ProHoster > بلاګ > اداره > ملټيوان او په Mikrotik RouterOS کې روټینګ

ملټيوان او په Mikrotik RouterOS کې روټینګ

پېژندنه

د باطل سربیره، ما ته وهڅول شو چې مقاله د روسی ژبو ټیلیګرام ټولنې په ځانګړو ګروپونو کې د دې موضوع په اړه د پوښتنو بې رحمه تعدد له امله واخلم. مقاله د Mikrotik RouterOS نوي مدیرانو لپاره ده (له دې وروسته د ROS په نوم یادیږي). دا یوازې ملټيوانونه په پام کې نیسي، په روټینګ ټینګار سره. د بونس په توګه، د خوندي او اسانه عملیاتو ډاډ ترلاسه کولو لپاره لږترلږه کافي ترتیبات شتون لري. هغه څوک چې د کتارونو موضوعاتو په لټه کې دي ، د بار توازن کول ، ویلانز ، پلونه ، د چینل حالت څو مرحلې ژور تحلیل او داسې نور ، ممکن د لوستلو وخت او هڅې ضایع نکړي.

د سرچینې ډاټا

د ROS نسخه 6.45.3 سره پنځه پورټ مایکروټیک روټر د ازموینې موضوع په توګه غوره شوی. دا به د دوو محلي شبکو (LAN1 او LAN2) او درې چمتو کونکو (ISP1، ISP2، ISP3) تر منځ ټرافيک ودروي. ISP1 ته چینل یو جامد "خړ" پته لري، ISP2 د DHCP له لارې ترلاسه شوی "سپینه" پته لري، ISP3 د PPPoE اختیار سره "سپینه" پته لري. د پیوستون ډیاګرام په انځور کې ښودل شوی:

ملټيوان او په Mikrotik RouterOS کې روټینګ

دنده د سکیم پراساس د "MTK" روټر تنظیم کول دي ترڅو:

  1. ډاډ ترلاسه کړئ چې د بیک اپ چمتو کونکي ته اتوماتیک سویچ کول. اصلي وړاندې کوونکی ISP2 دی، لومړی ریزرو ISP1 دی، دویم ریزرو ISP3 دی.
  2. یوازې د ISP1 له لارې انټرنیټ ته د LAN1 شبکې لاسرسی تنظیم کړئ.
  3. د پتې لیست پراساس د ټاکل شوي چمتو کونکي له لارې د محلي شبکو څخه انټرنیټ ته د ټرافیک د لیږد وړتیا چمتو کړئ.
  4. د محلي شبکې څخه انټرنیټ (DSTNAT) ته د خدماتو خپرولو وړتیا چمتو کړئ
  5. د فایر وال فلټر تنظیم کړئ ترڅو لږترلږه کافي انټرنیټ امنیت ډاډمن کړئ.
  6. روټر کولی شي د ټاکل شوي سرچینې پتې پورې اړوند د دریو وړاندیز کونکو له لارې خپل ترافیک خوشې کړي.
  7. ډاډ ترلاسه کړئ چې د غبرګون کڅوړې هغه چینل ته لیږدول شوي چې له کوم ځای څخه دوی راغلي (د LAN په شمول).

تبصره موږ به روټر "له سکریچ څخه" تنظیم کړو ترڅو ډاډ ترلاسه کړو چې د بکس څخه بهر پیل کولو ترتیبونو کې هیڅ حیرانتیا شتون نلري چې له نسخې څخه نسخې ته بدلیږي. وین باکس د ترتیب کولو وسیلې په توګه غوره شوی ، چیرې چې بدلونونه به په لید کې ښکاره شي. پخپله تنظیمات به د Winbox ټرمینل کې د کمانډونو لخوا مشخص شي. د ترتیب لپاره فزیکي اړیکه د Ether5 انٹرفیس سره د مستقیم ارتباط له لارې رامینځته کیږي.

په دې اړه لږ بحث چې ملټيوان څه شی دی، ایا دا ستونزه ده یا د توطیو د شبکې اوبدلو په شاوخوا کې هوښیار هوښیار خلک دي

یو پلټونکی او پام لرونکی مدیر ، په خپلواکه توګه دا ډول یا ورته سکیم رامینځته کوي ، ناڅاپه پوهیږي چې دا په هرصورت ښه کار کوي. هو، هو، د دې دودیز روټینګ جدولونو او نورو لارو قواعدو پرته چې پدې موضوع کې ډیری مقالې ډکې دي. ایا موږ به وګورو؟

ایا موږ کولی شو په انٹرفیسونو او ډیفالټ ګیټس کې پته تنظیم کړو؟ هو:

په ISP1 کې موږ پته او د دروازې سره راجستر کړل واټن = 2 и check-gateway=ping.
په ISP2 کې، د ډیفالټ dhcp پیرودونکي ترتیب دا دی چې فاصله به له یو سره مساوي وي.
په ISP3 کې د pppo پیرودونکي تنظیماتو کې کله چې add-default-route=هو واچول default-route-distance=3.

په محصول کې د NAT تنظیم کول مه هیروئ:

/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN

د پایلې په توګه، د LAN کاروونکي د اصلي ISP2 چمتو کونکي له لارې د پیشوګانو ډاونلوډ کولو کې ساتیري لري او د میکانیزم په کارولو سره د چینل ریزرویشن لري دروازه چیک کړئ یادښت 1 وګورئ

د دندې 1 ټکی پلي شوی. ملټيوان د خپلو ټاګونو سره چیرته دی؟ نه…

نور. تاسو اړتیا لرئ د ISP1 له لارې د LAN څخه ځانګړي پیرودونکي خوشې کړئ:

/ip firewall mangle add action=route chain=prerouting dst-address-list=!BOGONS
passthrough=هو route-dst=100.66.66.1 src-address-list=Via_ISP1
/ip firewall mangle add action=route chain=prerouting dst-address-list=!BOGONS
passthrough = هیڅ لاره-dst=100.66.66.1 src-address=192.168.88.0/24

د دندې 2 او 3 ټکي پلي شوي. ټاګونه، نښې، د لارې قواعد، تاسو چیرته یاست؟!

ایا تاسو اړتیا لرئ د انټرنیټ څخه پیرودونکو ته د 172.17.17.17 پتې سره خپل غوره OpenVPN سرور ته لاسرسی ورکړئ؟ مهرباني:

/ip کلاوډ سیټ ddns-enabled=هو

موږ پیرودونکو ته د تولید پایله د شریک په توګه ورکوو::پټ [ip cloud get dns-name]"

موږ د انټرنیټ څخه د پورټ فارورډینګ راجستر کوو:

/ip فایروال nat add action=dst-nat chain=dstnat dst-port=1194
in-interface-list=WAN protocol=udp to-address=172.17.17.17

4 ټکی چمتو دی.

موږ د 5 پوائنټ لپاره فایروال او نور امنیت تنظیم کړی ، په ورته وخت کې موږ خوښ یو چې هرڅه دمخه د کاروونکو لپاره کار کوي او د دوی د خوښې څښاک سره کانټینر ته ورسیږو ...
الف! تونلونه لا هم هېر شوي دي.

ایا د l2tp پیرودونکي د ګوګل شوي مقالې پراساس ترتیب شوي ستاسو د خوښې هالنډي VDS ته لوړ شوي؟ هو.
د IPsec سره د l2tp سرور پورته دی او پیرودونکي د IP کلاوډ څخه د DNS نوم کاروي (پورته وګورئ) وصل کیږي؟ هو.
بېرته په څوکۍ کېناست، د څښاک څکول، موږ په سستۍ سره د ستونزې 6 او 7 ټکي په پام کې نیسو. موږ فکر کوو - ایا موږ ورته اړتیا لرو؟ دا لاهم د ورته (c) په څیر کار کوي… نو که اړتیا نه وي، نو دا ټول دي. Multivan تطبیق شوی.

ملټيوان څه شی دی؟ دا یو روټر ته څو انټرنیټي چینلونه وصل کوي.

تاسو اړتیا نلرئ د مقالې پاتې برخه ولولئ ، ځکه چې د شکمن تطبیق ښودلو پرته بل څه کیدی شي؟

د هغو کسانو سره چې پاتې دي، څوک چې د دندې 6 او 7 ټکو سره علاقه لري، او همدارنګه د بشپړتیا خارښ احساس کوي، راځئ چې ژورې غوټۍ وکړو.

د ملټيوان پلي کولو ترټولو مهم دنده د ترافیک سمه لار ده. یعنی: هیڅ اهمیت نلري چې په کوم کې (یا کوم) وګورئ. یادښت 3 د چمتو کونکي چینل (ز) زموږ په روټر کې ډیفالټ لاره ګوري ، دا باید ځواب په دقیق ډول هغه چینل ته بیرته ورکړي چې له کوم ځای څخه کڅوړه راغلې وه. دنده روښانه ده. ستونزه چیرته ده؟ په هرصورت، په ساده محلي شبکه کې دنده ورته ده، مګر هیڅوک د اضافي ترتیباتو سره نه ځوروي او د ستونزې احساس نه کوي. توپیر دا دی چې په انټرنیټ کې هر ډول راټیټ شوي نوډ زموږ د هر چینل له لارې د لاسرسي وړ دی ، نه د سخت ځانګړي یو له لارې ، لکه په ساده LAN کې. او "ستونزه" دا ده چې که موږ د ISP3 IP پتې ته غوښتنه ترلاسه کړه ، نو زموږ په قضیه کې ځواب به د ISP2 چینل له لارې تیریږي ، ځکه چې ډیفالټ ګیټ ویز هلته لارښود شوی. دا به لاړ شي او د چمتو کونکي لخوا به غلط وي. ستونزه پریکړه شوې ده. څنګه یې حل کړو؟

موږ به حل په دریو مرحلو ویشو:

  1. مخکې ترتیب. په دې مرحله کې، د روټر بنسټیز ترتیبات به تنظیم شي: ځایی شبکه، فایروال، د پتې لیست، د ویښتو پن NAT، او داسې نور.
  2. ملټيوان. په دې مرحله کې، اړین اړیکې به په نښه شي او په روټینګ جدولونو کې ترتیب شي.
  3. د ISP سره اړیکه. په دې مرحله کې، هغه انٹرفیسونه چې د انټرنیټ اتصال چمتو کوي به ترتیب شي، روټینګ او د انټرنیټ چینلونو ذخیره کولو میکانیزم به فعال شي.

1. مخکې ترتیب کول

۱.۱. موږ د کمانډ سره د روټر ترتیب پاکوو:

/system reset-configuration skip-backup=yes no-defaults=yes

موږ ورسره موافق یو"خطرناکه! په هرصورت بیا تنظیم کړئ؟ [y/N]:او، د ریبوټ کولو وروسته، موږ د MAC له لارې Winbox سره وصل کوو. پدې مرحله کې ، ترتیب او د کارونکي اساس پاک شوی.

1.2. یو نوی کارن جوړ کړئ:

/user add group=full name=knight password=ultrasecret comment=”Not horse”

د دې لاندې ننوتل او ډیفالټ حذف کړئ:

/user remove admin

تبصره لیکوال د ډیفالټ کارونکي غیر فعال کولو پرځای حذف کول خوندي ګڼي او د هغې کارولو وړاندیز کوي.

1.3. موږ د فایر وال ، کشف تنظیماتو او نورو MAC سرورونو کې د عملیاتو اسانه کولو لپاره لومړني انٹرفیس لیستونه رامینځته کوو:

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

د نظرونو سره د انٹرفیس لاسلیک کول

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

او د انٹرفیس لیست ډک کړئ:

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

تبصره د واضح نظرونو لیکل د هغه وخت ارزښت لري چې په دې کې مصرف شوي، او دا د ستونزو حل کول او د تشکیلاتو پوهه خورا اسانه کوي.

لیکوال دا اړین ګڼي، د امنیتي دلایلو لپاره، د "WAN" انٹرفیس لیست کې د Ether3 انٹرفیس اضافه کول، سره له دې چې د IP پروتوکول به پدې کې سفر نه کوي.

مه هیروئ چې وروسته له دې چې د PPP انٹرفیس په ether3 کې پورته کیږي ، دا به د انٹرفیس لیست "WAN" کې اضافه کولو ته هم اړتیا ولري.

1.4. موږ روټر د MAC له لارې د چمتو کونکي شبکې څخه د ګاونډ کشف او کنټرول څخه پټوو:

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

1.5. موږ د روټر ساتلو لپاره لږترلږه د فایروال فلټر مقرراتو لږترلږه کافي سیټ رامینځته کوو:

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(قاعده د تاسیس شوي او اړونده اړیکو لپاره اجازه ورکوي چې دواړه د نښلول شوي شبکو او پخپله د روټر لخوا پیل شوي)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(پنګ او نه یوازې ping. ټول icmp په ان پټ کې اجازه لري. د MTU سره د ستونزو موندلو لپاره خورا ګټور)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(هغه قاعده چې د ان پټ سلسلې بندوي نور هرڅه منع کوي چې له انټرنیټ څخه راځي)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(قاعده تاسیس شوي او اړونده اړیکو ته اجازه ورکوي چې د روټر له لارې تیریږي)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(قاعده د ارتباط حالت سره اړیکې بیا تنظیموي = د روټر له لارې غلط تیریږي. دا د مایکروټیک لخوا خورا وړاندیز شوی ، مګر په ځینو نادرو شرایطو کې دا ممکن ګټور ترافیک بند کړي)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(قاعده هغه پاکټونه منع کوي چې له انټرنیټ څخه راځي د روټر څخه تیریږي او د dstnat کړنالرې یې ندي تیر کړي. دا به محلي شبکې د برید کونکو څخه ساتي څوک چې زموږ د بهرني شبکو سره په ورته نشراتي ډومین کې وي ، زموږ بهرني IPs به د یو په توګه ثبت کړي. ګیټ وے او په دې توګه هڅه وکړئ چې زموږ محلي شبکې "سپړئ".)

تبصره راځئ فرض کړو چې شبکې LAN1 او LAN2 باوري دي او د دوی تر مینځ ترافیک او له دوی څخه فلټر شوي ندي.

1.6. موږ د نه روټ کیدونکي شبکو لیست سره یو لیست جوړوو:

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(دا د ادرسونو او شبکو لیست دی چې انټرنیټ ته نه لیږل کیږي او په وینا یې، موږ به دا هم تعقیب کړو.)

تبصره لیست ممکن بدل شي، نو زه تاسو ته مشوره درکوم چې په دوره توګه یې د مطابقت لپاره وګورئ.

1.7. موږ پخپله د روټر لپاره DNS تنظیم کوو:

/ip dns set servers=1.1.1.1,8.8.8.8

تبصره د ROS په اوسنۍ نسخه کې، متحرک سرورونه په جامد ډول تعریف شوي خلکو ته لومړیتوب ورکوي. د نوم حل غوښتنه په لیست کې په ترتیب کې لومړي سرور ته لیږل کیږي. راتلونکي سرور ته لیږد ترسره کیږي که چیرې اوسنی شتون نلري. وخت اوږد دی - له 5 ثانیو څخه ډیر. بیرته راستنیدل کله چې "ټیټ شوی سرور" بیا پیل شي په اوتومات ډول نه پیښیږي. د دې الګوریتم او د ملټيوان شتون په پام کې نیولو سره، لیکوال وړاندیز کوي چې د چمتو کونکو لخوا چمتو شوي سرورونه ونه کاروي.

1.8. د محلي شبکې تنظیم کول.
1.8.1. موږ د محلي شبکې انٹرفیسونو کې جامد IP پتې تنظیم کوو:

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2. موږ د اصلي روټینګ جدول له لارې زموږ محلي شبکو ته د لارې قواعد ټاکو:

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

تبصره دا د روټر انٹرفیسونو د بهرني IP پتې سرچینو سره محلي شبکې پتې ته د لاسرسي لپاره یو له ساده او ګړندۍ لارو څخه دی چې له لارې یې ډیفالټ لاره نه ځي.

1.8.3. د LAN1 او LAN2 لپاره Hairpin NAT فعال کړئ:

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

تبصره دا تاسو ته اجازه درکوي چې د شبکې دننه د بهرني IP له لارې خپلو سرچینو (dstnat) ته لاسرسی ومومئ.

2. په حقیقت کې، د هغه ډېر سم multivan پلي کول

د "چیرته چې پوښتل شوي ځواب ورکول" د ستونزې حل کولو لپاره موږ به دوه ROS وسیلې وکاروو: د پیوستون نښه и د لارې نښه. د پیوستون نښه تاسو ته اجازه درکوي چې مطلوب پیوستون په نښه کړئ او بیا د غوښتنلیک لپاره د شرط په توګه د دې نښه سره کار وکړئ د لارې نښه. او لا دمخه ورسره د لارې نښه کې کار کول ممکن دي ای پی لاره и د لارې قواعد. موږ وسیلې ترتیب کړې، اوس موږ اړتیا لرو چې پریکړه وکړو چې کومې اړیکې په نښه کړو - یو، چیرته په سمه توګه په نښه کړو - دوه.

د لومړي سره، هرڅه ساده دي - موږ باید ټولې اړیکې په نښه کړو چې د مناسب چینل له لارې د انټرنیټ څخه روټر ته راځي. زموږ په قضیه کې، دا به درې لیبلونه وي (د چینلونو د شمیر سره سم): "conn_isp1"، "conn_isp2" او "conn_isp3".

د دوهم سره اهمیت دا دی چې راتلونکي اړیکې به دوه ډوله وي: ټرانزیټ او هغه چې پخپله د روټر لپاره ټاکل شوي. د پیوستون نښه میکانیزم په جدول کې کار کوي منګل. راځئ چې په ساده شوي ډیاګرام کې د کڅوړې حرکت وګورو ، په مهربانۍ سره د سرچینې mikrotik-trainings.com څخه د متخصصینو لخوا ترتیب شوی (نه اعلانونه):

ملټيوان او په Mikrotik RouterOS کې روټینګ

د تیرونو په تعقیب، موږ ګورو چې کڅوړه "ته راځي"ننوتۍ برسیر"، د زنځیر سره تیریږي"پریروټینګ"او یوازې بیا دا په بلاک کې په ټرانزیټ او محلي ویشل کیږي"د تګ راتګ پریکړه" له همدې امله، موږ به په یوه تیږه کې دوه مرغۍ ووژنو د پیوستون نښه په میز کې منګل پری روټینګ زنځیرونه پریروټینګ.

یادونه. په ROS کې، "روټینګ نښه" د Ip/Routes/Rules په برخه کې د "جدول" په توګه او په نورو برخو کې د "روټینګ نښه" په توګه ښودل شوي. دا ممکن په پوهیدو کې یو څه ګډوډي رامینځته کړي ، مګر ، په اصل کې ، دا ورته شی دی ، او په لینکس کې په iproute2 کې د rt_tables انالوګ دی.

2.1. موږ د هر چمتو کونکي څخه راتلونکي اړیکې په نښه کوو:

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

تبصره د دې لپاره چې دمخه په نښه شوي پیوستونونه په نښه نه کړئ، زه د کنکشن-ریاست = نوي پر ځای د شرط اړیکه-نښان = هیڅ نښه کاروم ځکه چې زما په اند دا خورا سم دی، په بیله بیا د ان پټ فلټر کې د غلطو اړیکو له مینځه وړلو څخه انکار کول.


passthrough=no - ځکه چې د دې پلي کولو میتود کې بیا لیبل کول خارج شوي او د ګړندي کولو لپاره ، تاسو کولی شئ د لومړۍ میچ وروسته د مقرراتو لټون مداخله وکړئ.

دا باید په پام کې ونیول شي چې موږ تر اوسه په هیڅ ډول د لارې په جوړولو کې مداخله نه کوو. اوس یوازې د چمتووالي مرحلې روانې دي. د پلي کولو راتلونکی مرحله به د ټرانسپورټ ټرافیک پروسس وي چې په محلي شبکه کې د منزل څخه د یو تاسیس شوي ارتباط له لارې بیرته راستنیږي. هغوی. هغه کڅوړې چې (ډیاګرام وګورئ) د لارې په اوږدو کې د روټر څخه تیریږي:

"د انپاټ انٹرفیس" =>"پریروټینګ" =>"روټینګ پریکړه" =>"فارورډ" =>"پوسټ روټینګ" =>"آؤټ پټ انٹرفیس" او په محلي شبکه کې خپل منزل ته ورسیدل.

مهم! په ROS کې په خارجي او داخلي انٹرفیسونو کې هیڅ منطقي ویش شتون نلري. که تاسو د پورتنۍ ډیاګرام سره سم د ځواب کڅوړې لاره ومومئ ، نو دا به د غوښتنې په څیر ورته منطقي لاره تعقیب کړي:

"د انپاټ انٹرفیس" =>"پریروټینګ" =>"روټینګ پریکړه" =>"فارورډ" =>"پوسټ روټینګ" =>"آؤټ پټ انٹرفیس" یوازې غوښتنه کول "ننوتۍ برسیر"د ISP انٹرفیس شتون درلود، او د ځواب لپاره یو LAN و

2.2. موږ د مناسب روټینګ جدولونو سره سم د غبرګون ټرانسپورټ ټرافیک ته لاره ورکوو:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

تبصره. in-interface-list=!WAN - موږ یوازې د محلي شبکې له ترافیک سره کار کوو او dst-address-type=!local چې پخپله د روټر د انٹرفیس د منزل پته نلري.

ورته د محلي پاکټونو لپاره ځي چې د لارې په اوږدو کې روټر ته رسیدلي:

"ان پټ انٹرفیس" =>"پریروټینګ" =>"د روټینګ پریکړه" =>"ان پټ" =>"سیمه ایز پروسه"

مهم! ځواب به په لاندې لاره لاړ شي:

"سیمه ایزه پروسه" =>"د روټینګ پریکړه" =>"آؤټ پټ" =>"پوسټ روټینګ" =>"آؤټ پټ انٹرفیس"

2.3. موږ د مناسب روټینګ جدولونو له لارې ځایی ترافیک ته ځواب ورکوو:

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

پدې مرحله کې، د انټرنیټ چینل ته د ځواب لیږلو لپاره د چمتو کولو دنده چې له هغې څخه غوښتنه شوې وه حل کیدی شي. هرڅه په نښه شوي، لیبل شوي او د تګ لپاره چمتو دي.
د دې سیټ اپ یو غوره "طرف" اغیز د دواړو (ISP2, ISP3) چمتو کونکو څخه په ورته وخت کې د DSNAT بندرونو لیږلو وړتیا ده. په ټولو کې نه، ځکه چې موږ په ISP1 کې د تګ وړ پته نلرو. دا اغیز مهم دی، د بیلګې په توګه، د میل سرور لپاره چې د دوو MXs سره چې مختلف انټرنیټ چینلونه ګوري.

د بهرني IP راوټرونو سره د ځایی شبکو عملیاتو باریکیو له مینځه وړو لپاره ، موږ د پراګرافونو حلونه کاروو. 1.8.2 او 3.1.2.6.

سربیره پردې، تاسو کولی شئ د نښه کولو وسیله وکاروئ ترڅو د ستونزې 3 ټکی حل کړئ. راځئ چې دا په لاندې ډول پلي کړو:

2.4. موږ د ځایی پیرودونکو څخه ټرافیک د روټینګ لیستونو څخه مناسب جدولونو ته لارښود کوو:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

په مجموع کې، دا یو څه داسې ښکاري:

ملټيوان او په Mikrotik RouterOS کې روټینګ

3. د ISP سره پیوستون تنظیم کړئ او د برانډ لخوا روټینګ فعال کړئ

3.1. د ISP1 سره پیوستون تنظیم کول:
3.1.1. یو جامد IP پته تنظیم کړئ:

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2. د جامد روټینګ تنظیم کول:
3.1.2.1. یو ډیفالټ "اضطراري" لاره اضافه کړئ:

/ip route add comment="Emergency route" distance=254 type=blackhole

تبصره دا لار د سیمه ایزو پروسو څخه ټرافیک ته اجازه ورکوي چې د لارې پریکړې مرحله تیره کړي پرته لدې چې د کوم وړاندیز کونکي اړیکې حالت ته په پام سره. د وتلو ځایی ترافیک اهمیت دا دی چې د دې لپاره چې پیکټ هرچیرې حرکت وکړي ، باید په اصلي روټینګ جدول کې د ډیفالټ دروازې ته فعاله لاره وي. که دا شتون ونلري، نو بسته به په ساده ډول ویجاړ شي.

د وسیلې د تمدید په توګه دروازه چیک کړئ د چینل حالت د ژورې تحلیل لپاره، زه د تکراري لارو میتود کارولو وړاندیز کوم. د میتود جوهر دا دی چې موږ روټر ته لارښوونه کوو چې د هغې دروازې ته لاره وګورو مستقیم نه ، مګر د مینځنۍ دروازې له لارې. 4.2.2.1، 4.2.2.2 او 4.2.2.3 به په ترتیب سره د ISP1، ISP2 او ISP3 لپاره د ورته "ازموینې" دروازې په توګه وټاکل شي.

3.1.2.2. د "تصدیق" پتې ته لاره:

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

تبصره موږ په راتلونکي کې د تکراري دروازې په توګه د 4.2.2.1 کارولو لپاره د ROS هدف سکوپ کې ډیفالټ ته د ساحې ارزښت ټیټ کوو. زه ټینګار کوم: د "ازموینې" پتې ته د لارې ساحه باید د لارې د هدف ساحې څخه کم یا مساوي وي چې د ازموینې پتې ته راجع کیږي.

3.1.2.3. د ټرافیک لپاره د ډیفالټ تکراري لار پرته د روټینګ نښه:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

تبصره د ارزښت فاصله = 2 کارول کیږي ځکه چې ISP1، د دندې شرایطو سره سم، د لومړي بیک اپ په توګه اعلان شوی.

3.1.2.4. د ټرافیک لپاره ډیفالټ تکراري لار د روټینګ نښه "to_isp1" سره:

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

تبصره په حقیقت کې ، دلته موږ په پای کې د چمتووالي کار له میوو څخه خوند اخیستل پیل کوو چې په 2 نقطه کې ترسره شوي.


د دې لارې په اوږدو کې، ټول ټرافیک چې د "to_isp1" نښه لاره لري د لومړي چمتو کونکي دروازې ته لیږدول کیږي، پرته له دې چې د اصلي میز لپاره اوس مهال د ډیفالټ دروازې فعاله وي.

3.1.2.5. د ISP2 او ISP3 ټګ شوي ترافیک لپاره لومړی ډیفالټ فال بیک تکراري لاره:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

تبصره دا لارې د نورو شیانو په مینځ کې د محلي شبکو څخه د ټرافیک ذخیره کولو لپاره اړین دي چې د پتې لیست غړي دي "to_isp*"'

3.1.2.6. موږ د ISP1 له لارې انټرنیټ ته د روټر محلي ترافیک لپاره لاره راجستر کوو:

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

تبصره د 1.8.2 پراګراف د مقرراتو سره په ترکیب کې، د ورکړل شوي سرچینې سره مطلوب چینل ته لاسرسی چمتو شوی. دا د تونلونو جوړولو لپاره خورا مهم دی چیرې چې د سیمه ایز اړخ IP پته مشخص شوې (EoIP, IP-IP, GRE). څرنګه چې د ip روټ په قواعدو کې مقررات له پورته څخه تر ښکته پورې اجرا کیږي، د شرایطو لومړۍ لوبه پورې، دا قاعده باید د 1.8.2 بند له قواعدو وروسته وي.

3.1.3. موږ د وتلو ترافیک لپاره د NAT قانون ترتیب کړ:

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

تبصره NAT هرڅه دي چې بهر ځي، پرته له هغه څه چې د IPsec پالیسیو کې راځي. زه هڅه کوم چې عمل = ماسکریډ ونه کاروم پرته لدې چې بالکل اړین وي. دا د src-nat په پرتله ورو او ډیرې سرچینې دي ځکه چې دا د هرې نوې اړیکې لپاره د NAT پته محاسبه کوي.

3.1.4. موږ د لیست څخه پیرودونکي لیږو چې د نورو چمتو کونکو له لارې مستقیم د ISP1 چمتو کونکي دروازې ته د لاسرسي منع دي.

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

تبصره action=route لوړ لومړیتوب لري او د نورو روټینګ قواعدو څخه مخکې پلي کیږي.


place-fore=0 - زموږ قاعده په لیست کې لومړی ځای نیسي.

3.2. د ISP2 سره پیوستون تنظیم کول.

څرنګه چې د ISP2 چمتو کونکی موږ ته د DHCP له لارې تنظیمات چمتو کوي، نو دا مناسبه ده چې د سکریپټ په کارولو سره اړین بدلونونه رامینځته کړئ چې د DHCP پیرودونکی پیل کیدو سره پیل کیږي:

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

سکریپټ پخپله د وین باکس کړکۍ کې:

ملټيوان او په Mikrotik RouterOS کې روټینګ
تبصره د سکریپټ لومړۍ برخه هغه وخت پیل کیږي کله چې اجاره په بریالیتوب سره ترلاسه شي، دویمه - د اجارې خوشې کیدو وروسته.یادښت 2 وګورئ

3.3. د ISP3 چمتو کونکي سره پیوستون تنظیم کول.

څرنګه چې چمتو کوونکی موږ ته متحرک ترتیبات راکوي، دا مناسبه ده چې د سکریپټونو په کارولو سره اړین بدلونونه رامینځته کړئ چې د ppp انٹرفیس پورته کیدو وروسته پیل کیږي او وروسته له دې چې راټیټ شي.

3.3.1. لومړی موږ پروفایل تنظیم کوو:

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

سکریپټ پخپله د وین باکس کړکۍ کې:

ملټيوان او په Mikrotik RouterOS کې روټینګ
تبصره کرښه
/ip firewall mangle set [find comment="Connmark in from ISP3"] in-interface=$"interface";
تاسو ته اجازه درکوي په سمه توګه د انٹرفیس نوم بدلولو اداره کړئ، ځکه چې دا د خپل کوډ سره کار کوي نه د ښودلو نوم.

3.3.2. اوس، د پروفایل په کارولو سره، موږ د پی پی پی پیوستون جوړوو:

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

د وروستي تماس په توګه، راځئ چې ساعت تنظیم کړو:

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

د هغو کسانو لپاره چې تر پایه یې لوستل

د ملټيوان پلي کولو وړاندیز شوی میتود د لیکوال شخصي غوره توب دی او یوازینۍ ممکنه نه ده. د ROS اوزار کټ پراخه او انعطاف منونکی دی ، کوم چې له یوې خوا د پیل کونکو لپاره ستونزې رامینځته کوي ، او له بلې خوا د دې د شهرت لامل دی. مطالعه وکړئ، هڅه وکړئ، نوي وسایل او حلونه ومومئ. د مثال په توګه ، د ترلاسه شوي پوهې غوښتنلیک په توګه ، تاسو کولی شئ پدې ملټيوان پلي کولو کې وسیله ځای په ځای کړئ د چک دروازې د تکراري لارو سره Netwatch.

یادښتونه

  1. د چک دروازې - یو میکانیزم چې تاسو ته اجازه درکوي د شتون لپاره د دروازې دوه پرله پسې ناکام چیکونو وروسته لاره غیر فعاله کړئ. چک په هرو 10 ثانیو کې یو ځل ترسره کیږي، او د ځواب وخت پای ته رسیږي. په مجموع کې، د بدلولو حقیقي وخت د 20-30 ثانیو په حد کې دی. که چیرې د دې بدلولو وخت کافي نه وي ، د وسیلې کارولو لپاره اختیار شتون لري Netwatch، چیرې چې د چک ټایمر په لاسي ډول تنظیم کیدی شي. میکانیزم د چک دروازې کار نه کوي که چیرې په چینل کې د دوراني پیکټ ضایعات شتون ولري.

    مهم! د اصلي لارې غیر فعال کول د نورو ټولو لارو غیر فعال کول دي چې ورته اشاره کوي. له همدې امله، د دوی د اشاره کولو لپاره check-gateway=ping ضروری نه ده.

  2. دا پیښیږي چې د DHCP میکانیزم کې ناکامي رامینځته کیږي ، کوم چې داسې ښکاري چې پیرودونکي په نوي حالت کې کنګل شوي وي. په دې حالت کې، د سکریپټ دویمه برخه به کار ونکړي، مګر دا به په سمه توګه د ټرافیک په جریان کې مداخله ونه کړي، ځکه چې دولت ورته تکراري لاره تعقیبوي.
  3. ECMP (د مساوي لګښت څو لارې) - په ROS کې دا ممکنه ده چې د څو دروازې او ورته فاصلې سره لاره تنظیم کړئ. پدې حالت کې ، اړیکې به د راؤنډ رابین الګوریتم په کارولو سره په چینلونو کې توزیع شي ، د ټاکل شوي ګیټ ویز شمیر په تناسب.

د مقالې لیکلو هڅولو لپاره، د دې جوړښت په جوړولو او ټینګار کولو کې مرسته وکړئ - د Evgeniy څخه شخصي مننه @jscar

سرچینه: www.habr.com