Dasar-dasar Routing Statis dina Mikrotik RouterOS

Routing mangrupikeun prosés milarian jalur anu pangsaéna pikeun ngirimkeun pakét dina jaringan TCP/IP. Alat naon waé anu nyambung ka jaringan IPv4 ngandung prosés sareng tabel routing.

Artikel ieu teu HOWTO a, ngajelaskeun routing statik di RouterOS kalawan conto, Kuring ngahaja disingkahkeun sesa setélan (Contona, srcnat pikeun ngakses Internet), jadi pamahaman bahan merlukeun tingkat nu tangtu pangaweruh jaringan sarta RouterOS.

Ngalihkeun jeung routing

Ngalihkeun nyaéta prosés tukeur pakét dina hiji bagean Layer2 (Ethernet, ppp, ...). Upami alat ningali yén panarima pakét aya dina subnet Ethernet anu sami sareng éta, éta diajar alamat Mac nganggo protokol arp sareng ngirimkeun pakét langsung, ngalangkungan router. Sambungan ppp (titik-ka-titik) ngan ukur tiasa gaduh dua pamilon sareng pakét dikirim ka hiji alamat 0xff.

Routing nyaéta prosés nransferkeun pakét antara bagéan Layer2. Upami alat hoyong ngirim pakét anu panarimana aya di luar ruas Ethernet, éta bakal ningali kana méja routing na sareng ngirimkeun pakét ka gateway, anu terang dimana ngirim pakét salajengna (atanapi henteu terang, pangirim asli pakét éta. teu sadar ieu).

Cara panggampangna pikeun mikirkeun router nyaéta salaku alat anu nyambung ka dua atanapi langkung bagéan Layer2 sareng sanggup ngaliwat pakét antara aranjeunna ku cara nangtukeun jalur anu pangsaéna tina méja routing.

Upami anjeun ngartos sadayana, atanapi anjeun parantos terang, teras baca. Pikeun sésana, abdi niatna nyarankeun yén anjeun familiarize diri kalayan leutik, tapi pisan capacious artikel.

Routing dina RouterOS sareng PacketFlow

Ampir kabéh pungsi nu patali jeung routing statik aya dina iket sistim. Kantong plastik routing nambahkeun rojongan pikeun algoritma routing dinamis (RIP, OSPF, BGP, MME), Routing Filter na BFD.

Menu utama pikeun nyetél rute: [IP]->[Route]. Skéma kompléks tiasa meryogikeun pakét pikeun dilabélan sateuacana ku tanda routing dina: [IP]->[Firewall]->[Mangle] (ranté PREROUTING и OUTPUT).

Aya tilu tempat dina PacketFlow dimana kaputusan routing pakét IP dilakukeun:

1. Routing pakét ditampi ku router dina. Dina tahap ieu, diputuskeun naha pakét bakal angkat ka prosés lokal atanapi bakal dikirim langkung jauh ka jaringan. pakét transit narima Panganteur Kaluaran
2. Routing pakét kaluar lokal. pakét kaluar narima Panganteur Kaluaran
3. hambalan routing tambahan pikeun pakét kaluar, ngidinan Anjeun pikeun ngarobah kaputusan routing di [Output|Mangle]

• Jalur pakét dina blok 1, 2 gumantung kana aturan di [IP]->[Route]
• Jalur pakét dina titik 1, 2 jeung 3 gumantung kana aturan di [IP]->[Route]->[Rules]
• Jalur pakét dina blok 1, 3 tiasa dipangaruhan nganggo [IP]->[Firewall]->[Mangle]

RIB, FIB, Routing Cache

Routing Émbaran Base
Dasar dimana rute dikumpulkeun tina protokol routing dinamis, rute tina ppp sareng dhcp, rute statik sareng nyambung. Database ieu ngandung sadaya rute, iwal anu disaring ku pangurus.

Saratna, urang bisa nganggap éta [IP]->[Route] mintonkeun RIB.

Neraskeun Émbaran Base

Dasar dimana rute anu pangsaéna tina RIB dikumpulkeun. Sadaya rute di FIB aktip sareng dianggo pikeun neraskeun pakét. Lamun jalur jadi teu aktip (ditumpurkeun ku administrator (sistem), atawa panganteur ngaliwatan nu pakét kudu dikirim teu aktip), jalur ieu dikaluarkeun tina FIB.

Pikeun nyieun kaputusan routing, tabel FIB nganggo inpormasi ieu ngeunaan pakét IP:

• Alamat Sumber
• Alamat Tujuan
• Antarbeungeut Sumber
• tanda routing
• ToS (DSCP)

Lebet kana pakét FIB ngalangkungan tahap-tahap ieu:

• Éta pakét dimaksudkeun pikeun prosés router lokal?
• Naha pakét tunduk kana aturan sistem atanapi pangguna PBR?
  • Lamun enya, teras pakét dikirim ka tabel routing dieusian
• pakét dikirim ka méja utama

Saratna, urang bisa nganggap éta [IP]->[Route Active=yes] mintonkeun FIB.

Routing Cache
Mékanisme cache ruteu. Router émut dimana pakét dikirim sareng upami aya anu sami (sigana tina sambungan anu sami) éta ngamungkinkeun aranjeunna sapanjang jalur anu sami, tanpa mariksa FIB. Cache rute sacara périodik diberesihan.

Pikeun pangurus RouterOS, aranjeunna henteu ngadamel alat pikeun ningali sareng ngatur Routing Cache, tapi nalika éta tiasa ditumpurkeun dina [IP]->[Settings].

mékanisme ieu dikaluarkeun tina linux 3.6 kernel, tapi RouterOS masih ngagunakeun kernel 3.3.5, meureun Routing cahce salah sahiji alesan.

Tambahkeun dialog ruteu

[IP]->[Route]->[+]

1. Subnet nu Anjeun hoyong jieun ruteu (standar: 0.0.0.0/0)
2. Gateway IP atawa panganteur nu pakét bakal dikirim (bisa aya sababaraha, tingali ECMP handap)
3. Gateway Kasadiaan Cék
4. Jenis rékaman
5. Jarak (métrik) pikeun rute
6. méja Routing
7. IP pikeun pakét kaluar lokal via jalur ieu
8. Tujuan Lingkup jeung Udagan Lingkup ditulis dina ahir artikel.

Bandéra jalur

• X - Rute ditumpurkeun ku administrator (disabled=yes)
• A - jalur dipaké pikeun ngirim pakét
• D - Rute tambah dinamis (BGP, OSPF, RIP, MME, PPP, DHCP, Nyambung)
• C - subnet disambungkeun langsung ka router dina
• S - Rute statik
• r, b, o, m - Rute ditambahkeun ku salah sahiji protokol routing dinamis
• B,U,P - Nyaring rute (tetes pakét tinimbang ngirimkeun)

Naon anu kedah disebatkeun dina gateway: alamat ip atanapi antarmuka?

Sistim nu ngidinan Anjeun pikeun nangtukeun duanana, bari teu sumpah jeung teu masihan petunjuk lamun ngalakukeun lepat.

Alamat IP
Alamat gateway kudu diaksés ngaliwatan Layer2. Pikeun Ethernet, ieu ngandung harti yén router kudu boga alamat ti subnet sarua dina salah sahiji interfaces ip aktip, pikeun ppp, yén alamat gateway dieusian dina salah sahiji interfaces aktip salaku alamat subnet.
Lamun kaayaan aksés pikeun Layer2 teu patepung, jalur dianggap teu aktip tur teu digolongkeun kana FIB.

interface
Sadayana langkung rumit sareng paripolah router gumantung kana jinis antarmuka:

• PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) sambungan nganggap ngan dua pamilon jeung pakét bakal salawasna dikirim ka gateway pikeun pangiriman, lamun gateway nu ngadeteksi yén panarima téh sorangan, mangka bakal mindahkeun pakét ka prosés lokal na.
  
• Ethernet nganggap ayana loba pamilon sarta bakal ngirim requests ka panganteur arp kalawan alamat panarima pakét, ieu diperkirakeun sarta kabiasaan rada normal pikeun ruteu disambungkeun.
  Tapi nalika anjeun nyobian nganggo antarmuka salaku jalur pikeun subnet jauh, anjeun bakal nampi kaayaan di handap ieu: jalurna aktip, ping ka pass gateway, tapi henteu ngahontal panarima tina subnet anu ditangtukeun. Lamun nempo panganteur ngaliwatan sniffer a, anjeun bakal nempo requests arp kalawan alamat ti subnet jauh.
  

Coba pikeun nangtukeun alamat ip salaku gateway sabisana. Pangecualian nyaéta nyambungkeun rute (dijieun otomatis) sareng antarmuka PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *).

OpenVPN henteu ngandung lulugu PPP, tapi anjeun tiasa nganggo nami antarmuka OpenVPN pikeun nyiptakeun rute.

Rute Langkung Spésifik

Aturan routing dasar. Rute anu ngajelaskeun subnet anu langkung alit (kalayan topéng subnet panggedéna) diutamakeun dina kaputusan routing pakét. Posisi éntri dina tabel routing teu relevan pikeun pilihan - aturan utama nyaeta More spésifik.

Kabéh ruteu ti skéma dieusian aktip (lokasina di FIB). nunjuk ka subnet anu béda sareng henteu saling bertentangan.

Lamun salah sahiji gateways jadi sadia, jalur pakait bakal dianggap teu aktip (dipiceun tina FIB) jeung pakét bakal searched ti ruteu sésana.

Rute kalawan subnet 0.0.0.0/0 kadangkala dibéré harti husus sarta disebut "Jalur Default" atawa "Gateway of Resort panungtungan". Nyatana, teu aya anu magis di jerona sareng ngan saukur kalebet sadaya alamat IPv4 anu mungkin, tapi nami-nami ieu ngajelaskeun tugasna kalayan saé - éta nunjukkeun gerbang dimana neraskeun pakét anu henteu aya rute anu langkung akurat.

Subnet mask maksimum mungkin pikeun IPv4 nyaeta /32, jalur ieu nunjuk ka host husus sarta bisa dipaké dina tabel routing.

Ngartos Rute Langkung Spésifik mangrupikeun dasar pikeun alat TCP/IP mana waé.

jarak

Jarak (atawa métrik) diperlukeun pikeun nyaring administrasi ruteu ka subnet tunggal diaksés ngaliwatan sababaraha gateways. Rute sareng métrik anu langkung handap dianggap prioritas sareng bakal dilebetkeun kana FIB. Lamun jalur kalawan métrik handap ceases janten aktip, lajeng bakal diganti ku jalur kalawan métrik luhur di FIB nu.

Upami aya sababaraha rute ka subnet anu sami sareng métrik anu sami, router bakal nambihan ngan ukur salah sahiji kana tabel FIB, dipandu ku logika internalna.

Métrik tiasa nyandak nilai tina 0 dugi ka 255:

• 0 - Métrik pikeun ruteu disambungkeun. Jarak 0 teu tiasa diatur ku administrator
• 1-254 - Métrik sadia pikeun administrator pikeun netepkeun ruteu. Métrik kalayan nilai anu langkung handap ngagaduhan prioritas anu langkung luhur
• 255 - Métrik sadia pikeun administrator pikeun netepkeun ruteu. Beda sareng 1-254, jalur kalayan métrik 255 salawasna tetep teu aktip sareng henteu digolongkeun kana FIB.
• metrics husus. Rute anu diturunkeun tina protokol routing dinamis gaduh nilai métrik standar

pariksa gateway

Check gateway mangrupikeun ekstensi MikroTik RoutesOS pikeun mariksa kasadiaan gateway via icmp atanapi arp. Sakali unggal 10 detik (teu bisa dirobah), hiji pamundut dikirim ka gateway nu, lamun respon teu narima dua kali, jalur dianggap sadia tur dikaluarkeun tina FIB. Upami cék gateway parantos ditumpurkeun, jalur cék diteruskeun sareng jalur éta bakal aktip deui saatos pamariksaan anu suksés.

Pariksa gateway disables entri nu eta geus ngonpigurasi tur sagala éntri séjén (dina sakabéh tabel routing na ecmp ruteu) jeung gateway dieusian.

Sacara umum, cék gateway berpungsi saé salami teu aya masalah sareng pakét leungitna ka gateway. Pariksa gateway teu nyaho naon anu lumangsung kalawan komunikasi di luar gateway dipariksa, ieu merlukeun parabot tambahan: Aksara, routing recursive, protokol routing dinamis.

Kaseueuran protokol VPN sareng torowongan ngandung alat-alat anu diwangun pikeun mariksa kagiatan sambungan, ngamungkinkeun gateway cek pikeun aranjeunna mangrupikeun beban tambahan (tapi sakedik pisan) dina jaringan sareng kinerja alat.

ECMP ruteu

Sarua-Cost Multi-Jalur - ngirim pakét ka panarima ngagunakeun sababaraha gateways sakaligus ngagunakeun algoritma Round Robin.

Hiji jalur ECMP dijieun ku administrator ku nangtukeun sababaraha gateways pikeun hiji subnet (atawa otomatis, lamun aya dua ruteu OSPF sarua).

ECMP dipaké pikeun beban balancing antara dua saluran, dina tiori, lamun aya dua saluran dina jalur ecmp, teras pikeun tiap pakét saluran kaluar kudu béda. Tapi mékanisme Routing cache ngirimkeun pakét ti sambungan sapanjang jalur nu pakét munggaran nyandak, salaku hasilna, urang meunang jenis balancing dumasar kana sambungan (per-konéksi loading balancing).

Upami anjeun nganonaktipkeun Routing Cache, pakét dina rute ECMP bakal dibagi leres, tapi aya masalah sareng NAT. Aturan NAT ngolah ngan pakét munggaran ti sambungan nu (sésana diolah otomatis), jeung tétéla yén pakét jeung alamat sumber anu sarua ninggalkeun interfaces béda.

Pariksa gateway teu jalan dina ECMP ruteu (RouterOS bug). Tapi anjeun tiasa ngurilingan watesan ieu ku nyiptakeun rute validasi tambahan anu bakal nganonaktipkeun éntri dina ECMP.

Nyaring ku cara Routing

Pilihan Tipe nangtukeun naon anu kudu dilakukeun sareng pakét:

• unicast - kirimkeun ka gateway anu ditangtukeun (antarmuka)
• blackhole - Piceun pakét a
• ngalarang, unreachable - Piceun pakét jeung ngirim pesen icmp ka pangirim

Nyaring biasana dianggo nalika perlu pikeun ngamankeun kiriman pakét sapanjang jalur anu salah, tangtosna, anjeun tiasa nyaring ieu ngalangkungan firewall.

Sababaraha conto

Pikeun ngumpulkeun hal dasar ngeunaan routing.

router home has

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

1. Rute statik ka 0.0.0.0/0 (jalur standar)
2. Rute nyambungkeun dina panganteur sareng panyadia
3. Rute disambungkeun dina panganteur LAN

router home has kalawan PPPoE

1. Rute statik ka rute standar, ditambahkeun sacara otomatis. eta dieusian dina sipat sambungan
2. Rute disambungkeun pikeun sambungan PPP
3. Rute disambungkeun dina panganteur LAN

router home has kalawan dua panyadia sarta redundancy

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

1. Rute statik ka jalur standar ngaliwatan panyadia munggaran kalayan métrik 1 sareng cek kasadiaan gateway
2. Rute statik ka rute standar ngalangkungan panyadia kadua nganggo métrik 2
3. jalur disambungkeun

Lalu lintas ka 0.0.0.0/0 ngaliwatan 10.10.10.1 bari gateway ieu sadia, disebutkeun pindah ka 10.20.20.1

Skéma sapertos kitu tiasa dianggap reservasi saluran, tapi éta henteu tanpa kakurangan. Lamun putus lumangsung di luar gateway panyadia urang (contona, di jero jaringan operator urang), router anjeun moal nyaho ngeunaan eta sarta bakal neruskeun mertimbangkeun jalur sakumaha aktip.

router home has kalawan dua panyadia, redundancy na ECMP

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

1. Rute statik pikeun mariksa gateway chack
2. jalur ECMP
3. jalur disambungkeun

Rute pikeun dipariksa nyaéta biru (warna jalur anu teu aktip), tapi ieu henteu ngaganggu gerbang cek. Versi ayeuna (6.44) tina RoS masihan prioritas otomatis kana rute ECMP, tapi langkung saé pikeun nambihan rute uji kana tabel rute anu sanés (pilihan). routing-mark)

Dina Speedtest sareng situs anu sami, moal aya paningkatan kagancangan (ECMP ngabagi lalu lintas ku sambungan, sanés ku pakét), tapi aplikasi p2p kedah diunduh langkung gancang.

Nyaring via Routing

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

1. Rute statik ka rute standar
2. Rute statik ka 192.168.200.0/24 ngaliwatan torowongan ipip
3. Ngalarang jalur statik ka 192.168.200.0/24 ngaliwatan router ISP

Pilihan nyaring dimana lalu lintas torowongan moal angkat ka router panyadia nalika antarmuka ipip ditumpurkeun. Skéma sapertos kitu jarang diperyogikeun, sabab Anjeun tiasa nerapkeun blocking ngaliwatan firewall nu.

Routing loop
Routing loop - kaayaan nalika pakét ngalir antara routers saméméh ttl kadaluwarsa. Biasana éta hasil tina kasalahan konfigurasi, dina jaringan ageung dirawat ku palaksanaan protokol routing dinamis, dina leutik - kalayan ati-ati.

Sigana mah kieu:

Conto (pangbasajanna) kumaha kéngingkeun hasil anu sami:

Conto Routing loop teu aya gunana praktis, tapi nunjukkeun yén routers boga pamanggih ngeunaan tabel routing tatangga maranéhanana.

Kawijakan Base Routing na Tables Routing tambahan

Lamun milih jalur, router ngagunakeun ngan hiji widang ti lulugu pakét (Dst. Alamat) - ieu routing dasar. Routing dumasar kana kaayaan sejen, kayaning alamat sumber, tipe lalulintas (ToS), balancing tanpa ECMP, milik Sarat jeung Kaayaan Base Routing (PBR) sarta ngagunakeun tabel routing tambahan.

Rute Langkung Spésifik mangrupa aturan pilihan jalur utama dina tabel routing.

Sacara standar, sadaya aturan routing ditambahkeun kana tabel utama. Administrator bisa nyieun hiji angka wenang tabel routing tambahan sarta pakét ruteu ka aranjeunna. Aturan dina tabel béda teu konflik saling. Upami pakét henteu mendakan aturan anu cocog dina tabel anu ditangtukeun, éta bakal ka méja utama.

Conto sareng distribusi via Firewall:

• 192.168.100.10 -> 8.8.8.8
  1. Lalu lintas ti 192.168.100.10 bakal dilabélan via-isp1 в [Prerouting|Mangle]
  2. Dina tahap Routing dina tabél via-isp1 milarian rute ka 8.8.8.8
  3. Rute kapanggih, lalulintas dikirim ka gateway 10.10.10.1
• 192.168.200.20 -> 8.8.8.8
  1. Lalu lintas ti 192.168.200.20 bakal dilabélan via-isp2 в [Prerouting|Mangle]
  2. Dina tahap Routing dina tabél via-isp2 milarian rute ka 8.8.8.8
  3. Rute kapanggih, lalulintas dikirim ka gateway 10.20.20.1
• Lamun salah sahiji gateways (10.10.10.1 atawa 10.20.20.1) jadi teu sadia, teras pakét bakal balik ka tabél utama sarta bakal néangan jalur cocok dinya

Masalah terminologi

RouterOS ngagaduhan masalah terminologi anu tangtu.
Nalika damel sareng aturan di [IP]->[Routes] tabel routing dituduhkeun, sanajan ditulis yén labél nu:

В [IP]->[Routes]->[Rule] sadayana leres, dina kaayaan labél dina aksi méja:

Kumaha carana ngirim pakét ka tabel routing husus

RouterOS nyayogikeun sababaraha alat:

• Aturan dina [IP]->[Routes]->[Rules]
• Tanda jalur (action=mark-routing) di [IP]->[Firewall]->[Mangle]
• VRF

aturan [IP]->[Route]->[Rules]
Aturan diolah sacara berurutan, upami pakét cocog sareng kaayaan aturan, éta henteu langkung jauh.

Aturan Routing ngidinan Anjeun pikeun dilegakeun kamungkinan routing, ngandelkeun teu ukur dina alamat panarima, tapi ogé dina alamat sumber na panganteur nu pakét ieu narima.

Aturan diwangun ku kaayaan sareng tindakan:

• Kaayaan. Praktis malikan daptar tanda dimana bungkusan dipariksa di FIB, ngan ToS anu leungit.
• lampah
  • lookup - ngirim pakét ka méja
  • Pilarian ngan ukur dina méja - konci pakét dina méja, upami rutena henteu kapendak, pakét moal angkat ka méja utama
  • leupaskeun - leupaskeun pakét
  • unreachable - piceun pakét kalawan bewara pangirim

Dina FIB, lalu lintas kana prosés lokal diolah ngalangkungan aturan [IP]->[Route]->[Rules]:

nyirian [IP]->[Firewall]->[Mangle]
Labél routing ngamungkinkeun anjeun nyetél gateway pikeun pakét nganggo ampir sagala kaayaan Firewall:

Sacara praktis, sabab henteu sadayana asup akal, sareng sababaraha tiasa dianggo sacara teu stabil.

Aya dua cara pikeun labél bungkusan:

• Geura pasang tanda routing
• Paheula-heula tanda sambungan, teras dumasar kana tanda sambungan nempatkeun tanda routing

Dina artikel ngeunaan firewalls, kuring nulis yén pilihan kadua leuwih hade. ngurangan beban dina CPU, dina kasus nyirian ruteu - ieu teu sagemblengna bener. Métode nyirian ieu henteu salawasna sarimbag sareng biasana dianggo pikeun ngarengsekeun sagala rupa masalah.

Conto ngagunakeun

Hayu urang ngaléngkah ka conto ngagunakeun Routing Dasar Kabijakan, aranjeunna langkung gampang pikeun nunjukkeun naha sadayana ieu diperyogikeun.

MultiWAN sarta balik kaluar (Kaluaran) lalulintas
Masalah umum sareng konfigurasi MultiWAN: Mikrotik sayogi tina Internét ngan ukur ngalangkungan panyadia "aktif".

Router teu paduli naon ip pamundut sumping ka, nalika ngahasilkeun respon, eta bakal néangan jalur dina tabel routing dimana jalur ngaliwatan isp1 aktip. Salajengna, pakét sapertos kitu bakal paling dipikaresep disaring sapanjang jalan ka panarima.

titik metot séjén. Upami sumber nat "basajan" dikonpigurasi dina antarmuka éter1: /ip fi nat add out-interface=ether1 action=masquerade pakét bakal online sareng src. alamat = 10.10.10.100, nu ngajadikeun hal malah parah.

Aya sababaraha cara pikeun ngabéréskeun masalah, tapi salah sahijina ngabutuhkeun tabel routing tambahan:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

pamakean [IP]->[Route]->[Rules]
Sebutkeun tabel routing anu bakal dianggo pikeun pakét sareng IP Sumber anu ditangtukeun.

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

Bisa dianggo action=lookup, tapi pikeun lalulintas kaluar lokal, pilihan ieu sagemblengna ngaluarkeun sambungan tina panganteur salah.

• Sistim nu ngahasilkeun pakét respon kalawan Src. Alamat: 10.20.20.200
• The Routing Kaputusan (2) cék hambalan [IP]->[Routes]->[Rules] sarta pakét dikirim ka tabel routing leuwih-isp2
• Numutkeun tabel routing, pakét kudu dikirim ka gateway 10.20.20.1 via panganteur ether2.

Metoda ieu henteu meryogikeun Tracker Sambungan anu tiasa dianggo, henteu sapertos nganggo tabel Mangle.

pamakean [IP]->[Firewall]->[Mangle]
Sambungan dimimitian ku hiji pakét asup, jadi urang cirian (action=mark-connection), pikeun pakét kaluar tina sambungan anu ditandaan, setel labél routing (action=mark-routing).

/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Upami sababaraha ips dikonpigurasi dina hiji antarmuka, anjeun tiasa nambihan kana kaayaan éta dst-address pikeun mastikeun.

• Hiji pakét muka sambungan dina panganteur éter2. bungkusan asup kana [INPUT|Mangle] nu nyebutkeun tanda sagala pakét ti sambungan salaku ti-isp2
• Sistim nu ngahasilkeun pakét respon kalawan Src. Alamat: 10.20.20.200
• Dina tahap Routing Kaputusan (2), pakét, luyu jeung tabel routing, dikirim ka gateway 10.20.20.1 via panganteur ether1. Anjeun tiasa pariksa ieu ku cara asup kana bungkusan [OUTPUT|Filter]
• Dina panggung [OUTPUT|Mangle] labél sambungan dipariksa ti-isp2 jeung pakét narima labél ruteu leuwih-isp2
• Lengkah Routing Adjusment(3) mariksa ayana labél routing sarta ngirimkeunana ka tabel routing luyu
• Numutkeun tabel routing, pakét kudu dikirim ka gateway 10.20.20.1 via panganteur ether2.

MultiWAN sarta balik lalulintas dst-nat

Hiji conto anu leuwih pajeulit, naon nu kudu lamun aya hiji server (contona, web) balik router dina subnet swasta jeung anjeun kudu nyadiakeun aksés ka eta ngaliwatan salah sahiji panyadia.

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

Intina masalahna bakal sami, solusina sami sareng pilihan Firewall Mangle, ngan ranté sanés anu bakal dianggo:

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Diagram henteu nunjukkeun NAT, tapi kuring nyangka sadayana jelas.

MultiWAN sareng sambungan kaluar

Anjeun tiasa make kamampuhan PBR pikeun nyieun sababaraha vpn (SSTP dina conto) sambungan ti interfaces router béda.

Tabel routing tambahan:

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

tanda pakét:

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

Aturan NAT basajan, disebutkeun pakét bakal ninggalkeun panganteur jeung Src salah. alamat:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

Parsing:

• Router nyiptakeun tilu prosés SSTP
• Dina tahap kaputusan Routing (2), jalur dipilih pikeun prosés ieu dumasar kana tabel routing utama. Tina jalur anu sami, pakét nampi Src. Alamat kabeungkeut kana panganteur éter1
• В [Output|Mangle] pakét ti sambungan béda narima labél béda
• Pakét asupkeun tabel anu cocog sareng labél dina tahap Penyesuaian Routing sareng nampi rute énggal pikeun ngirim pakét.
• Tapi bungkusan masih gaduh Src. Alamat ti éter1, di panggung [Nat|Srcnat] alamatna diganti nurutkeun panganteur

Narikna, dina router anjeun bakal ningali tabel sambungan di handap ieu:

Connection Tracker jalan kaluar saméméhna [Mangle] и [Srcnat], ku kituna sadaya sambungan datangna ti alamat nu sarua, lamun kasampak di leuwih jéntré, lajeng dina Replay Dst. Address bakal aya alamat saatos NAT:

Dina server VPN (kuring gaduh hiji dina bangku tés), anjeun tiasa ningali yén sadaya sambungan asalna tina alamat anu leres:

Tahan jalan
Aya cara anu langkung gampang, anjeun ngan saukur tiasa netepkeun gateway khusus pikeun tiap alamat:

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

Tapi ruteu sapertos bakal mangaruhan henteu ngan kaluar tapi ogé lalulintas transit. Tambih Deui, upami anjeun henteu peryogi lalu lintas ka server vpn pikeun ngalangkungan saluran komunikasi anu teu pantes, maka anjeun kedah nambihan 6 aturan deui pikeun [IP]->[Routes]с type=blackhole. Dina versi saméméhna - 3 aturan di [IP]->[Route]->[Rules].

Distribusi sambungan pamaké ku saluran komunikasi

Basajan, tugas sapopoé. Sakali deui, tabel routing tambahan bakal diperyogikeun:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

Ngagunakeun [IP]->[Route]->[Rules]

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

Upami dianggo action=lookup, teras nalika salah sahiji saluran ditumpurkeun, lalu lintas bakal angkat ka méja utama sareng ngalangkungan saluran kerja. Naha ieu perlu atanapi henteu gumantung kana tugas.

Ngagunakeun tanda dina [IP]->[Firewall]->[Mangle]
Hiji conto basajan kalawan daptar alamat ip. Sacara prinsip, ampir sagala kaayaan bisa dipaké. Hijina caveat of layer7, sanajan dipasangkeun jeung labél sambungan, eta bisa sigana yen sagalana berpungsi neuleu, tapi sababaraha lalulintas masih bakal balik jalan salah.

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

Anjeun tiasa "konci" pamaké dina hiji méja routing ngaliwatan [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

Boh ngaliwatan [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

Mundur pro dst-address-type=!local
kaayaan tambahan dst-address-type=!local perlu yén lalulintas ti pamaké ngahontal prosés lokal tina router (dns, winbox, ssh, ...). Upami sababaraha subnet lokal disambungkeun ka router, anjeun kedah mastikeun yén lalu lintas antara aranjeunna henteu angkat ka Internét, contona, nganggo dst-address-table.

Dina conto ngagunakeun [IP]->[Route]->[Rules] euweuh iwal misalna, tapi lalulintas ngahontal prosés lokal. Kanyataan yén asup kana pakét FIB anu ditandaan [PREROUTING|Mangle] boga labél ruteu na mana kana tabel routing lian ti utama, dimana euweuh panganteur lokal. Dina kasus Aturan Routing, mimitina dipariksa naha pakét dimaksudkeun pikeun prosés lokal sareng ngan dina tahap PBR Pamaké éta angkat ka méja routing anu ditangtukeun.

Ngagunakeun [IP]->[Firewall]->[Mangle action=route]
Peta ieu ngan dianggo dina [Prerouting|Mangle] tur ngidinan Anjeun pikeun ngarahkeun lalulintas ka gateway nu ditangtukeun tanpa ngagunakeun tabel routing tambahan, ku nangtukeun alamat gateway langsung:

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

epek route boga prioritas leuwih handap aturan routing ([IP]->[Route]->[Rules]). Dina kasus tanda jalur, sagalana gumantung kana posisi aturan, lamun aturan kalawan action=route hargana leuwih ti action=mark-route, teras éta bakal dianggo (teu paduli bandéra passtrough), disebutkeun nyirian jalur.
Aya sakedik inpormasi dina wiki ngeunaan aksi ieu sareng sadaya kacindekan dicandak sacara ékspériméntal, dina hal naon waé, kuring henteu mendakan pilihan nalika nganggo pilihan ieu masihan kaunggulan pikeun anu sanés.

Balancing dinamis dumasar PPC

Per Connection Classifier - mangrupikeun analog anu langkung fleksibel tina ECMP. Teu kawas ECMP, ngabagi lalulintas ku sambungan leuwih ketat (ECMP weruh nanaon ngeunaan sambungan, tapi lamun dipasangkeun jeung Routing Cache, hal sarupa diala).

PCC nyokot widang husus ti lulugu ip, ngarobahna kana nilai 32-bit, sarta ngabagi ku panyebut. Sésana divisi dibandingkeun sareng anu ditangtukeun sésana sareng upami aranjeunna cocog, maka tindakan anu ditangtukeun diterapkeun. deui. Sora gélo, tapi gawéna.

Conto sareng tilu alamat:

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

Conto distribusi dinamis lalu lintas ku src.address antara tilu saluran:

#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

Nalika nyirian rute, aya kaayaan tambahan: in-interface=br-lan, tanpa eta handapeun action=mark-routing lalulintas respon ti Internet bakal meunang na, luyu jeung tabel routing, bakal balik deui ka panyadia nu.

Ngalihkeun saluran komunikasi

Pariksa ping mangrupikeun alat anu saé, tapi ngan ukur mariksa sambungan sareng peer IP anu pangcaketna, jaringan panyadia biasana diwangun ku sajumlah ageung router sareng putus sambungan tiasa lumangsung di luar peer anu pangcaketna, teras aya operator telekomunikasi tulang tonggong anu ogé tiasa. gaduh masalah, sacara umum pariksa ping teu salawasna némbongkeun up-to-date informasi ngeunaan aksés ka jaringan global.
Upami panyadia sareng perusahaan ageung gaduh protokol routing dinamis BGP, maka pangguna bumi sareng kantor kedah sacara mandiri terang kumaha pariksa aksés Internét ngaliwatan saluran komunikasi khusus.

Ilaharna, Aksara dipaké yén, ngaliwatan saluran komunikasi tangtu, pariksa kasadiaan alamat ip on Internét, bari milih hal dipercaya, contona, google dns: 8.8.8.8. 8.8.4.4. Tapi dina komunitas Mikrotik, alat anu langkung narik parantos diadaptasi pikeun ieu.

Sababaraha kecap ngeunaan routing recursive
routing Recursive diperlukeun nalika ngawangun Multihop BGP peering sarta meunang kana artikel ngeunaan dasar tina routing statik ngan alatan licik pamaké MikroTik anu ilahar kaluar kumaha carana make ruteu recursive dipasangkeun kalayan gateway dipariksa pikeun pindah saluran komunikasi tanpa Aksara tambahan.

Waktosna ngartos wengkuan / pilihan wengkuan udagan sacara umum sareng kumaha jalurna kabeungkeut kana antarmuka:

1. Rute milarian antarbeungeut pikeun ngirim pakét dumasar kana nilai lingkupna sareng sadaya éntri dina tabel utama kalayan nilai lingkup target anu kirang atanapi sami.
2. Tina antarmuka anu kapendak, anu anjeun tiasa ngirim pakét ka gateway anu ditangtukeun dipilih
3. Antarbeungeut entri disambungkeun kapanggih dipilih pikeun ngirim pakét ka gateway nu

Dina ayana jalur rekursif, sadayana kajadian sami, tapi dina dua tahap:

• 1-3 Hiji deui jalur ditambahkeun kana ruteu disambungkeun, ngaliwatan nu gateway dieusian bisa ngahontal
• 4-6 Pananjung jalur disambungkeun jalur pikeun gateway "panengah".

Sadaya manipulasi sareng pamilarian rekursif lumangsung dina RIB, sareng ngan ukur hasil ahir anu ditransfer ka FIB: 0.0.0.0/0 via 10.10.10.1 on ether1.

Conto ngagunakeun routing recursive mun pindah ruteu

Konfigurasi:

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

Anjeun tiasa pariksa yén pakét bakal dikirim ka 10.10.10.1:

Pariksa gateway nyaho nanaon tentang routing recursive tur saukur ngirimkeun pings ka 8.8.8.8, nu (dumasar kana tabel utama) diaksés ngaliwatan gateway 10.10.10.1.

Mun aya leungitna komunikasi antara 10.10.10.1 jeung 8.8.8.8, lajeng jalur dipegatkeun, tapi pakét (kaasup test pings) ka 8.8.8.8 terus ngaliwatan 10.10.10.1:

Upami tautan ka éter1 leungit, maka kaayaan anu teu pikaresepeun lumangsung nalika pakét sateuacan 8.8.8.8 ngalangkungan panyadia kadua:

Ieu masalah mun anjeun migunakeun NetWatch pikeun ngajalankeun Aksara lamun 8.8.8.8 teu sadia. Upami tautanna rusak, NetWatch ngan saukur bakal jalan ngaliwatan saluran komunikasi cadangan sareng nganggap yén sadayana henteu kunanaon. Direngsekeun ku nambahkeun jalur filter tambahan:

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

Aya dina habré artikel, dimana kaayaan jeung NetWatch dianggap leuwih jéntré.

Sareng enya, nalika nganggo reservasi sapertos kitu, alamat 8.8.8.8 bakal dihubungkeun ka salah sahiji panyadia, janten milih salaku sumber dns sanés ide anu saé.

Sababaraha kecap ngeunaan Virtual Routing and Forwarding (VRF)

Téknologi VRF dirancang pikeun nyiptakeun sababaraha router virtual dina hiji fisik, téknologi ieu loba dipaké ku operator telekomunikasi (biasana babarengan jeung MPLS) pikeun nyadiakeun layanan L3VPN ka klien kalawan alamat subnet tumpang tindih:

Tapi VRF di Mikrotik diatur dina dasar tabel routing sarta ngabogaan sajumlah kalemahan, contona, alamat ip lokal tina router anu sadia tina sagala VRFs, Anjeun bisa maca leuwih lengkep. link.

conto konfigurasi vrf:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

Tina alat anu disambungkeun ka éter2, urang tingali yén ping angkat ka alamat router tina vrf anu sanés (sareng ieu mangrupikeun masalah), sedengkeun ping henteu angkat ka Internét:

Pikeun ngaksés Internét, anjeun kedah ngadaptar jalur tambahan anu ngaksés méja utama (dina terminologi vrf, ieu disebut bocor rute):

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

Ieu aya dua cara pikeun ngabocorkeun rute: nganggo tabel routing: 172.17.0.1@main sareng nganggo nami antarmuka: 172.17.0.1%wlan1.

Sareng nyetél nyirian pikeun lalu lintas balik [PREROUTING|Mangle]:

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no 

Subnet sareng alamat anu sami
Organisasi aksés ka subnet kalayan alamat anu sami dina router anu sami nganggo VRF sareng netmap:

Konfigurasi dasar:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

aturan firewall:

#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

Aturan routing pikeun lalulintas balik:

#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

Nambahkeun rute anu ditampi via dhcp kana méja routing anu dipasihkeun
VRF bisa jadi istiméwa mun anjeun kudu otomatis nambahkeun ruteu dinamis (Contona, ti klien dhcp) kana tabel routing husus.

Nambahkeun panganteur kana vrf:

/ip route vrf
add interface=ether1 routing-mark=over-isp1

Aturan pikeun ngirim lalulintas (kaluar jeung transit) ngaliwatan tabél leuwih-isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

Tambahan, rute palsu pikeun routing outbound ka jalan:

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

Rute ieu ngan diperlukeun ku kituna pakét kaluar lokal bisa ngaliwatan kaputusan Routing (2) saméméhna [OUTPUT|Mangle] tur meunangkeun labél routing, lamun aya ruteu aktip sejenna dina router saméméh 0.0.0.0/0 dina tabel utama, teu diperlukeun.

ranté connected-in и dynamic-in в [Routing] -> [Filters]

Nyaring rute (inbound sareng outbound) mangrupikeun alat anu biasana dianggo babarengan sareng protokol routing dinamis (sareng ku kituna ngan sayogi saatos masang pakét. routing), tapi aya dua ranté anu pikaresepeun dina saringan anu asup:

• disambungkeun-in - nyaring jalur disambungkeun
• dinamis-in - nyaring rute dinamis anu ditampi ku PPP sareng DCHP

Nyaring ngamungkinkeun anjeun henteu ngan ukur miceun rute, tapi ogé ngarobih sababaraha pilihan: jarak, routing-mark, koméntar, wengkuan, wengkuan target, ...

Ieu mangrupikeun alat anu tepat pisan sareng upami anjeun tiasa ngalakukeun hiji hal tanpa Saringan Routing (tapi sanés skrip), maka entong nganggo Saringan Routing, entong ngalieurkeun diri anjeun sareng anu bakal ngonpigurasikeun router saatos anjeun. Dina konteks routing dinamis, Routing Filter bakal dianggo langkung sering sareng langkung produktif.

Nyetél Tanda Routing pikeun Rute Dinamis
Hiji conto ti router imah. Kuring boga dua sambungan VPN ngonpigurasi sarta lalulintas di antarana kudu dibungkus luyu jeung tabel routing. Dina waktos anu sami, abdi hoyong ruteu didamel sacara otomatis nalika antarmuka diaktipkeun:

#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

Kuring henteu weruh naha, meureun bug, tapi lamun nyieun vrf pikeun panganteur ppp, lajeng jalur ka 0.0.0.0/0 masih bakal meunang kana tabel utama. Upami teu kitu, sagalana bakal jadi malah leuwih gampang.

Nganonaktipkeun Rute Nyambung
Kadang-kadang ieu diperlukeun:

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

Parabot Debugging

RouterOS nyadiakeun sajumlah alat pikeun debugging routing:

• [Tool]->[Tourch] - ngidinan Anjeun pikeun nempo pakét on interfaces
• /ip route check - ngidinan Anjeun pikeun ningali nu gateway pakét bakal dikirim ka, teu dianggo kalayan tabel routing
• /ping routing-table=<name> и /tool traceroute routing-table=<name> - ping sareng ngalacak nganggo tabel routing anu ditangtukeun
• action=log в [IP]->[Firewall] - alat anu saé anu ngamungkinkeun anjeun ngalacak jalur pakét sapanjang aliran pakét, tindakan ieu sayogi dina sadaya ranté sareng méja

sumber: www.habr.com