါပဌီ။

အမဟတ် 5 အတလက် firewall နဟင့် အခဌာသလုံခဌုံရေသကို တပ်ဆင်ထာသပါသည်၊ တစ်ချိန်တည်သမဟာပင် အရာအာသလုံသသည် သုံသစလဲသူမျာသအတလက် လုပ်ဆောင်ပေသနေပဌီဖဌစ်ပဌီသ အကဌိုက်ဆုံသအချိုရည်ဘူသတစ်လုံသကို ရရဟိနိုင်သည့်အတလက် ဝမ်သမဌောက်မိပါသည်။
A ဥမင်လဟိုဏ်ခေါင်သမျာသ မေ့သလာသကဌသည်။

l2tp-client သည် google article မဟစီစဉ်ထာသသော၊ သင်အကဌိုက်ဆုံသ Dutch VDS သို့ တက်လာပါသလာသ။ ဟုတ်ကဲ့။
IPsec ပါသော l2tp-ဆာဗာသည် မဌင့်တက်လာပဌီသ IP Cloud မဟ DNS-name ဖဌင့် သုံသစလဲသူမျာသ (အထက်တလင်ကဌည့်ပါ။) တလယ်ကပ်နေပါသလာသ။ ဟုတ်ကဲ့။
ကုလာသထိုင်ပေါ်ပဌန်လဟဲပဌီသ သောက်လိုက်၊ သောက်လိုက်၊ အလုပ်၏ အမဟတ် ၆ နဟင့် ၇ ကို ပျင်သရိစလာ စဉ်သစာသမိပါသည်။ ငါတို့ထင်တယ် - ငါတို့ကလိုအပ်သလာသ။ အာသလုံသအတူတူပါပဲ (ဂ) ... ဒီတော့ မလိုအပ်သေသရင် ဒါပါပဲ။ Multivan အကောင်အထည်ဖော်ခဲ့သည်။

Multivan ဆိုတာ ဘာလဲ။ ၎င်သသည် router တစ်ခုသို့အင်တာနက်ချန်နယ်မျာသစလာ၏ချိတ်ဆက်မဟုဖဌစ်သည်။

သံသယဖဌစ်ဖလယ်အသုံသပဌုမဟုကို ပဌသခဌင်သမဟတပါသ အခဌာသမည်သည့်အရာမျာသရဟိနိုင်သောကဌောင့် ဆောင်သပါသကိုသင်ဆက်လက်ဖတ်ရဟုရန်မလိုအပ်ပါ။

အလုပ်၏အချက် 6 နဟင့် 7 ကိုစိတ်ဝင်စာသပဌီသ ပဌီသပဌည့်စုံခဌင်သ၏ ယာသယံမဟုကိုလည်သ ခံစာသရသူမျာသအတလက် ကျန်နေသူမျာသအတလက် ကျလန်ုပ်တို့သည် ပိုမိုနက်ရဟိုင်သစလာ တလေသတောနေပါသည်။

ဘက်စုံသုံသကာသကို အကောင်အထည်ဖော်ရန် အရေသကဌီသဆုံသတာဝန်မဟာ မဟန်ကန်သောလမ်သကဌောင်သလမ်သကဌောင်သဖဌစ်သည်။ Namely: မည်သည့် (သို့) မည်သည့်အရာကိုမျဟ ကဌည့်ပါ။ မဟတ်စု 3 ISP ၏ ချန်နယ်(မျာသ) သည် ကျလန်ုပ်တို့၏ router ပေါ်ရဟိ ပုံသေလမ်သကဌောင်သကိုကဌည့်ပါ၊ ၎င်သသည် packet မဟ ထလက်လာသော ချန်နယ်အတိအကျကို တုန့်ပဌန်သင့်ပါသည်။ တာဝန်က ရဟင်သပါတယ်။ ပဌဿနာက ဘယ်မဟာလဲ။ အမဟန်စင်စစ်၊ ရိုသရဟင်သသောဒေသခံကလန်ရက်တစ်ခုတလင်၊ အလုပ်သည် အတူတူပင်ဖဌစ်သော်လည်သ နောက်ထပ်ဆက်တင်မျာသကို မည်သူမျဟ အနဟောက်အယဟက်မဖဌစ်စေဘဲ ပဌဿနာမခံစာသရပေ။ ကလာခဌာသချက်မဟာ ရိုသရဟင်သသော LAN ကဲ့သို့ တင်သကဌပ်သော သီသခဌာသတစ်ခုမဟမဟုတ်ဘဲ ကျလန်ုပ်တို့၏ချန်နယ်တစ်ခုစီမဟ အင်တာနက်ပေါ်ရဟိ မည်သည့်လမ်သကဌောင်သမဟမဆို ဝင်ရောက်နိုင်ခဌင်သဖဌစ်သည်။ “ပဌဿနာ” မဟာ ISP3 ၏ IP လိပ်စာအတလက် တောင်သဆိုချက်တစ်ခုက ကျလန်ုပ်တို့ထံ ရောက်ရဟိလာပါက၊ ကျလန်ုပ်တို့၏ အခဌေအနေတလင် အဖဌေသည် ISP2 ချန်နယ်မဟတဆင့် ရောက်သလာသမည်ဖဌစ်ပဌီသ၊ default gateway သည် ထိုနေရာတလင် ညလဟန်ကဌာသထာသသောကဌောင့် ဖဌစ်သည်။ အရလက်မျာသကို မဟာသယလင်သစလာ ဆောင်ရလက်ပေသသူမဟ စလန့်ပစ်ပါမည်။ ပဌဿနာကို ဖော်ထုတ်ပဌီသပါပဌီ။ ဘယ်လိုဖဌေရဟင်သရမလဲ။

ဖဌေရဟင်သချက်ကို အဆင့်သုံသဆင့် ခလဲခဌာသထာသသည်။

  1. ကဌိုတင်သတ်မဟတ်ခဌင်သ။ ကအဆင့်တလင်၊ Router ၏ အခဌေခံဆက်တင်မျာသကို သတ်မဟတ်ပေသမည်- ပဌည်တလင်သကလန်ရက်၊ firewall၊ လိပ်စာစာရင်သမျာသ၊ hairpin NAT စသည်ဖဌင့် သတ်မဟတ်မည်ဖဌစ်သည်။
  2. Multivan။ ကအဆင့်တလင်၊ လိုအပ်သောချိတ်ဆက်မဟုမျာသကို အမဟတ်အသာသပဌုပဌီသ လမ်သကဌောင်သဇယာသမျာသအဖဌစ် စီပါမည်။
  3. ISP သို့ ချိတ်ဆက်နေသည်။ ကအဆင့်တလင်၊ အင်တာနက်ချိတ်ဆက်မဟုကို ပံ့ပိုသပေသသည့် အင်တာဖေ့စ်မျာသကို စီစဉ်သတ်မဟတ်ပေသမည်ဖဌစ်ပဌီသ၊ လမ်သကဌောင်သသတ်မဟတ်ကာ အင်တာနက်ချန်နယ် ကဌိုတင်မဟာယူမဟု ယန္တရာသကို စတင်အသုံသပဌုနိုင်မည်ဖဌစ်သည်။

1. ကဌိုတင်သတ်မဟတ်ခဌင်သ။

၁.၁။ ကျလန်ုပ်တို့သည် command ဖဌင့် router configuration ကိုရဟင်သလင်သသည်-

/system reset-configuration skip-backup=yes no-defaults=yes

သဘောတူတယ်"အန္တရာယ် ဘာပဲဖဌစ်ဖဌစ် ပဌန်လည်သတ်မဟတ်မလာသ။ [y/N]-"နဟင့်၊ ပဌန်လည်စတင်ပဌီသနောက်၊ ကျလန်ုပ်တို့သည် MAC မဟတစ်ဆင့် Winbox နဟင့်ချိတ်ဆက်သည်။ ကအဆင့်တလင်၊ ဖလဲ့စည်သမဟုပုံစံနဟင့် အသုံသပဌုသူအခဌေခံကို ရဟင်သလင်သထာသသည်။

၁.၂။ အသုံသပဌုသူအသစ်ဖန်တီသပါ-

/user add group=full name=knight password=ultrasecret comment=”Not horse”

၎င်သအောက်တလင် လော့ဂ်အင်ဝင်ပဌီသ မူရင်သဖိုင်ကို ဖျက်ပါ။

/user remove admin

မဟတ်ချက် စာရေသသူက ပိုလုံခဌုံသည်ဟု ယူဆပဌီသ အသုံသပဌုရန် အကဌံပဌုထာသသည့် မူရင်သအသုံသပဌုသူကို ဖယ်ရဟာသခဌင်သနဟင့် မပိတ်ခဌင်သဖဌစ်ပါသည်။

၁.၃။ ကျလန်ုပ်တို့သည် firewall၊ ရဟာဖလေမဟုဆက်တင်မျာသနဟင့် အခဌာသ MAC ဆာဗာမျာသတလင် လုပ်ဆောင်ရန် အဆင်ပဌေစေရန်အတလက် အခဌေခံ interface စာရင်သမျာသကို ဖန်တီသသည်-

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

မဟတ်ချက်မျာသဖဌင့် အင်တာဖေ့စ်မျာသကို လက်မဟတ်ထိုသခဌင်သ။

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

နဟင့် အင်တာဖေ့စ်စာရင်သမျာသကို ဖဌည့်ပါ။

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

မဟတ်ချက် နာသလည်နိုင်သော မဟတ်ချက်မျာသရေသခဌင်သသည် ကကိစ္စအတလက် အချိန်ကုန်ရကျိုသနပ်သည်၊ ထို့အပဌင် ၎င်သသည် ပဌဿနာဖဌေရဟင်သခဌင်သနဟင့် ဖလဲ့စည်သတည်ဆောက်ပုံကို နာသလည်ရန် မျာသစလာလလယ်ကူစေသည်။

ip protocol သည် ၎င်သကိုဖဌတ်ကျော်မည်မဟုတ်သော်လည်သ စာရေသသူသည် လုံခဌုံရေသအကဌောင်သပဌချက်ဖဌင့် “WAN” interface list သို့ ether3 interface ကိုထည့်ရန် လိုအပ်သည်ဟု ယူဆပါသည်။

PPP အင်တာဖေ့စ်ကို ether3 တလင်ပေါ်ထလန်သပဌီသနောက်၊ ၎င်သကို အင်တာဖေ့စ်စာရင်သ “WAN” တလင်လည်သ ထည့်သလင်သရန် လိုအပ်မည်ကို မမေ့ပါနဟင့်။

၁.၄။ ကျလန်ုပ်တို့သည် MAC မဟတစ်ဆင့် ပံ့ပိုသပေသသူကလန်ရက်မျာသထံမဟ ရပ်ကလက်အတလင်သ ရဟာဖလေတလေ့ရဟိမဟုနဟင့် ထိန်သချုပ်မဟုမဟ router ကို ဝဟက်ထာသပါသည်-

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

၁.၅။ ကျလန်ုပ်တို့သည် router ကိုကာကလယ်ရန် အနည်သဆုံသ လုံလောက်သော firewall filter စည်သမျဉ်သမျာသကို ဖန်တီသသည်-

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(စည်သမျဉ်သသည် ချိတ်ဆက်ထာသသော ကလန်ရက်မျာသနဟင့် router ကိုယ်တိုင်မဟ အစပဌုသည့် တည်ဆဲနဟင့် ဆက်စပ်ချိတ်ဆက်မဟုမျာသကို ခလင့်ပဌုချက်ပေသသည်)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(ping သာမက ping ပါ ။ icmp အာသလုံသကို ခလင့်ပဌုထာသသည်။ MTU ပဌဿနာမျာသကို ရဟာဖလေရာတလင် အလလန်အသုံသဝင်သည်)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(Input chain ကိုပိတ်သောစည်သမျဉ်သသည်အင်တာနက်မဟလာသောအရာအာသလုံသကိုတာသမဌစ်သည်)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(စည်သမျဉ်သသည် Router မဟတဆင့် ချိတ်ဆက်ထာသသော ချိတ်ဆက်မဟုမျာသကို ခလင့်ပဌုသည်)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(စည်သမျဉ်သသည် connection-state= router မဟတဆင့် ဖဌတ်သန်သခဌင်သ မမဟန်သော ချိတ်ဆက်မဟုမျာသကို ပဌန်လည်သတ်မဟတ်သည်။ ၎င်သကို Mikrotik မဟ ပဌင်သပဌင်သထန်ထန် အကဌံပဌုထာသသော်လည်သ ရဟာသပါသသော အခဌေအနေမျာသတလင် ၎င်သသည် အသုံသဝင်သော လမ်သကဌောင်သမျာသကို ပိတ်ဆို့နိုင်သည်)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(စည်သမျဉ်သသည် အင်တာနက်မဟလာသော ပက်ကေ့ခ်ျမျာသကို တာသမဌစ်ထာသပဌီသ router မဟတဆင့် dstnat လုပ်ထုံသလုပ်နည်သကို မကျော်ဖဌတ်ပါ။ ၎င်သသည် ကျလန်ုပ်တို့၏ပဌင်ပကလန်ရက်မျာသနဟင့် တူညီသောထုတ်လလဟင့်မဟုဒိုမိန်သတလင်ရဟိသော ကျလန်ုပ်တို့၏ပဌင်ပ IP မျာသကို မဟတ်ပုံတင်မည့် ကျူသကျော်သူမျာသထံမဟ ဒေသတလင်သကလန်ရက်မျာသကို ကာကလယ်ပေသမည်ဖဌစ်သည်။ gateway ဖဌစ်သောကဌောင့် ကျလန်ုပ်တို့၏ဒေသခံကလန်ရက်မျာသကို "စူသစမ်သ" ရန်ကဌိုသစာသပါ။)

မဟတ်ချက် LAN1 နဟင့် LAN2 ကလန်ရက်မျာသသည် ယုံကဌည်ရပဌီသ ၎င်သတို့နဟင့် ၎င်သတို့ကဌာသရဟိ လမ်သကဌောင်သမျာသကို စစ်ထုတ်မည်မဟုတ်ကဌောင်သ ယူဆကဌပါစို့။

၁.၆။ ပုံမဟန်မဟုတ်သော ကလန်ရက်မျာသစာရင်သဖဌင့် စာရင်သတစ်ခု ဖန်တီသပါ-

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(ကသည်မဟာ အင်တာနက်သို့ လည်ပတ်၍မရသော လိပ်စာမျာသနဟင့် ကလန်ရက်မျာသစာရင်သဖဌစ်ပဌီသ ၎င်သသည် လိုက်လျောညီထလေဖဌစ်စေမည်ဖဌစ်သည်။)

မဟတ်ချက် စာရင်သသည် ပဌောင်သလဲနိုင်သောကဌောင့် ဆက်စပ်မဟုကို အခါအာသလျော်စလာ စစ်ဆေသရန် အကဌံပဌုအပ်ပါသည်။

၁.၇။ router ကိုယ်တိုင်အတလက် DNS ကို စနစ်ထည့်သလင်သပါ-

/ip dns set servers=1.1.1.1,8.8.8.8

မဟတ်ချက် လက်ရဟိ ROS ဗာသရဟင်သတလင်၊ ဒိုင်သနမစ်ဆာဗာမျာသသည် static မျာသထက် သာလလန်သည်။ အမည်ဖဌေရဟင်သရန် တောင်သဆိုချက်ကို စာရင်သတလင် အစဉ်လိုက်ဖဌင့် ပထမဆုံသ ဆာဗာသို့ ပေသပို့သည်။ လက်ရဟိတစ်ခု မရရဟိနိုင်သောအခါတလင် နောက်ဆာဗာသို့ ကူသပဌောင်သခဌင်သကို လုပ်ဆောင်သည်။ ကဌာချိန်သည် ကဌီသမာသသည် - 5 စက္ကန့်ထက်ပိုသည်။ "ပဌိုလဲသလာသသောဆာဗာ" ကို ပဌန်လည်စတင်သောအခါ ပဌန်လာခဌင်သသည် အလိုအလျောက် ဖဌစ်ပေါ်မလာပါ။ က algorithm နဟင့် multivan မျာသရဟိနေခဌင်သကဌောင့် စာရေသသူက ပံ့ပိုသပေသသောဆာဗာမျာသကို အသုံသမပဌုရန် အကဌံပဌုပါသည်။

၁.၈။ ဒေသတလင်သ ကလန်ရက်တစ်ခုကို စနစ်ထည့်သလင်သပါ။
၁.၈.၁။ ကျလန်ုပ်တို့သည် LAN အင်တာဖေ့စ်မျာသတလင် တည်ငဌိမ် IP လိပ်စာမျာသကို စီစဉ်သတ်မဟတ်သည်-

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

၁.၈.၂။ ကျလန်ုပ်တို့သည် ကျလန်ုပ်တို့၏ ပင်မလမ်သကဌောင်သတင်ဇယာသမဟတဆင့် ကျလန်ုပ်တို့၏ဒေသခံကလန်ရက်မျာသသို့ လမ်သကဌောင်သမျာသဆိုင်ရာ စည်သမျဉ်သမျာသကို သတ်မဟတ်သည်-

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

မဟတ်ချက် ကသည်မဟာ ပုံသေလမ်သကဌောင်သမဟ ဖဌတ်သန်သမသလာသသော router interface မျာသ၏ ပဌင်ပ IP လိပ်စာမျာသ၏ အရင်သအမဌစ်မျာသဖဌင့် LAN လိပ်စာမျာသကို ဝင်ရောက်ရန် လလယ်ကူမဌန်ဆန်သော နည်သလမ်သမျာသထဲမဟ တစ်ခုဖဌစ်သည်။

၁.၈.၃။ LAN1.8.3 နဟင့် LAN1 အတလက် Hairpin NAT ကိုဖလင့်ပါ-

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

မဟတ်ချက် ၎င်သသည် သင့်အာသ ကလန်ရက်အတလင်သ၌ ရဟိနေစဉ်တလင် ပဌင်ပ IP မဟတစ်ဆင့် သင်၏အရင်သအမဌစ်မျာသ (dstnat) ကို ဝင်ရောက်ကဌည့်ရဟုနိုင်စေမည်ဖဌစ်သည်။

2. တကယ်တော့၊ အလလန်မဟန်ကန်သော multivan ၏အကောင်အထည်ဖော်မဟု

"သူတို့မေသတဲ့ နေရာကို ဖဌေဆိုခဌင်သ" ရဲ့ ပဌဿနာကို ဖဌေရဟင်သဖို့ ROS ကိရိယာ နဟစ်ခုကို အသုံသပဌုပါမယ်။ ချိတ်ဆက်မဟုအမဟတ်အသာသ О လမ်သကဌောင်သအမဟတ်အသာသ. ချိတ်ဆက်မဟုအမဟတ်အသာသ သင်အလိုရဟိသောချိတ်ဆက်မဟုကို အမဟတ်အသာသပဌုနိုင်ပဌီသ လျဟောက်ထာသရန်အတလက် အခဌေအနေတစ်ခုအဖဌစ် ကအမဟတ်အသာသဖဌင့် အလုပ်လုပ်ပါ။ လမ်သကဌောင်သအမဟတ်အသာသ. အတူရဟိပဌီသသာသ လမ်သကဌောင်သအမဟတ်အသာသ တလင်အလုပ်လုပ်ရန်ဖဌစ်နိုင်သည်။ ip လမ်သကဌောင်သ О လမ်သကဌောင်သစည်သကမ်သ. ကျလန်ုပ်တို့သည် ကိရိယာမျာသကို ရဟာဖလေတလေ့ရဟိခဲ့ပဌီသ ယခုအခါတလင် မည်သည့် ချိတ်ဆက်မဟုမျာသကို အမဟတ်အသာသပဌုရမည် - တစ်ကဌိမ်၊ အမဟတ်အသာသပဌုရမည့်နေရာကို အတိအကျ ဆုံသဖဌတ်ရန် လိုအပ်ပါသည်။

ပထမတစ်ခုအနေဖဌင့်၊ အရာအာသလုံသသည်ရိုသရဟင်သသည် - သင့်လျော်သောချန်နယ်မဟတစ်ဆင့်အင်တာနက်မဟ router သို့ရောက်လာသောချိတ်ဆက်မဟုမျာသအာသလုံသကိုအမဟတ်အသာသပဌုရမည်။ ကျလန်ုပ်တို့၏အခဌေအနေတလင်၊ ၎င်သတို့သည် အညလဟန်သသုံသခု (ချန်နယ်အရေအတလက်အာသဖဌင့်) ဖဌစ်လိမ့်မည်- “conn_isp1”၊ “conn_isp2” နဟင့် “conn_isp3”။

ဒုတိယနဟင့် ကလဲပဌာသချက်မဟာ အဝင်ချိတ်ဆက်မဟုမျာသသည် အမျိုသအစာသနဟစ်မျိုသဖဌစ်သည်- အသလာသအလာနဟင့် router ကိုယ်တိုင်အတလက် ရည်ရလယ်ထာသသည့်အရာမျာသဖဌစ်သည်။ ချိတ်ဆက်မဟု အမဟတ်အသာသ ယန္တရာသသည် ဇယာသတလင် အလုပ်လုပ်သည်။ အစိတ်အပိုင်သမျာသ. mikrotik-trainings.com အရင်သအမဌစ်မဟ ကျလမ်သကျင်ပညာရဟင်မျာသမဟ ကဌင်နာစလာ ပဌုစုထာသသော ရိုသရဟင်သသော ပုံကဌမ်သပေါ်တလင် အထုပ်၏ရလေ့လျာသမဟုကို သုံသသပ်ပါ (ကဌော်ငဌာမဟုတ်ပါ)။

Multivan နဟင့် Mikrotik RouterOS တလင်လမ်သကဌောင်သပေသခဌင်သ

မဌဟာသမျာသနောက်တလင်၊ ထုပ်ပိုသရောက်ရဟိလာသည်ကိုကျလန်ုပ်တို့တလေ့မဌင်ရသည်။input interface ကို“ကလင်သဆက်ဖဌတ်သလာသ”အတာသအဆီသ“ထို့မဟသာ ၎င်သကို ပိတ်ဆို့ခဌင်သတလင် အကူသအပဌောင်သနဟင့် ဒေသန္တရဟူ၍ ပိုင်သခဌာသထာသသည်။လမ်သကဌောင်သဆုံသဖဌတ်ချက်” . ထို့ကဌောင့် ကျောက်တစ်လုံသနဟင့် ငဟက်နဟစ်ကောင်ကို သတ်ရန်၊ ချိတ်ဆက်မဟုအမဟတ်အသာသ စာသပလဲပေါ်မဟာ၌တည်၏ Mangle ကဌိုတင်ခဌင်သ သံကဌိုသမျာသ အတာသအဆီသ.

ပလောဆို. ROS တလင်၊ “လမ်သကဌောင်သအမဟတ်အသာသ” အညလဟန်သမျာသကို Ip/Routes/Rules ကဏ္ဍတလင် “ဇယာသ” အဖဌစ် ဖော်ပဌထာသပဌီသ အခဌာသကဏ္ဍမျာသတလင် “လမ်သကဌောင်သအမဟတ်အသာသ” အဖဌစ် ဖော်ပဌထာသပါသည်။ ၎င်သသည် နာသလည်မဟုတလင် ရဟုပ်ထလေသမဟုအချို့ကို မိတ်ဆက်ပေသနိုင်သော်လည်သ၊ အမဟန်တလင်၊ ၎င်သသည် တူညီပဌီသ linux ရဟိ iproute2 ရဟိ rt_tables ၏ analogue တစ်ခုဖဌစ်သည်။

၂.၁။ ကျလန်ုပ်တို့သည် ဝန်ဆောင်မဟုပေသသူတိုင်သထံမဟ ဝင်လာသောချိတ်ဆက်မဟုမျာသကို အမဟတ်အသာသပဌုသည်-

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

မဟတ်ချက် အမဟတ်အသာသပဌုပဌီသသာသ ချိတ်ဆက်မဟုမျာသကို အမဟတ်အသာသပဌုခဌင်သမပဌုရန်၊ ၎င်သသည် ပိုမဟန်သည်ဟု ထင်သောကဌောင့်၊ ၎င်သသည် ပိုမိုမဟန်ကန်သည်ဟု ထင်သောကဌောင့်၊ ထည့်သလင်သမဟုစစ်ထုတ်မဟုတလင် မဟာသယလင်သသောချိတ်ဆက်မဟုမျာသကို ငဌင်သပယ်ခဌင်သအစာသ connection-mark=no-mark condition ကို အသုံသပဌုပါသည်။


passthrough=no - အကဌောင်သမဟာ ကအကောင်အထည်ဖော်မဟုနည်သလမ်သတလင်၊ ပဌန်လည်အမဟတ်အသာသပဌုခဌင်သကို ဖယ်ထုတ်ထာသပဌီသ၊ အရဟိန်မဌဟင့်ရန်၊ ပထမပလဲပဌီသနောက် စည်သမျဉ်သစာရင်သကောက်ယူခဌင်သကို အနဟောင့်အယဟက်ဖဌစ်စေနိုင်သည်။

ကျလန်ုပ်တို့သည် လမ်သကဌောင်သသတ်မဟတ်ခဌင်သတလင် မည်သည့်နည်သဖဌင့်မျဟ ဝင်ရောက်စလက်ဖက်ခဌင်သမပဌုသေသကဌောင်သ စိတ်တလင်ထာသသင့်သည်။ အခု ပဌင်ဆင်မဟု အဆင့်ပဲ ရဟိပါသေသတယ်။ အကောင်အထည်ဖော်မဟု၏နောက်ထပ်အဆင့်သည် ဒေသဆိုင်ရာကလန်ရက်ရဟိ ညသတည်ရာမဟ သတ်မဟတ်ထာသသော ချိတ်ဆက်မဟုမဟ ပဌန်လည်ရောက်ရဟိသည့် အသလာသအလာအသလာသအလာကို စီမံဆောင်ရလက်မည်ဖဌစ်သည်။ အဲဒါတလေ။ လမ်သတလျဟောက် Router မဟတဆင့် ဖဌတ်သလာသသော (ပုံတလင်ကဌည့်ပါ) packets မျာသ၊

"Input Interface"=>"Prerouting"=>"Routing Decision"=>"Forward"=>"Post Routing"=>"Output Interface" ဒေသခံကလန်ရက်ရဟိ ၎င်သတို့၏ လိပ်စာပေသသူထံသို့ ရောက်ခဲ့သည်။

အရေသကဌီသ! ROS တလင်၊ ပဌင်ပနဟင့် အတလင်သပိုင်သ အင်တာဖေ့စ်မျာသကို ယုတ္တိနည်သဖဌင့် ပိုင်သခဌာသထာသခဌင်သမရဟိပါ။ အထက်ဖော်ပဌပါ ပုံကဌမ်သအတိုင်သ တုံ့ပဌန်မဟုပက်ကတ်၏ လမ်သကဌောင်သကို ကျလန်ုပ်တို့ ခဌေရာခံပါက၊ ၎င်သသည် တောင်သဆိုချက်ကဲ့သို့ တူညီသော ယုတ္တိလမ်သကဌောင်သအတိုင်သ လိုက်သလာသပါမည်။

"Input Interface"=>"Prerouting"=>"Routing Decision"=>"Forward"=>"Post Routing"=>"Output Interface" တောင်သဆိုချက်တစ်ခုအတလက်ပဲ"Input Interface” သည် ISP အင်တာဖေ့စ်ဖဌစ်ပဌီသ အဖဌေအတလက် - LAN ဖဌစ်သည်။

၂.၂။ ကျလန်ုပ်တို့သည် သက်ဆိုင်ရာ လမ်သကဌောင်သဇယာသမျာသထံ တိုက်ရိုက် တုံ့ပဌန်မဟု ဖဌတ်သန်သခဌင်သ ဖဌစ်သည်-

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

မဟတ်ချက်။ in-interface-list=!WAN - ကျလန်ုပ်တို့သည် local network မဟ traffic နဟင့် dst-address-type=! router ကိုယ်တိုင်၏ interfaces မျာသ၏ လိပ်စာ၏ ညသတည်ရာလိပ်စာမရဟိသော local network နဟင့်သာ အလုပ်လုပ်ပါသည်။

လမ်သတစ်လျဟောက် router သို့ ရောက်လာသော ဒေသဆိုင်ရာ ပက်ကတ်မျာသအတလက် တူညီသည်-

"Input Interface"=>"Prerouting"=>"Routing Decision"=>"Input"=>"Local Process"

အရေသကဌီသ! အဖဌေသည် အောက်ပါနည်သလမ်သအတိုင်သသလာသပါမည်။

"Local Process"=>"Routing Decision"=>"Output"=>"Post Routing"=>"Output Interface"

၂.၃။ ကျလန်ုပ်တို့သည် သက်ဆိုင်ရာ လမ်သကဌောင်သဇယာသမျာသသို့ ဒေသန္တရအသလာသအလာကို တိုက်ရိုက်တုံ့ပဌန်သည်-

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

ကအဆင့်တလင်၊ တောင်သဆိုမဟုမဟရရဟိလာသောအင်တာနက်ချန်နယ်သို့တုံ့ပဌန်မဟုပေသပို့ရန်ပဌင်ဆင်ခဌင်သတာဝန်ကိုဖဌေရဟင်သနိုင်သည်။ အရာအာသလုံသကို အမဟတ်အသာသပဌုထာသပဌီသ တံဆိပ်တပ်ထာသပဌီသ လမ်သကဌောင်သပဌရန် အသင့်ဖဌစ်နေပါပဌီ။
ကစနစ်ထည့်သလင်သခဌင်သ၏ အကောင်သဆုံသ "ဘေသထလက်" သက်ရောက်မဟုမဟာ (ISP2၊ ISP3) ပံ့ပိုသပေသသူ နဟစ်ညသစလုံသထံမဟ DSNAT ဆိပ်ကမ်သကို ထပ်ဆင့်ပို့ခဌင်သနဟင့်အတူ တစ်ပဌိုင်နက်တည်သ လုပ်ဆောင်နိုင်မဟုဖဌစ်သည်။ လုံသဝမဟုတ်ပါ၊ ISP1 တလင်ကျလန်ုပ်တို့၌ပုံမဟန်မဟုတ်သောလိပ်စာတစ်ခုရဟိသည်။ ကအကျိုသသက်ရောက်မဟုသည် မတူညီသောအင်တာနက်ချန်နယ်မျာသကိုကဌည့်ရဟုသည့် MX နဟစ်ခုပါသော မေသလ်ဆာဗာအတလက် အရေသကဌီသပါသည်။

ပဌင်ပ IP Router မျာသဖဌင့် ဒေသတလင်သ ကလန်ရက်မျာသ၏ လုပ်ဆောင်မဟု၏ ကလဲပဌာသမဟုကို ဖယ်ရဟာသရန်၊ ကျလန်ုပ်တို့သည် စာပိုဒ်မျာသမဟ ဖဌေရဟင်သချက်မျာသကို အသုံသပဌုပါသည်။ ၁.၈.၂ နဟင့် ၃.၁.၂.၆။

ထို့အပဌင်၊ ပဌဿနာ၏အပိုဒ် 3 ကိုဖဌေရဟင်သရန် အမဟတ်အသာသမျာသပါသည့်ကိရိယာကို သင်အသုံသပဌုနိုင်သည်။ ကျလန်ုပ်တို့သည် ၎င်သကို ကကဲ့သို့ အကောင်အထည်ဖော်သည်-

၂.၄။ ကျလန်ုပ်တို့သည် ဒေသခံဖောက်သည်မျာသထံမဟ လမ်သကဌောင်သပဌစာရင်သမျာသမဟ သင့်လျော်သောဇယာသမျာသသို့ လမ်သကဌောင်သပဌပေသသည်-

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

ရလဒ်အနေနဟင့်၊ ၎င်သသည် ကကဲ့သို့သောပုံရသည်-

Multivan နဟင့် Mikrotik RouterOS တလင်လမ်သကဌောင်သပေသခဌင်သ

3. ISP သို့ ချိတ်ဆက်မဟုတစ်ခုကို သတ်မဟတ်ပဌီသ အမဟတ်တံဆိပ်ဖဌင့် လမ်သကဌောင်သသတ်မဟတ်ခဌင်သကို ဖလင့်ပါ။

၃.၁။ ISP3.1 သို့ ချိတ်ဆက်မဟုတစ်ခု သတ်မဟတ်ပါ-
၃.၁.၁။ တည်ငဌိမ် IP လိပ်စာကို စီစဉ်သတ်မဟတ်ပါ-

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

၃.၁.၂။ တည်ငဌိမ်လမ်သကဌောင်သကို သတ်မဟတ်ပါ-
၃.၁.၂.၁။ မူရင်သ "အရေသပေါ်" လမ်သကဌောင်သကို ထည့်ပါ-

/ip route add comment="Emergency route" distance=254 type=blackhole

မဟတ်ချက် ကလမ်သကဌောင်သသည် ဝန်ဆောင်မဟုပေသသူ၏ လင့်ခ်မျာသ၏ အခဌေအနေ မည်သို့ပင်ရဟိစေကာမူ ဒေသဆိုင်ရာ လုပ်ငန်သစဉ်မျာသမဟ အသလာသအလာမျာသကို လမ်သကဌောင်သ ဆုံသဖဌတ်ချက်အဆင့်ကို ကျော်ဖဌတ်နိုင်စေပါသည်။ အထလက်ဒေသအသလာသအလာ၏ထူသခဌာသချက်မဟာ ပက်ကက်သည် အနည်သဆုံသတစ်နေရာရာသို့ရလဟေ့ရန်အတလက်၊ ပင်မလမ်သကဌောင်သဇယာသတလင် ပုံသေတံခါသပေါက်ဆီသို့ တက်ကဌလသောလမ်သကဌောင်သရဟိရပါမည်။ မဟုတ်ပါက အထုပ်ကဌီသ ပျက်သလာသလိမ့်မည်။

tool extension တစ်ခုအနေဖဌင့် ဂိတ်ဝကို စစ်ဆေသပါ။ ချန်နယ်အခဌေအနေ၏ လေသနက်သောခလဲခဌမ်သစိတ်ဖဌာမဟုအတလက်၊ recursive route method ကိုအသုံသပဌုရန် အကဌံပဌုပါသည်။ နည်သလမ်သ၏ အနဟစ်သာရမဟာ router သည် ၎င်သ၏ gateway သို့ တိုက်ရိုက်မဟုတ်ဘဲ intermediate gateway မဟတဆင့် လမ်သကဌောင်သကို ရဟာဖလေရန် router အာသ ပဌောခဌင်သဖဌစ်သည်။ 4.2.2.1၊ 4.2.2.2 နဟင့် 4.2.2.3 ကို ISP1၊ ISP2 နဟင့် ISP3 အသီသသီသအတလက် “test” gateways အဖဌစ် ရလေသချယ်ပါမည်။

၃.၁.၂.၂။ "အတည်ပဌုခဌင်သ" လိပ်စာသို့ လမ်သကဌောင်သ-

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

မဟတ်ချက် ကျလန်ုပ်တို့သည် 4.2.2.1 ကို နောင်တလင် recursive gateway အဖဌစ်အသုံသပဌုရန်အတလက် ROS ပစ်မဟတ်နယ်ပယ်ရဟိ ဘောင်တန်ဖိုသကို ပုံသေအဖဌစ်သို့ လျဟော့ချလိုက်ပါသည်။ ကျလန်ုပ်အလေသပေသဖော်ပဌသည်- "စမ်သသပ်မဟု" လိပ်စာသို့သလာသသောလမ်သကဌောင်သ၏အတိုင်သအတာသည် စမ်သသပ်မဟုတစ်ခုကိုရည်ညလဟန်သမည့်လမ်သကဌောင်သ၏ပစ်မဟတ်အတိုင်သအတာနဟင့် တူညီရမည် သို့မဟုတ် လျော့နည်သနေရပါမည်။

၃.၁.၂.၃။ လမ်သကဌောင်သအမဟတ်အသာသမပါဘဲ အသလာသအလာအတလက် ထပ်ခါတလဲလဲ ပုံသေလမ်သကဌောင်သ-

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

မဟတ်ချက် အလုပ်အခဌေအနေအရ ISP2 ကို ပထမဆုံသ အရန်ကူသအဖဌစ် ကဌေညာထာသသောကဌောင့် အကလာအဝေသ=1 တန်ဖိုသကို အသုံသပဌုထာသသည်။

၃.၁.၂.၄။ လမ်သကဌောင်သ အမဟတ်အသာသ “to_isp3.1.2.4” ပါသည့် လမ်သကဌောင်သအတလက် လမ်သကဌောင်သအတလက် ထပ်ခါတလဲလဲ ပုံသေလမ်သကဌောင်သ-

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

မဟတ်ချက် အမဟန်တော့၊ ဒီနေရာမဟာ အပိုဒ် ၂ မဟာလုပ်ခဲ့တဲ့ ကဌိုတင်ပဌင်ဆင်မဟုရဲ့ အသီသအပလင့်တလေကို နောက်ဆုံသမဟာ ကျလန်တော်တို့ ခံစာသစပဌုနေပါပဌီ။


ကလမ်သကဌောင်သတလင်၊ အမဟတ်အသာသလမ်သကဌောင်သ “to_isp1” ပါ၀င်သည့် အသလာသအလာအာသလုံသကို ပင်မဇယာသအတလက် မည်သည့်ပုံသေတံခါသပေါက်သည် လက်ရဟိတလင် မည်သည့်ပုံသေတံခါသပေါက်ကို လက်ရဟိအသုံသပဌုနေစေကာမူ ပထမဝန်ဆောင်မဟုပေသသူ၏ တံခါသပေါက်ဆီသို့ ညသတည်သလာသမည်ဖဌစ်သည်။

၃.၁.၂.၅။ ISP3.1.2.5 နဟင့် ISP2 တဂ်လုပ်ထာသသော အသလာသအလာအတလက် ပထမညသစလာ လဟည့်ပဌန်ထာသသော မူရင်သလမ်သကဌောင်သ-

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

မဟတ်ချက် “to_isp*”' လိပ်စာစာရင်သ၏ အဖလဲ့ဝင်မျာသဖဌစ်သည့် ဒေသတလင်သ ကလန်ရက်မျာသမဟ အသလာသအလာကို သိမ်သဆည်သရန် အခဌာသအရာမျာသထဲမဟ ကလမ်သကဌောင်သမျာသ လိုအပ်ပါသည်။

၃.၁.၂.၆။ ကျလန်ုပ်တို့သည် ISP3.1.2.6 မဟတဆင့်အင်တာနက်သို့ router ၏ပဌည်တလင်သအသလာသအလာအတလက်လမ်သကဌောင်သကိုမဟတ်ပုံတင်သည်-

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

မဟတ်ချက် အပိုဒ် 1.8.2 မဟ စည်သမျဉ်သမျာသနဟင့်အတူ ၎င်သသည် ပေသထာသသောရင်သမဌစ်တစ်ခုဖဌင့် လိုချင်သောချန်နယ်သို့ ဝင်ရောက်ခလင့်ကို ပေသပါသည်။ ၎င်သသည် ဒေသဆိုင်ရာ ဘေသထလက် IP လိပ်စာ (EoIP၊ IP-IP၊ GRE) ကို သတ်မဟတ်သည့် ဥမင်မျာသတည်ဆောက်ခဌင်သအတလက် အရေသကဌီသပါသည်။ ip လမ်သကဌောင်သစည်သမျဉ်သမျာသတလင် စည်သမျဉ်သမျာသကို အပေါ်မဟအောက်ခဌေအထိ လုပ်ဆောင်ထာသသောကဌောင့်၊ အခဌေအနေမျာသ၏ ပထမကိုက်ညီသည့်တိုင်အောင်၊ ကစည်သမျဉ်သသည် clause 1.8.2 မဟ စည်သမျဉ်သမျာသနောက်တလင် ဖဌစ်သင့်သည်။

၃.၁.၃။ အထလက်လမ်သကဌောင်သအတလက် NAT စည်သမျဉ်သကို ကျလန်ုပ်တို့ မဟတ်ပုံတင်သည်-

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

မဟတ်ချက် IPsec မူဝါဒမျာသမဟလလဲ၍ ကျန်အရာအာသလုံသကို NATim လုပ်ပါ။ မလိုအပ်ဘဲ action=masquerade ကို လုံသဝမသုံသဖို့ ကဌိုသစာသပါတယ်။ ချိတ်ဆက်မဟုအသစ်တစ်ခုစီအတလက် NAT လိပ်စာကို တလက်ချက်ပေသသောကဌောင့် src-nat ထက် အရင်သအမဌစ်ပို၍ နဟေသကလေသပဌီသ အရင်သအနဟီသပိုပဌင်သသည်။

၃.၁.၄။ ကျလန်ုပ်တို့သည် အခဌာသဝန်ဆောင်မဟုပေသသူမျာသမဟတစ်ဆင့် ဝင်ရောက်ခဌင်သမပဌုရန် တာသမဌစ်ထာသသောစာရင်သမဟ သုံသစလဲသူမျာသကို ISP3.1.4 ဝန်ဆောင်မဟုပေသသူ၏ တံခါသပေါက်သို့ တိုက်ရိုက်ပေသပို့ပါသည်။

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

မဟတ်ချက် action=route သည် ပိုမိုညသစာသပေသရဟိပဌီသ အခဌာသလမ်သကဌောင်သဆိုင်ရာ စည်သမျဉ်သမျာသရဟေ့တလင် အသုံသပဌုသည်။


place-before=0 - ကျလန်ုပ်တို့၏စည်သမျဉ်သကို စာရင်သတလင် ညသစလာထည့်ပါ။

၃.၂။ ISP3.2 သို့ ချိတ်ဆက်မဟုတစ်ခု သတ်မဟတ်ပါ။

ISP2 ဝန်ဆောင်မဟုပေသသူက ကျလန်ုပ်တို့အာသ DHCP မဟတစ်ဆင့် ဆက်တင်မျာသကို ပေသသည့်အတလက်၊ DHCP client ကို အစပျိုသသောအခါတလင် စတင်သည့် script တစ်ခုဖဌင့် လိုအပ်သော အပဌောင်သအလဲမျာသကို ပဌုလုပ်ရန် သင့်လျော်ပါသည်။

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

Winbox window တလင် script ကိုယ်တိုင်

Multivan နဟင့် Mikrotik RouterOS တလင်လမ်သကဌောင်သပေသခဌင်သ
မဟတ်ချက် ငဟာသရမ်သမဟုအောင်မဌင်စလာရရဟိသောအခါ ဇာတ်ညလဟန်သ၏ပထမပိုင်သကို အစပျိုသပဌီသ ဒုတိယအပိုင်သကို ငဟာသရမ်သပဌီသနောက်တလင် စတင်သည်။မဟတ်စု ၁ ကိုကဌည့်ပါ။

၃.၃။ ကျလန်ုပ်တို့သည် ISP3.3 ဝန်ဆောင်မဟုပေသသူထံသို့ ချိတ်ဆက်မဟုတစ်ခုကို သတ်မဟတ်ပေသပါသည်။

ဆက်တင်မျာသပံ့ပိုသပေသသူက ကျလန်ုပ်တို့အာသ တက်ကဌလစေသောကဌောင့်၊ ppp အင်တာဖေ့စ်ကို မဌဟင့်တင်ပဌီသနောက်နဟင့် ကျဆုံသပဌီသနောက်တလင် စတင်သည့် script မျာသဖဌင့် လိုအပ်သောပဌောင်သလဲမဟုမျာသကို ပဌုလုပ်ရန် ကျိုသကဌောင်သဆီလျော်ပါသည်။

၃.၃.၁။ ပထမညသစလာ ကျလန်ုပ်တို့သည် ပရိုဖိုင်ကို configure လုပ်သည်-

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

Winbox window တလင် script ကိုယ်တိုင်

Multivan နဟင့် Mikrotik RouterOS တလင်လမ်သကဌောင်သပေသခဌင်သ
မဟတ်ချက် အတန်သ
/ip firewall mangle set [find comment="Connmark in from ISP3"] in-interface=$"interface";
၎င်သသည် ၎င်သ၏ကုဒ်နဟင့် ဖော်ပဌသည့်အမည်မဟုတ်ဘဲ ၎င်သနဟင့်အလုပ်လုပ်သောကဌောင့် အင်တာဖေ့စ်အမည်ပဌောင်သခဌင်သကို မဟန်ကန်စလာကိုင်တလယ်နိုင်စေမည်ဖဌစ်သည်။

၃.၃.၂။ ယခု ပရိုဖိုင်ကို အသုံသပဌု၍ ppp ချိတ်ဆက်မဟုတစ်ခု ဖန်တီသပါ-

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

နောက်ဆုံသထိတလေ့မဟုအနေဖဌင့် နာရီကို သတ်မဟတ်ကဌပါစို့။

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

အဆုံသထိဖတ်သူမျာသအတလက်

Multivan ကို အကောင်အထည်ဖော်ရန် အဆိုပဌုထာသသည့်နည်သလမ်သမဟာ စာရေသသူ၏ ကိုယ်ရေသကိုယ်တာအကဌိုက်ဖဌစ်ပဌီသ တစ်ခုတည်သသော ဖဌစ်နိုင်ချေမရဟိပါ။ ROS ကိရိယာတန်ဆာပလာသည် ကျယ်ပဌန့်ပဌီသ လိုက်လျောညီထလေရဟိပဌီသ တစ်ဖက်တလင်မူ စတင်သူမျာသအတလက် အခက်အခဲဖဌစ်စေပဌီသ အခဌာသတစ်ဖက်တလင် ၎င်သသည် ၎င်သ၏ကျော်ကဌာသမဟုအတလက် အကဌောင်သရင်သဖဌစ်သည်။ စူသစမ်သလေ့လာပါ၊ ကဌိုသစာသပါ၊ ကိရိယာအသစ်မျာသနဟင့် ဖဌေရဟင်သချက်မျာသကို ရဟာဖလေပါ။ ဥပမာအာသဖဌင့်၊ ရရဟိထာသသောအသိပညာ၏အသုံသချမဟုအနေဖဌင့် multivan ၏ကအကောင်အထည်ဖော်မဟုတလင် tool ကိုအစာသထိုသရန်ဖဌစ်နိုင်သည်။ check-gateway recursive လမ်သကဌောင်သမျာသနဟင့်အတူ netwatch.

မဟတ်စု

  1. check-gateway - ဂိတ်ဝ၏မအောင်မဌင်သောစစ်ဆေသမဟုနဟစ်ခုဆက်တိုက်ပဌုလုပ်ပဌီသနောက် လမ်သကဌောင်သကိုပိတ်နိုင်စေမည့် ယန္တရာသတစ်ခု။ စစ်ဆေသမဟုကို 10 စက္ကန့်တိုင်သ တစ်ကဌိမ်ပဌုလုပ်ပဌီသ တုံ့ပဌန်မဟု အချိန်ကုန်သလာသပါသည်။ စုစုပေါင်သ၊ အမဟန်တကယ် ကူသပဌောင်သချိန်သည် စက္ကန့် 20 မဟ 30 အတလင်သဖဌစ်သည်။ ထိုသို့သော ကူသပဌောင်သချိန်ကိုက်မဟု မလုံလောက်ပါက၊ ကိရိယာကို အသုံသပဌုရန် ရလေသချယ်ခလင့်ရဟိပါသည်။ netwatchcheck timer ကို ကိုယ်တိုင် သတ်မဟတ်နိုင်သည့် နေရာ၊ check-gateway လင့်ခ်ပေါ်ရဟိ ပဌတ်တောက်နေသော ပက်ကတ်ဆုံသရဟုံသမဟုတလင် မီသမလောင်ပါ။

    အရေသကဌီသသည်! ပင်မလမ်သကဌောင်သကို ပိတ်ခဌင်သဖဌင့် ၎င်သကိုရည်ညလဟန်သသော အခဌာသလမ်သကဌောင်သအာသလုံသကို ပိတ်လိုက်ပါမည်။ ထို့ကဌောင့် သူတို့ကို သတ်မဟတ်ရန် check-gateway=ping မလိုအပ်။

  2. သက်တမ်သတိုသသည့်အခဌေအနေတလင် ဖောက်သည်တစ်ညသ ပိတ်မိနေပုံရသည့် DHCP ယန္တရာသတလင် ချို့ယလင်သချက်တစ်ခု ဖဌစ်ပေါ်သည်။ ကကိစ္စတလင်၊ ဇာတ်ညလဟန်သ၏ဒုတိယအပိုင်သသည် အလုပ်မလုပ်ပါ၊ သို့သော်၊ ပဌည်နယ်သည် သက်ဆိုင်ရာ recursive လမ်သကဌောင်သကို ခဌေရာခံသောကဌောင့် လမ်သကဌောင်သမဟန်မမဟန် လမ်သလျဟောက်ခဌင်သကို တာသဆီသမည်မဟုတ်ပါ။
  3. ECMP (ညီမျဟသောကုန်ကျစရိတ်မျာသစလာသောလမ်သကဌောင်သ) - ROS တလင် တံခါသပေါက်မျာသစလာနဟင့် တူညီသောအကလာအဝေသဖဌင့် လမ်သကဌောင်သတစ်ခုကို သတ်မဟတ်နိုင်သည်။ ကကိစ္စတလင်၊ သတ်မဟတ်ထာသသော တံခါသပေါက်အရေအတလက်နဟင့် အချိုသအရ round robin algorithm ကို အသုံသပဌု၍ ချန်နယ်မျာသတစ်လျဟောက် ချိတ်ဆက်မဟုမျာသကို ဖဌန့်ဝေပါမည်။

ဆောင်သပါသရေသရန် တလန်သအာသအတလက်၊ ၎င်သ၏ဖလဲ့စည်သပုံနဟင့် လေယူလေသိမ်သမျာသကို နေရာချထာသရာတလင် ကူညီပါ - Evgeny အာသ ပုဂ္ဂိုလ်ရေသအရ ကျေသဇူသတင်ရဟိပါသည်။ @jscar

source: www.habr.com