ProHoster > Osnove statičnega usmerjanja v Mikrotik RouterOS

Osnove statičnega usmerjanja v Mikrotik RouterOS

Usmerjanje je postopek iskanja najboljše poti za prenos paketov prek omrežij TCP/IP. Vsaka naprava, povezana z omrežjem IPv4, vsebuje proces in usmerjevalne tabele.

Ta članek ni HOWTO, s primeri opisuje statično usmerjanje v RouterOS, ostale nastavitve (npr. srcnat za dostop do interneta) sem namenoma izpustil, zato razumevanje gradiva zahteva določeno raven znanja o omrežjih in RouterOS.

Preklapljanje in usmerjanje

Osnove statičnega usmerjanja v Mikrotik RouterOS

Preklapljanje je proces izmenjave paketov znotraj enega Layer2 segmenta (Ethernet, ppp, ...). Če naprava vidi, da je prejemnik paketa v istem ethernetnem podomrežju z njo, se nauči naslova mac z uporabo protokola arp in pošlje paket neposredno, mimo usmerjevalnika. Povezava ppp (od točke do točke) ima lahko samo dva udeleženca in paket se vedno pošlje na en naslov 0xff.

Usmerjanje je postopek prenosa paketov med segmenti Layer2. Če želi naprava poslati paket, katerega prejemnik je zunaj segmenta Ethernet, pogleda v svojo usmerjevalno tabelo in posreduje paket do prehoda, ki ve, kam poslati paket naslednjič (ali morda ne ve, prvotni pošiljatelj paketa se tega ne zaveda).

Usmerjevalnik si najlažje predstavljamo kot napravo, ki je povezana z dvema ali več segmenti Layer2 in je sposobna prenašati pakete med njimi tako, da določi najboljšo pot iz usmerjevalne tabele.

Če vse razumete ali ste že vedeli, berite dalje. Za ostalo toplo priporočam, da se seznanite z majhnim, a zelo prostornim člankov.

Usmerjanje v RouterOS in PacketFlow

Skoraj vsa funkcionalnost, povezana s statičnim usmerjanjem, je v paketu sistem. Plastična vrečka usmerjanje dodaja podporo za dinamične algoritme usmerjanja (RIP, OSPF, BGP, MME), usmerjevalne filtre in BFD.

Glavni meni za nastavitev usmerjanja: [IP]->[Route]. Zapletene sheme lahko zahtevajo, da so paketi vnaprej označeni z oznako usmerjanja v: [IP]->[Firewall]->[Mangle] (verige PREROUTING и OUTPUT).

Na PacketFlow so tri mesta, kjer se sprejemajo odločitve o usmerjanju paketov IP:
Osnove statičnega usmerjanja v Mikrotik RouterOS

  1. Usmerjanje paketov, ki jih prejme usmerjevalnik. Na tej stopnji se odloči, ali bo paket šel v lokalni proces ali bo poslan naprej v omrežje. Transit paketi prejemajo Vmesnikov
  2. Usmerjanje lokalnih odhodnih paketov. Prejem odhodnih paketov Vmesnikov
  3. Dodaten korak usmerjanja za odhodne pakete vam omogoča, da spremenite odločitev o usmerjanju v [Output|Mangle]

  • Pot paketa v blokih 1, 2 je odvisna od pravil v [IP]->[Route]
  • Pot paketa v točkah 1, 2 in 3 je odvisna od pravil v [IP]->[Route]->[Rules]
  • Na pot paketa v blokih 1, 3 je mogoče vplivati ​​z uporabo [IP]->[Firewall]->[Mangle]

RIB, FIB, usmerjevalni predpomnilnik

Osnove statičnega usmerjanja v Mikrotik RouterOS

Baza informacij o poti
Baza, v kateri so zbrane poti iz dinamičnih protokolov usmerjanja, poti iz ppp in dhcp, statične in povezane poti. Ta zbirka podatkov vsebuje vse poti, razen tistih, ki jih filtrira skrbnik.

Pogojno, to lahko domnevamo [IP]->[Route] prikaže RIB.

Informacijska baza posredovanja
Osnove statičnega usmerjanja v Mikrotik RouterOS

Baza, v kateri so zbrane najboljše poti iz RIB. Vse poti v FIB so aktivne in se uporabljajo za posredovanje paketov. Če pot postane neaktivna (onemogočena s strani skrbnika (sistema) ali vmesnik, preko katerega naj bi bil paket poslan, ni aktiven), se pot odstrani iz FIB.

Za odločitev o usmerjanju tabela FIB uporablja naslednje informacije o paketu IP:

  • Naslov vira
  • Destinacijski naslov
  • izvorni vmesnik
  • Oznaka poti
  • ToS (DSCP)

Vstop v paket FIB poteka skozi naslednje faze:

  • Ali je paket namenjen procesu lokalnega usmerjevalnika?
  • Ali za paket veljajo sistemska ali uporabniška pravila PBR?
    • Če da, potem je paket poslan v podano usmerjevalno tabelo
  • Paket je poslan v glavno mizo

Pogojno, to lahko domnevamo [IP]->[Route Active=yes] prikaže FIB.

Usmerjevalni predpomnilnik
Mehanizem predpomnjenja poti. Usmerjevalnik si zapomni kam so bili paketi poslani in če obstajajo podobni (verjetno iz iste povezave) jih spusti po isti poti, brez preverjanja v FIB. Predpomnilnik poti se občasno počisti.

Za skrbnike RouterOS niso naredili orodij za pregledovanje in upravljanje predpomnilnika usmerjanja, ampak ko ga je mogoče onemogočiti v [IP]->[Settings].

Ta mehanizem je bil odstranjen iz jedra linux 3.6, vendar RouterOS še vedno uporablja jedro 3.3.5, morda je eden od razlogov Routing cahce.

Pogovorno okno za dodajanje poti

[IP]->[Route]->[+]
Osnove statičnega usmerjanja v Mikrotik RouterOS

  1. Podomrežje, za katerega želite ustvariti pot (privzeto: 0.0.0.0/0)
  2. IP prehoda ali vmesnik, na katerega bo poslan paket (lahko jih je več, glejte ECMP spodaj)
  3. Preverjanje razpoložljivosti prehoda
  4. Vrsta zapisa
  5. Razdalja (metrična) za pot
  6. Usmerjevalna miza
  7. IP za lokalne odhodne pakete po tej poti
  8. Namen Scope in Target Scope je zapisan na koncu članka.

Zastavice poti
Osnove statičnega usmerjanja v Mikrotik RouterOS

  • X - Pot je onemogočil skrbnik (disabled=yes)
  • A – Pot se uporablja za pošiljanje paketov
  • D - Dinamično dodana pot (BGP, OSPF, RIP, MME, PPP, DHCP, povezano)
  • C - Podomrežje je povezano neposredno z usmerjevalnikom
  • S - Statična pot
  • r,b,o,m - pot, ki jo je dodal eden od protokolov dinamičnega usmerjanja
  • B,U,P - Filtriranje poti (spušča pakete namesto prenosa)

Kaj navesti v prehodu: ip-naslov ali vmesnik?

Sistem vam omogoča, da določite oboje, medtem ko ne preklinja in ne daje namigov, če ste naredili kaj narobe.

IP naslov
Naslov prehoda mora biti dostopen preko Layer2. Za Ethernet to pomeni, da mora usmerjevalnik imeti naslov iz istega podomrežja na enem od aktivnih vmesnikov ip, za ppp pa da je naslov prehoda določen na enem od aktivnih vmesnikov kot naslov podomrežja.
Če pogoj dostopnosti za Layer2 ni izpolnjen, se pot šteje za neaktivno in ne spada v FIB.

vmesnik
Vse je bolj zapleteno in obnašanje usmerjevalnika je odvisno od vrste vmesnika:

  • Povezava PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) predvideva le dva udeleženca in paket bo vedno poslan prehodu za prenos; če prehod zazna, da je prejemnik sam, bo paket prenesel na njegov lokalni proces.
    Osnove statičnega usmerjanja v Mikrotik RouterOS
  • Ethernet predpostavlja prisotnost številnih udeležencev in bo vmesniku arp poslal zahteve z naslovom prejemnika paketa, kar je pričakovano in povsem običajno vedenje za povezane poti.
    Toda ko poskusite vmesnik uporabiti kot pot za oddaljeno podomrežje, boste dobili naslednjo situacijo: pot je aktivna, ping do prehoda prehaja, vendar ne doseže prejemnika iz navedenega podomrežja. Če pogledate vmesnik skozi sniffer, boste videli zahteve arp z naslovi iz oddaljenega podomrežja.
    Osnove statičnega usmerjanja v Mikrotik RouterOS

Osnove statičnega usmerjanja v Mikrotik RouterOS

Poskusite določiti naslov ip kot prehod, kadar koli je to mogoče. Izjema so povezane poti (ustvarjene samodejno) in vmesniki PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN*).

OpenVPN ne vsebuje glave PPP, lahko pa uporabite ime vmesnika OpenVPN za ustvarjanje poti.

Natančnejša pot

Osnovno pravilo usmerjanja. Pot, ki opisuje manjše podomrežje (z največjo masko podomrežja), ima prednost pri odločitvi o usmerjanju paketa. Položaj vnosov v usmerjevalni tabeli ni pomemben za izbiro - glavno pravilo je Bolj specifično.

Osnove statičnega usmerjanja v Mikrotik RouterOS

Vse poti iz navedene sheme so aktivne (nahajajo se v FIB). kažejo na različna podomrežja in niso v nasprotju med seboj.

Če eden od prehodov postane nedosegljiv, bo povezana pot obravnavana kot neaktivna (odstranjena iz FIB) in paketi bodo preiskani na preostalih poteh.

Pot s podomrežjem 0.0.0.0/0 ima včasih poseben pomen in se imenuje "Privzeta pot" ali "Vhod v zadnji sili". Pravzaprav v njem ni nič čarobnega in preprosto vključuje vse možne naslove IPv4, a ta imena dobro opišejo njegovo nalogo - nakazuje prehod, kamor naj posreduje pakete, za katere ni drugih, natančnejših poti.

Največja možna podomrežna maska ​​za IPv4 je /32, ta pot kaže na določenega gostitelja in jo je mogoče uporabiti v usmerjevalni tabeli.

Razumevanje bolj specifične poti je temeljnega pomena za vsako napravo TCP/IP.

Razdalja

Razdalje (ali metrike) so potrebne za administrativno filtriranje poti do posameznega podomrežja, dostopnega prek več prehodov. Pot z nižjo metriko se šteje za prednostno in bo vključena v FIB. Če pot z nižjo metriko preneha biti aktivna, jo bo nadomestila pot z višjo metriko v FIB.
Osnove statičnega usmerjanja v Mikrotik RouterOS

Če obstaja več poti do istega podomrežja z isto metriko, bo usmerjevalnik dodal samo eno od njih v tabelo FIB, vodeno po svoji notranji logiki.

Meritev ima lahko vrednost od 0 do 255:
Osnove statičnega usmerjanja v Mikrotik RouterOS

  • 0 – metrika za povezane poti. Razdalje 0 skrbnik ne more nastaviti
  • 1-254 - Metrike, ki so na voljo skrbniku za nastavitev poti. Meritve z nižjo vrednostjo imajo višjo prednost
  • 255 - Metrika, ki je na voljo skrbniku za nastavitev poti. Za razliko od 1-254 ostane pot z metriko 255 vedno neaktivna in ne sodi v FIB
  • specifične metrike. Poti, izpeljane iz protokolov dinamičnega usmerjanja, imajo standardne metrične vrednosti

preverite prehod

Check gateway je razširitev MikroTik RoutesOS za preverjanje razpoložljivosti prehoda prek icmp ali arp. Enkrat na vsakih 10 sekund (ni mogoče spremeniti) se na prehod pošlje zahteva, če odgovor ni prejet dvakrat, se pot šteje za nedosegljivo in se odstrani iz FIB. Če je prehod za preverjanje onemogočen, se pot preverjanja nadaljuje in pot bo znova aktivna po enem uspešnem preverjanju.
Osnove statičnega usmerjanja v Mikrotik RouterOS

Preveri prehod onemogoči vnos, v katerem je konfiguriran, in vse druge vnose (v vseh usmerjevalnih tabelah in poteh ecmp) z navedenim prehodom.

Na splošno preverjanje prehoda deluje dobro, dokler ni težav z izgubo paketov na prehodu. Check gateway ne ve, kaj se dogaja s komunikacijo zunaj preverjenega prehoda, to zahteva dodatna orodja: skripte, rekurzivno usmerjanje, dinamične protokole usmerjanja.

Večina protokolov VPN in tunelskih protokolov vsebuje vgrajena orodja za preverjanje dejavnosti povezav, omogočanje preverjanja prehoda zanje pa je dodatna (vendar zelo majhna) obremenitev za omrežje in zmogljivost naprave.

poti ECMP

Equal-Cost Multi-Path - pošiljanje paketov prejemniku prek več prehodov hkrati z uporabo algoritma Round Robin.

Pot ECMP ustvari skrbnik tako, da določi več prehodov za eno podomrežje (ali samodejno, če obstajata dve enakovredni poti OSPF).
Osnove statičnega usmerjanja v Mikrotik RouterOS

ECMP se uporablja za izravnavo obremenitve med dvema kanaloma. Teoretično, če sta na poti ecmp dva kanala, mora biti za vsak paket odhodni kanal drugačen. Toda mehanizem usmerjevalnega predpomnilnika pošilja pakete iz povezave po poti, po kateri je šel prvi paket, posledično dobimo nekakšno uravnoteženje na podlagi povezav (per-connection loading balancing).

Če onemogočite usmerjevalni predpomnilnik, bodo paketi na poti ECMP pravilno deljeni, vendar obstaja težava z NAT. Pravilo NAT obdela samo prvi paket iz povezave (ostali se obdelajo samodejno) in izkaže se, da paketi z enakim izvornim naslovom zapustijo različne vmesnike.
Osnove statičnega usmerjanja v Mikrotik RouterOS

Preverite, ali prehod ne deluje na poteh ECMP (napaka RouterOS). Toda to omejitev lahko zaobidete tako, da ustvarite dodatne poti preverjanja, ki bodo onemogočile vnose v ECMP.

Filtriranje s pomočjo usmerjanja

Možnost Vrsta določa, kaj storiti s paketom:

  • unicast - pošlji na navedeni prehod (vmesnik)
  • blackhole - zavrzi paket
  • prepovedano, nedosegljivo - zavrzite paket in pošljite sporočilo icmp pošiljatelju

Filtriranje se običajno uporablja, ko je treba zavarovati pošiljanje paketov po napačni poti, seveda lahko to filtrirate preko požarnega zidu.

Nekaj ​​primerov

Za utrjevanje osnovnih stvari o usmerjanju.

Tipičen domači usmerjevalnik
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

  1. Statična pot do 0.0.0.0/0 (privzeta pot)
  2. Povezana pot na vmesniku s ponudnikom
  3. Povezana pot na vmesniku LAN

Tipičen domači usmerjevalnik s PPPoE
Osnove statičnega usmerjanja v Mikrotik RouterOS

  1. Statična pot k privzeti poti, dodana samodejno. je določeno v lastnostih povezave
  2. Povezana pot za povezavo PPP
  3. Povezana pot na vmesniku LAN

Tipičen domači usmerjevalnik z dvema ponudnikoma in redundanco
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

  1. Statična pot do privzete poti prek prvega ponudnika z metriko 1 in preverjanjem razpoložljivosti prehoda
  2. Statična pot do privzete poti prek drugega ponudnika z metriko 2
  3. Povezane poti

Promet do 0.0.0.0/0 gre skozi 10.10.10.1, medtem ko je ta prehod na voljo, sicer preklopi na 10.20.20.1

Takšno shemo lahko štejemo za rezervacijo kanala, vendar ni brez pomanjkljivosti. Če pride do prekinitve zunaj ponudnikovega prehoda (na primer v operaterjevem omrežju), vaš usmerjevalnik za to ne bo vedel in bo pot še naprej obravnaval kot aktivno.

Tipičen domači usmerjevalnik z dvema ponudnikoma, redundanco in ECMP
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

  1. Statične poti za preverjanje chack prehoda
  2. pot ECMP
  3. Povezane poti

Poti za preverjanje so modre (barva neaktivnih poti), vendar to ne moti prehoda za preverjanje. Trenutna različica (6.44) RoS daje samodejno prednost poti ECMP, vendar je bolje dodati testne poti v druge usmerjevalne tabele (možnost routing-mark)

Na Speedtestu in drugih podobnih straneh ne bo povečanja hitrosti (ECMP deli promet po povezavah, ne po paketih), bi se pa morale p2p aplikacije prenašati hitreje.

Filtriranje prek usmerjanja
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

  1. Statična pot do privzete poti
  2. Statična pot do 192.168.200.0/24 prek tunela ipip
  3. Prepoved statične poti do 192.168.200.0/24 prek usmerjevalnika ISP

Možnost filtriranja, pri kateri promet v tunelu ne bo šel do usmerjevalnika ponudnika, ko je vmesnik ipip onemogočen. Takšne sheme so redko potrebne, ker blokiranje lahko izvedete prek požarnega zidu.

Usmerjevalna zanka
Routing loop - situacija, ko paket teče med usmerjevalniki, preden poteče ttl. Običajno je posledica konfiguracijske napake, v velikih omrežjih se zdravi z implementacijo dinamičnih usmerjevalnih protokolov, v majhnih - previdno.

Izgleda nekako takole:
Osnove statičnega usmerjanja v Mikrotik RouterOS

Primer (najpreprostejši), kako do podobnega rezultata:
Osnove statičnega usmerjanja v Mikrotik RouterOS

Primer usmerjevalne zanke ni praktičen, vendar kaže, da usmerjevalniki nimajo pojma o sosedovi usmerjevalni tabeli.

Osnovno usmerjanje pravilnika in dodatne usmerjevalne tabele

Usmerjevalnik pri izbiri poti uporablja le eno polje iz glave paketa (Dst. Address) – to je osnovno usmerjanje. Usmerjanje na podlagi drugih pogojev, kot so izvorni naslov, vrsta prometa (ToS), uravnoteženje brez ECMP, spada v Policy Base Routing (PBR) in uporablja dodatne usmerjevalne tabele.

Osnove statičnega usmerjanja v Mikrotik RouterOS

Natančnejša pot je glavno pravilo za izbiro poti v usmerjevalni tabeli.

Privzeto so vsa pravila usmerjanja dodana v glavno tabelo. Skrbnik lahko ustvari poljubno število dodatnih usmerjevalnih tabel in vanje usmerja pakete. Pravila v različnih tabelah niso v nasprotju med seboj. Če paket ne najde ustreznega pravila v navedeni tabeli, bo šel v glavno tabelo.

Primer distribucije prek požarnega zidu:
Osnove statičnega usmerjanja v Mikrotik RouterOS

  • 192.168.100.10 -> 8.8.8.8
    1. Promet iz 192.168.100.10 se označi preko-isp1 в [Prerouting|Mangle]
    2. Na stopnji Usmerjanje v tabeli preko-isp1 išče pot do 8.8.8.8
    3. Pot najdena, promet je poslan na prehod 10.10.10.1
  • 192.168.200.20 -> 8.8.8.8
    1. Promet iz 192.168.200.20 se označi preko-isp2 в [Prerouting|Mangle]
    2. Na stopnji Usmerjanje v tabeli preko-isp2 išče pot do 8.8.8.8
    3. Pot najdena, promet je poslan na prehod 10.20.20.1
  • Če eden od prehodov (10.10.10.1 ali 10.20.20.1) postane nedosegljiv, bo paket šel v mizo Glavni in bo tam poiskal primerno pot

Terminološke težave

RouterOS ima določene terminološke težave.
Pri delu s pravili v [IP]->[Routes] navedena je usmerjevalna tabela, čeprav je zapisano, da oznaka:
Osnove statičnega usmerjanja v Mikrotik RouterOS

В [IP]->[Routes]->[Rule] vse je pravilno, v stanju oznake v akciji tabele:
Osnove statičnega usmerjanja v Mikrotik RouterOS

Kako poslati paket v določeno usmerjevalno tabelo

RouterOS ponuja več orodij:

  • Pravila v [IP]->[Routes]->[Rules]
  • Oznake poti (action=mark-routing) v [IP]->[Firewall]->[Mangle]
  • VRF

predpisi [IP]->[Route]->[Rules]
Pravila se obdelujejo zaporedno, če paket ustreza pogojem pravila, ne gre naprej.

Pravila usmerjanja vam omogočajo, da razširite možnosti usmerjanja, pri čemer se ne zanašate le na naslov prejemnika, temveč tudi na izvorni naslov in vmesnik, na katerem je bil paket prejet.

Osnove statičnega usmerjanja v Mikrotik RouterOS

Pravila so sestavljena iz pogojev in dejanja:

  • Pogoji. Praktično ponovite seznam znakov, po katerih se paket preveri v FIB, manjka le ToS.
  • Dejavnost
    • lookup - pošlji paket na mizo
    • iskanje samo v tabeli - zakleni paket v tabeli, če poti ni mogoče najti, paket ne bo šel v glavno tabelo
    • drop - spusti paket
    • nedosegljiv - zavrzi paket z obvestilom pošiljatelja

V FIB se promet do lokalnih procesov obdeluje mimo pravil [IP]->[Route]->[Rules]:
Osnove statičnega usmerjanja v Mikrotik RouterOS

označevanje [IP]->[Firewall]->[Mangle]
Oznake usmerjanja vam omogočajo, da nastavite prehod za paket z uporabo skoraj vseh pogojev požarnega zidu:
Osnove statičnega usmerjanja v Mikrotik RouterOS

Praktično, ker niso vsi smiselni, nekateri pa lahko delujejo nestabilno.

Osnove statičnega usmerjanja v Mikrotik RouterOS

Paket lahko označite na dva načina:

  • Takoj postaviti usmerjevalna oznaka
  • Na prvo mesto oznaka povezave, nato na podlagi oznaka povezave položiti usmerjevalna oznaka

V članku o požarnih zidovih sem zapisal, da je druga možnost boljša. zmanjša obremenitev procesorja, v primeru označevanja poti - to ni povsem res. Te metode označevanja niso vedno enakovredne in se običajno uporabljajo za reševanje različnih problemov.

Primeri uporabe

Preidimo na primere uporabe usmerjanja po osnovni politiki, z njimi je veliko lažje pokazati, zakaj je vse to potrebno.

MultiWAN in povratni odhodni (izhodni) promet
Pogosta težava pri konfiguraciji MultiWAN: Mikrotik je na spletu dostopen samo preko "aktivnega" ponudnika.
Osnove statičnega usmerjanja v Mikrotik RouterOS

Usmerjevalniku je vseeno iz katerega ip je prišla zahteva, pri generiranju odgovora bo poiskal pot v usmerjevalni tabeli, kjer je aktivna pot preko isp1. Poleg tega bo takšen paket najverjetneje filtriran na poti do prejemnika.

Še ena zanimiva točka. Če je na vmesniku ether1 konfiguriran "preprost" izvorni nat: /ip fi nat add out-interface=ether1 action=masquerade paket bo šel na splet s src. naslov=10.10.10.100, kar še poslabša stvari.

Težavo lahko odpravite na več načinov, vendar bo vsak od njih zahteval dodatne usmerjevalne tabele:
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

Uporaba [IP]->[Route]->[Rules]
Določite usmerjevalno tabelo, ki bo uporabljena za pakete z navedenim izvornim IP-jem.
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

Lahko uporabljam action=lookup, vendar za lokalni odhodni promet ta možnost popolnoma izključi povezave z napačnega vmesnika.

  • Sistem ustvari odzivni paket s Src. Naslov: 10.20.20.200
  • Korak Routing Decision(2) preverja [IP]->[Routes]->[Rules] in paket je poslan v usmerjevalno tabelo nad-isp2
  • Glede na usmerjevalno tabelo mora biti paket poslan na prehod 10.20.20.1 prek vmesnika ether2

Osnove statičnega usmerjanja v Mikrotik RouterOS

Ta metoda ne zahteva delujočega sledilnika povezav, za razliko od uporabe tabele Mangle.

Uporaba [IP]->[Firewall]->[Mangle]
Povezava se začne z dohodnim paketom, zato ga označimo (action=mark-connection), za odhodne pakete iz označene povezave nastavite usmerjevalno oznako (action=mark-routing).
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Če je na enem vmesniku konfiguriranih več ip-jev, lahko pogoj dodate dst-address biti prepričan.

  • Paket odpre povezavo na vmesniku ether2. Paket gre v [INPUT|Mangle] ki pravi, da označite vse pakete iz povezave kot od-isp2
  • Sistem ustvari odzivni paket s Src. Naslov: 10.20.20.200
  • Na stopnji Routing Decision(2) se paket v skladu z usmerjevalno tabelo preko vmesnika ether10.20.20.1 pošlje na prehod 1. To lahko preverite tako, da se prijavite v pakete [OUTPUT|Filter]
  • Na odru [OUTPUT|Mangle] oznaka povezave je preverjena od-isp2 in paket prejme oznako poti nad-isp2
  • Korak Routing Adjusment(3) preveri prisotnost usmerjevalne oznake in jo pošlje v ustrezno usmerjevalno tabelo
  • Glede na usmerjevalno tabelo mora biti paket poslan na prehod 10.20.20.1 prek vmesnika ether2

Osnove statičnega usmerjanja v Mikrotik RouterOS

MultiWAN in povratni promet dst-nat

Primer je bolj zapleten, kaj storiti, če je za usmerjevalnikom strežnik (na primer spletni) v zasebnem podomrežju in morate zagotoviti dostop do njega prek katerega koli od ponudnikov.

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

Bistvo problema bo enako, rešitev je podobna možnosti Firewall Mangle, uporabljene bodo le druge verige:
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Osnove statičnega usmerjanja v Mikrotik RouterOS
Diagram ne prikazuje NAT, vendar mislim, da je vse jasno.

MultiWAN in odhodne povezave

Zmožnosti PBR lahko uporabite za ustvarjanje več povezav vpn (v primeru SSTP) iz različnih vmesnikov usmerjevalnika.

Osnove statičnega usmerjanja v Mikrotik RouterOS

Dodatne usmerjevalne tabele:

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

Oznake paketa:

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

Preprosta pravila NAT, sicer bo paket zapustil vmesnik z napačnim Src. naslov:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

Razčlenitev:

  • Usmerjevalnik ustvari tri procese SSTP
  • Na stopnji Routing Decision (2) se za te procese izbere pot na podlagi glavne usmerjevalne tabele. Z iste poti paket prejme Src. Naslov, vezan na vmesnik ether1
  • В [Output|Mangle] paketi iz različnih povezav prejmejo različne oznake
  • Paketi vstopijo v tabele, ki ustrezajo oznakam na stopnji prilagajanja usmerjanja, in prejmejo novo pot za pošiljanje paketov
  • Toda paketi imajo še vedno Src. Nagovor iz ether1, na odru [Nat|Srcnat] naslov je zamenjan glede na vmesnik

Zanimivo je, da boste na usmerjevalniku videli naslednjo tabelo povezav:
Osnove statičnega usmerjanja v Mikrotik RouterOS

Connection Tracker deluje prej [Mangle] и [Srcnat], tako da vse povezave prihajajo z istega naslova, če pogledate podrobneje, potem v Replay Dst. Address za NAT bodo naslovi:
Osnove statičnega usmerjanja v Mikrotik RouterOS

Na strežniku VPN (imam ga na testni napravi) lahko vidite, da vse povezave prihajajo s pravilnih naslovov:
Osnove statičnega usmerjanja v Mikrotik RouterOS

Počakaj malo
Obstaja lažji način, lahko preprosto določite določen prehod za vsakega od naslovov:

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

Toda takšne poti ne bodo vplivale samo na odhodni, temveč tudi na tranzitni promet. Poleg tega, če ne potrebujete prometa do strežnika vpn, da bi šel skozi neprimerne komunikacijske kanale, boste morali dodati še 6 pravil [IP]->[Routes]с type=blackhole. V prejšnji različici - 3 pravila v [IP]->[Route]->[Rules].

Razporeditev uporabniških povezav po komunikacijskih kanalih

Preprosta, vsakdanja opravila. Spet bodo potrebne dodatne usmerjevalne tabele:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

Uporaba [IP]->[Route]->[Rules]
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

Če uporabljate action=lookup, potem ko je eden od kanalov onemogočen, bo promet šel v glavno tabelo in šel skozi delovni kanal. Ali je to potrebno ali ne, je odvisno od naloge.

Z uporabo oznak v [IP]->[Firewall]->[Mangle]
Preprost primer s seznami naslovov ip. Načeloma je mogoče uporabiti skoraj vse pogoje. Edino opozorilo sloja 7 je, da se morda zdi, da vse deluje pravilno, tudi če je seznanjen s povezovalnimi oznakami, vendar bo del prometa še vedno šel v napačno smer.
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

Uporabnike lahko »zaklenete« v eno usmerjevalno tabelo [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

Bodisi skozi [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

Retreat pro dst-address-type=!local
Dodaten pogoj dst-address-type=!local potrebno je, da promet od uporabnikov doseže lokalne procese usmerjevalnika (dns, winbox, ssh, ...). Če je na usmerjevalnik povezanih več lokalnih podomrežij, je treba zagotoviti, da promet med njimi ne gre v internet, na primer z uporabo dst-address-table.

V primeru uporabe [IP]->[Route]->[Rules] teh izjem ni, ampak promet doseže lokalne procese. Dejstvo je, da vstop v paket FIB označen v [PREROUTING|Mangle] ima oznako poti in gre v usmerjevalno tabelo, ki ni glavna, kjer ni lokalnega vmesnika. V primeru Routing Rules se najprej preveri, ali je paket namenjen lokalnemu procesu in šele na stopnji User PBR gre v podano usmerjevalno tabelo.

Uporaba [IP]->[Firewall]->[Mangle action=route]
To dejanje deluje samo v [Prerouting|Mangle] in vam omogoča, da usmerite promet na navedeni prehod brez uporabe dodatnih usmerjevalnih tabel, tako da neposredno navedete naslov prehoda:

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

učinek route ima nižjo prednost kot pravila usmerjanja ([IP]->[Route]->[Rules]). Pri oznakah smeri je vse odvisno od položaja pravil, če pravilo z action=route vreden več kot action=mark-route, potem bo uporabljen (ne glede na zastavo passtrough), sicer označuje pot.
Na wikiju je zelo malo informacij o tem dejanju in vsi zaključki so bili pridobljeni eksperimentalno, v vsakem primeru nisem našel možnosti, ko uporaba te možnosti daje prednosti pred drugimi.

Dinamično uravnoteženje na osnovi PPC

Per Connection Classifier - je bolj prilagodljiv analog ECMP. Za razliko od ECMP bolj striktno deli promet po povezavah (ECMP o povezavah ne ve nič, ko pa ga povežemo z Routing Cache, dobimo nekaj podobnega).

PCC vzame določena polja iz glave ip, jih pretvori v 32-bitno vrednost in deli z imenovalec. Preostanek delitve se primerja z navedenim preostanek in če se ujemata, se uporabi navedeno dejanje. več. Sliši se noro, vendar deluje.
Osnove statičnega usmerjanja v Mikrotik RouterOS

Primer s tremi naslovi:

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

Primer dinamične porazdelitve prometa po src.address med tremi kanali:
Osnove statičnega usmerjanja v Mikrotik RouterOS

#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

Pri označevanju poti je še dodaten pogoj: in-interface=br-lan, brez tega pod action=mark-routing odzivni promet iz interneta bo prejel in se v skladu z usmerjevalnimi tabelami vrnil k ponudniku.

Preklop komunikacijskih kanalov

Preverjanje pinga je dobro orodje, vendar preverja le povezavo z najbližjim vrstnikom IP, omrežja ponudnikov so običajno sestavljena iz velikega števila usmerjevalnikov in lahko pride do prekinitve povezave zunaj najbližjega vrstnika, potem pa so tu še hrbtenični telekomunikacijski operaterji, ki lahko tudi imate težave, na splošno preverjanje pinga ne prikaže vedno posodobljenih informacij o dostopu do globalnega omrežja.
Če imajo ponudniki in velike korporacije dinamični usmerjevalni protokol BGP, se morajo domači in pisarniški uporabniki samostojno domisliti, kako preveriti dostop do interneta prek določenega komunikacijskega kanala.

Običajno se uporabljajo skripte, ki prek določenega komunikacijskega kanala preverjajo razpoložljivost naslova ip v internetu, pri čemer izberejo nekaj zanesljivega, na primer google dns: 8.8.8.8. 8.8.4.4. A v skupnosti Mikrotik so temu priredili bolj zanimivo orodje.

Nekaj ​​besed o rekurzivnem usmerjanju
Rekurzivno usmerjanje je nujno pri izgradnji Multihop BGP peeringa in je zašlo v članek o osnovah statičnega usmerjanja le zaradi prebrisanih uporabnikov MikroTika, ki so ugotovili, kako uporabiti rekurzivne poti v paru s check gatewayom za preklapljanje komunikacijskih kanalov brez dodatnih skript.

Čas je, da na splošno razumemo možnosti obsega/ciljnega obsega in kako je pot vezana na vmesnik:
Osnove statičnega usmerjanja v Mikrotik RouterOS

  1. Pot poišče vmesnik za pošiljanje paketa na podlagi njegove vrednosti obsega in vseh vnosov v glavni tabeli z manj kot ali enakimi vrednostmi ciljnega obsega
  2. Med najdenimi vmesniki se izbere tisti, prek katerega lahko pošljete paket na navedeni prehod
  3. Vmesnik najdenega povezanega vnosa je izbran za pošiljanje paketa na prehod

Ob prisotnosti rekurzivne poti se zgodi isto, vendar v dveh stopnjah:
Osnove statičnega usmerjanja v Mikrotik RouterOS

  • 1-3 Povezanim potem je dodana še ena pot, prek katere je mogoče doseči navedeni prehod
  • 4-6 Iskanje poti povezane poti za "vmesni" prehod

Vse manipulacije z rekurzivnim iskanjem se zgodijo v RIB, v FIB pa se prenese samo končni rezultat: 0.0.0.0/0 via 10.10.10.1 on ether1.

Primer uporabe rekurzivnega usmerjanja za zamenjavo poti
Osnove statičnega usmerjanja v Mikrotik RouterOS

konfiguracija:
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

Preverite lahko, ali bodo paketi poslani na 10.10.10.1:
Osnove statičnega usmerjanja v Mikrotik RouterOS

Check gateway ne ve ničesar o rekurzivnem usmerjanju in preprosto pošlje pinge na 8.8.8.8, ki je (na podlagi glavne tabele) dostopen prek prehoda 10.10.10.1.

Če pride do izgube komunikacije med 10.10.10.1 in 8.8.8.8, je pot prekinjena, vendar paketi (vključno s testnimi pingi) do 8.8.8.8 še naprej potekajo skozi 10.10.10.1:
Osnove statičnega usmerjanja v Mikrotik RouterOS

Če se povezava z ether1 izgubi, pride do neprijetne situacije, ko gredo paketi pred 8.8.8.8 prek drugega ponudnika:
Osnove statičnega usmerjanja v Mikrotik RouterOS

To je težava, če uporabljate NetWatch za izvajanje skriptov, ko 8.8.8.8 ni na voljo. Če je povezava prekinjena, bo NetWatch preprosto deloval prek rezervnega komunikacijskega kanala in domneval, da je vse v redu. Rešeno z dodajanjem dodatne poti filtra:

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

Osnove statičnega usmerjanja v Mikrotik RouterOS

Obstaja na habréju članek, kjer je podrobneje obravnavana situacija z NetWatch.

In ja, pri uporabi take rezervacije bo naslov 8.8.8.8 povezan z enim od ponudnikov, zato izbira tega kot vira dns ni dobra ideja.

Nekaj ​​besed o navideznem usmerjanju in posredovanju (VRF)

Tehnologija VRF je zasnovana za ustvarjanje več virtualnih usmerjevalnikov znotraj enega fizičnega, to tehnologijo široko uporabljajo telekomunikacijski operaterji (običajno v povezavi z MPLS) za zagotavljanje storitev L3VPN strankam s prekrivajočimi se naslovi podomrežij:
Osnove statičnega usmerjanja v Mikrotik RouterOS

Toda VRF v Mikrotiku je organiziran na podlagi usmerjevalnih tabel in ima vrsto pomanjkljivosti, na primer lokalni ip naslovi usmerjevalnika so na voljo iz vseh VRF-jev, lahko preberete več по ссылке.

primer konfiguracije vrf:
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

Iz naprave, povezane z ether2, vidimo, da gre ping na naslov usmerjevalnika iz drugega vrf (in to je problem), medtem ko ping ne gre v internet:
Osnove statičnega usmerjanja v Mikrotik RouterOS

Za dostop do interneta morate registrirati dodatno pot, ki dostopa do glavne tabele (v vrf terminologiji se temu reče route leaking):
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

Tukaj sta dva načina puščanja poti: uporaba usmerjevalne tabele: 172.17.0.1@main in z uporabo imena vmesnika: 172.17.0.1%wlan1.

In nastavite oznake za povratni promet [PREROUTING|Mangle]:
Osnove statičnega usmerjanja v Mikrotik RouterOS

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no

Osnove statičnega usmerjanja v Mikrotik RouterOS

Podomrežja z istim naslovom
Organizacija dostopa do podomrežij z enakim naslovom na istem usmerjevalniku z uporabo VRF in netmap:
Osnove statičnega usmerjanja v Mikrotik RouterOS

Osnovna konfiguracija:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

pravila požarnega zidu:

#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

Pravila usmerjanja za povratni promet:

#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

Dodajanje poti, prejetih prek dhcp, v dano usmerjevalno tabelo
VRF je lahko zanimiv, če morate samodejno dodati dinamično pot (na primer iz odjemalca dhcp) v določeno usmerjevalno tabelo.

Dodajanje vmesnika vrf:

/ip route vrf
add interface=ether1 routing-mark=over-isp1

Pravila za pošiljanje prometa (odhodnega in tranzitnega) skozi tabelo nad-isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

Dodatna lažna pot za odhodno usmerjanje za delo:

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

Ta pot je potrebna samo zato, da lahko lokalni odhodni paketi prej preidejo skozi odločitev o usmerjanju (2). [OUTPUT|Mangle] in dobite oznako usmerjanja, če so na usmerjevalniku pred 0.0.0.0/0 v glavni tabeli druge aktivne poti, to ni potrebno.
Osnove statičnega usmerjanja v Mikrotik RouterOS

Verige connected-in и dynamic-in в [Routing] -> [Filters]

Filtriranje poti (vhodne in izhodne) je orodje, ki se običajno uporablja v povezavi s protokoli dinamičnega usmerjanja (in je zato na voljo šele po namestitvi paketa usmerjanje), vendar sta v dohodnih filtrih dve zanimivi verigi:

  • Connected-in — filtriranje povezanih poti
  • dynamic-in - filtriranje dinamičnih poti, ki jih prejmeta PPP in DCHP

Filtriranje vam omogoča, da ne samo zavržete poti, ampak tudi spremenite številne možnosti: razdaljo, oznako poti, komentar, obseg, ciljni obseg, ...

To je zelo natančno orodje in če lahko naredite nekaj brez usmerjevalnih filtrov (vendar ne skriptov), ​​potem ne uporabljajte usmerjevalnih filtrov, ne zamenjujte sebe in tistih, ki bodo konfigurirali usmerjevalnik za vami. V kontekstu dinamičnega usmerjanja se bodo filtri za usmerjanje uporabljali veliko pogosteje in bolj produktivno.

Nastavitev oznake poti za dinamične poti
Primer iz domačega usmerjevalnika. Konfigurirani imam dve povezavi VPN in promet v njiju bi moral biti zavit v skladu z usmerjevalnimi tabelami. Hkrati želim, da se poti samodejno ustvarijo, ko je vmesnik aktiviran:

#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

Ne vem zakaj, verjetno napaka, toda če ustvarite vrf za vmesnik ppp, bo pot do 0.0.0.0/0 še vedno prišla v glavno tabelo. Sicer bi bilo vse še lažje.

Onemogočanje povezanih poti
Včasih je to potrebno:

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

Orodja za odpravljanje napak

RouterOS ponuja številna orodja za odpravljanje napak pri usmerjanju:

  • [Tool]->[Tourch] - omogoča ogled paketov na vmesnikih
  • /ip route check - vam omogoča, da vidite, na kateri prehod bo paket poslan, ne deluje z usmerjevalnimi tabelami
  • /ping routing-table=<name> и /tool traceroute routing-table=<name> - ping in sledenje z uporabo navedene usmerjevalne tabele
  • action=log в [IP]->[Firewall] - odlično orodje, ki vam omogoča sledenje poti paketa vzdolž toka paketa, to dejanje je na voljo v vseh verigah in tabelah

Vir: www.habr.com

Dodaj komentar