ProHoster > Blog > Идораи > Multivan ва масир дар Mikrotik RouterOS

Multivan ва масир дар Mikrotik RouterOS

Муқаддима

Гирифтани мақола, ба ғайр аз беҳуда, басомади ногуворе аз саволҳо дар ин мавзӯъ дар гурӯҳҳои профилии ҷомеаи телеграммаи русзабон сабаб шуд. Мақола ба маъмурони навтарини Mikrotik RouterOS (минбаъд ROS) нигаронида шудааст. Он танҳо бо multivan бо таваҷҷӯҳ ба масир сару кор дорад. Ҳамчун бонус, танзимоти ҳадди ақал кофӣ барои таъмини кори бехатар ва қулай мавҷуданд. Онҳое, ки дар ҷустуҷӯи ифшои мавзӯъҳои навбатҳо, мувозинати сарборӣ, вланҳо, пулҳо, таҳлили амиқи бисёрмарҳалаи ҳолати канал ва монанди инҳо ҳастанд - шояд вақт ва кӯшиши хонданро беҳуда сарф накунанд.

Маълумоти ибтидоӣ

Ҳамчун субъекти санҷиш, роутери панҷпорти Mikrotik бо версияи ROS 6.45.3 интихоб карда шуд. Он трафикро байни ду шабакаи маҳаллӣ (LAN1 ва LAN2) ва се провайдер (ISP1, ISP2, ISP3) равона мекунад. Канал ба ISP1 суроғаи статикии "хокистарӣ" дорад, ISP2 - "сафед", ки тавассути DHCP гирифта шудааст, ISP3 - "сафед" бо иҷозати PPPoE. Диаграммаи пайвастшавӣ дар расм нишон дода шудааст:

Multivan ва масир дар Mikrotik RouterOS

Вазифа аз он иборат аст, ки роутери MTK дар асоси схема танзим карда шавад, то:

  1. Гузариши автоматиро ба провайдери эҳтиётӣ таъмин кунед. Таъминкунандаи асосӣ ISP2, захираи якум ISP1, захираи дуюм ISP3 мебошад.
  2. Дастрасии шабакаи LAN1-ро ба Интернет танҳо тавассути ISP1 ташкил кунед.
  3. Имконияти масири трафикро аз шабакаҳои маҳаллӣ ба Интернет тавассути провайдери интихобшуда дар асоси рӯйхати суроғаҳо таъмин кунед.
  4. Пешниҳоди имкони нашри хидматҳо аз шабакаи маҳаллӣ ба Интернет (DSTNAT)
  5. Филтри брандмауэрро барои таъмини ҳадди ақали амнияти кофӣ аз Интернет насб кунед.
  6. Роутер метавонад трафики худро тавассути яке аз се провайдер вобаста ба суроғаи манбаи интихобшуда барорад.
  7. Боварӣ ҳосил кунед, ки бастаҳои ҷавобӣ ба канале, ки аз он омадаанд, равона карда мешаванд (аз ҷумла LAN).

Аҳамият диҳед Мо роутерро "аз сифр" танзим мекунем, то ки набудани ногаҳонӣ дар конфигуратсияҳои ибтидоии "аз қуттӣ", ки аз версия ба версия иваз мешаванд, кафолат диҳем. Winbox ҳамчун воситаи конфигуратсия интихоб карда шуд, ки дар он тағиротҳо ба таври визуалӣ намоиш дода мешаванд. Худи танзимот тавассути фармонҳо дар терминали Winbox муқаррар карда мешаванд. Пайвасти ҷисмонӣ барои конфигуратсия тавассути пайвасти мустақим ба интерфейси Ether5 анҷом дода мешавад.

Як каме мулоҳиза дар бораи он ки мултивен чист, оё ин мушкилот аст ё одамони оқил дар атрофи шабакаҳои тавтиъа бофтан ҳастанд

Маъмури пурсамар ва бодиққат, ки ин ё он схемаро мустақилона муқаррар мекунад, ногаҳон дарк мекунад, ки он аллакай муътадил кор мекунад. Бале, бале, бидуни ҷадвалҳои масири фармоишии шумо ва дигар қоидаҳои масир, ки аксари мақолаҳо дар ин мавзӯъ пуранд. Биёед тафтиш кунем?

Оё мо метавонем адресро дар интерфейсҳо ва шлюзҳои пешфарз танзим кунем? Ҳа:

Дар ISP1, суроға ва шлюз бо сабти ном карда шуданд масофа = 2 и check-gateway = ping.
Дар ISP2, танзимоти пешфарзии муштарии dhcp - мутаносибан масофа ба як баробар мешавад.
Дар ISP3 дар танзимоти муштарӣ pppoe вақте add-default-route = ҳа гузошта пешфарз-маршрут-масофа = 3.

Дар баромадгоҳ сабти ном кардани NAT-ро фаромӯш накунед:

/ip девори nat илова амал = занҷири маскарад = srcnat out-interface-list = WAN

Дар натиҷа, корбарони сайтҳои маҳаллӣ аз зеркашии гурбаҳо тавассути провайдери асосии ISP2 лаззат мебаранд ва бо истифода аз механизм фармоиши канал вуҷуд дорад. дарвозаро тафтиш кунед Ба ёддошти 1 нигаред

Нуктаи 1-уми супориш ба амал бароварда мешавад. Мултиван бо аломатҳои худ куҷост? Не…

Минбаъд. Шумо бояд муштариёни мушаххасро аз LAN тавассути ISP1 озод кунед:

/ip девори девори танзими амал илова кунед = занҷири масир = масир пешакии dst-address-list =!BOGONS
гузариш = ҳа route-dst = 100.66.66.1 src-address-list = Via_ISP1
/ip девори девори танзими амал илова кунед = занҷири масир = масир пешакии dst-address-list =!BOGONS
гузариш = нест масир-dst = 100.66.66.1 src-адрес = 192.168.88.0/24

Пунктхои 2 ва 3 супориш ичро гардиданд. Лайк, штамп, коидахои маршрут, кучоед?!

Оё ба сервери дӯстдоштаи OpenVPN бо суроғаи 172.17.17.17 барои муштариён аз Интернет дастрасӣ додан лозим аст? Лутфан:

/ IP абри маҷмӯи ddns-enabled = ҳа

Ҳамчун як ҳамсол, мо ба муштарӣ натиҷаи натиҷа медиҳем: ": гузоштан [ip абр гирифтани dns-name]"

Мо интиқоли портро аз Интернет сабти ном мекунем:

/ip девори nat илова амал = занҷири dst-nat = dstnat dst-port = 1194
in-interface-list = Протоколи WAN = udp ба суроғаҳо = 172.17.17.17

Қисми 4 омода аст.

Мо барои банди 5 девори деворӣ ва дигар амниятро насб кардем, дар айни замон мо шодем, ки ҳама чиз аллакай барои корбарон кор мекунад ва ба контейнер бо нӯшокии дӯстдошта мерасад ...
А! Туннелхо фаромуш шудаанд.

l2tp-client, ки аз ҷониби мақолаи google танзим шудааст, ба VDS дӯстдоштаи голландии шумо бархост? Бале.
l2tp-сервер бо IPsec эҳьё шуд ва муштариён аз ҷониби DNS-ном аз IP Cloud (нигаред ба боло.) часпида? Бале.
Ба курсии худ такья карда, нӯшокӣ хӯрда, бандҳои 6 ва 7-ро танбалона баррасӣ мекунем. Мо фикр мекунем - оё ба мо лозим аст? Бо вуҷуди ин, он чунин кор мекунад (в) ... Пас, агар он ҳоло ҳам лозим набошад, пас ҳамин аст. Multivan амалӣ карда шуд.

Мултиван чист? Ин пайвасти якчанд каналҳои интернетӣ ба як роутер аст.

Ба шумо лозим нест, ки мақоларо минбаъд хонед, зеро ғайр аз намоиши татбиқи шубҳанок чӣ метавонад бошад?

Барои онҳое, ки боқӣ мондаанд, ки ба бандҳои 6 ва 7-и вазифа таваҷҷӯҳ доранд ва инчунин хориши комилиятро эҳсос мекунанд, мо амиқтар ғарқ мешавем.

Вазифаи муҳимтарини татбиқи як мултиван ин дуруст кардани масири трафик мебошад. Яъне: новобаста аз кадоме (ё кадоме) Нигаред. ёддошт 3 Канал(ҳо)-и ISP ба масири пешфарз дар роутери мо назар мекунад, он бояд посухро ба канали дақиқи баста баргардонад. Вазифа равшан аст. Мушкилот дар куҷост? Дар ҳақиқат, дар шабакаи оддии маҳаллӣ, вазифа якхела аст, аммо ҳеҷ кас бо танзимоти иловагӣ ташвиш намедиҳад ва мушкилотро ҳис намекунад. Фарқият дар он аст, ки ҳама гуна гиреҳи масир дар Интернет тавассути ҳар як канали мо дастрас аст, на тавассути як канали мушаххас, ба мисли LAN оддӣ. Ва "мушкилот" дар он аст, ки агар мо дар бораи суроғаи IP-и ISP3 дархост гирифта бошем, пас дар ҳолати мо ҷавоб тавассути канали ISP2 мегузарад, зеро дарвозаи пешфарз ба он ҷо равона карда шудааст. Баргҳо ва аз ҷониби провайдер ҳамчун нодуруст партофта мешаванд. Мушкилот муайян карда шуд. Онро чӣ тавр бояд ҳал кард?

Ҳалли ба се марҳила тақсим мешавад:

  1. Пешакӣ. Дар ин марҳила, танзимоти асосии роутер муқаррар карда мешаванд: шабакаи маҳаллӣ, брандмауэр, рӯйхати суроғаҳо, мӯйҳои NAT ва ғайра.
  2. Мултиван. Дар ин марҳила, пайвастҳои зарурӣ дар ҷадвалҳои масир қайд карда мешаванд.
  3. Пайвастшавӣ ба ISP. Дар ин марҳила интерфейсҳое, ки пайвастшавӣ ба Интернетро таъмин мекунанд, танзим карда мешаванд, масир ва механизми фармоиши каналҳои интернетӣ фаъол карда мешавад.

1. Танзими пешакӣ

1.1. Мо конфигуратсияи роутерро бо фармон тоза мекунем:

/system reset-configuration skip-backup=yes no-defaults=yes

розӣ бо"Хавфнок! Ба ҳар ҳол аз нав барқарор кунед? [y/N]:” ва пас аз бозоғозӣ, мо бо Winbox тавассути MAC пайваст мешавем. Дар ин марҳила, конфигуратсия ва пойгоҳи корбар тоза карда мешаванд.

1.2. Эҷоди корбари нав:

/user add group=full name=knight password=ultrasecret comment=”Not horse”

дар зери он ворид шавед ва пешфарзро нест кунед:

/user remove admin

Аҳамият диҳед Маҳз нест кардан ва ғайрифаъол накардани корбари пешфарз аст, ки муаллиф онро бехатартар мешуморад ва барои истифода тавсия медиҳад.

1.3. Мо рӯйхати интерфейсҳои асосиро барои роҳати кор дар девор, танзимоти кашф ва дигар серверҳои MAC эҷод мекунем:

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

Имзои интерфейсҳо бо шарҳҳо

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

ва рӯйхати интерфейсҳоро пур кунед:

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

Аҳамият диҳед Навиштани шарҳҳои фаҳмо ба маблағи вақти барои ин сарфшуда аст, инчунин он барои бартараф кардани мушкилот ва фаҳмидани конфигуратсия хеле осон мекунад.

Муаллиф зарур мешуморад, ки бо сабабҳои амниятӣ, илова кардани интерфейси ether3 ба рӯйхати интерфейси "WAN", сарфи назар аз он, ки протоколи IP аз он намегузарад.

Фаромӯш накунед, ки пас аз баланд бардоштани интерфейси PPP дар ether3, он ҳамчунин бояд ба рӯйхати интерфейси "WAN" илова карда шавад.

1.4. Мо роутерро аз ошкор ва назорати ҳамсоягӣ аз шабакаҳои провайдер тавассути MAC пинҳон мекунем:

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

1.5. Мо маҷмӯи ҳадди ақали кофии қоидаҳои филтри брандмауэрро барои ҳифзи роутер эҷод мекунем:

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(қоида барои пайвастҳои муқарраршуда ва алоқаманде, ки ҳам аз шабакаҳои пайвастшуда ва ҳам аз худи роутер оғоз мешаванд, иҷозат медиҳад)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(пинг ва на танҳо пинг. Ҳама icmp иҷозат дода мешавад. Барои дарёфти мушкилоти MTU хеле муфид аст)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(қоидае, ки занҷири вурудро мебандад, ҳама чизи дигаре, ки аз Интернет меояд, манъ мекунад)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(қоида имкон медиҳад, ки пайвастҳои муқарраршуда ва алоқаманде, ки тавассути роутер мегузаранд)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(қоида пайвастҳоро бо ҳолати пайвастшавӣ = беэътибор, ки тавассути роутер мегузарад, аз нав барқарор мекунад. Он аз ҷониби Mikrotik сахт тавсия дода мешавад, аммо дар баъзе ҳолатҳои нодир он метавонад трафики муфидро боздорад)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(қоида пакетҳоеро, ки аз Интернет ворид мешаванд ва аз роутер аз расмиёти dstnat нагузаштаанд, манъ мекунад. Ин шабакаҳои маҳаллиро аз вайронкорон муҳофизат мекунад, ки дар як домени пахш бо шабакаҳои берунаи мо қарор дошта, IP-ҳои берунаи моро ба сифати роутер ба қайд мегиранд. дарвоза ва ҳамин тавр, кӯшиш кунед, ки шабакаҳои маҳаллии моро "омӯзед".)

Аҳамият диҳед Фарз мекунем, ки шабакаҳои LAN1 ва LAN2 боэътимоданд ва трафики байни онҳо ва аз онҳо филтр карда намешавад.

1.6. Рӯйхатеро бо рӯйхати шабакаҳои масирнашаванда эҷод кунед:

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(Ин рӯйхати суроғаҳо ва шабакаҳое мебошад, ки ба Интернет масир нестанд ва мувофиқи он пайравӣ карда мешаванд.)

Аҳамият диҳед Рӯйхат метавонад тағир дода шавад, бинобар ин ман ба шумо маслиҳат медиҳам, ки мунтазам мувофиқатро тафтиш кунед.

1.7. Барои худи роутер DNS-ро насб кунед:

/ip dns set servers=1.1.1.1,8.8.8.8

Аҳамият диҳед Дар версияи кунунии ROS, серверҳои динамикӣ аз серверҳои статикӣ бартарӣ доранд. Дархост барои ҳалли ном бо тартиби дар рӯйхат ба сервери аввал фиристода мешавад. Гузариш ба сервери навбатӣ вақте сурат мегирад, ки сервери ҷорӣ мавҷуд нест. Давомнокии вақт калон аст - зиёда аз 5 сония. Бозгаштан, вақте ки "сервери афтода" дубора оғоз мешавад, ба таври худкор ба амал намеояд. Бо назардошти ин алгоритм ва мавҷудияти multivan, муаллиф тавсия медиҳад, ки серверҳои аз ҷониби провайдерҳо пешниҳодшуда истифода нашаванд.

1.8. Шабакаи маҳаллӣ насб кунед.
1.8.1. Мо суроғаҳои IP-и статикиро дар интерфейсҳои LAN танзим мекунем:

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2. Мо қоидаҳои хатсайрҳоро ба шабакаҳои маҳаллии худ тавассути ҷадвали асосии масир муқаррар мекунем:

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

Аҳамият диҳед Ин яке аз роҳҳои зуд ва осони дастрасӣ ба суроғаҳои LAN бо манбаъҳои суроғаҳои IP берунии интерфейсҳои роутер мебошад, ки аз масири пешфарз намегузаранд.

1.8.3. Hairpin NAT-ро барои LAN1 ва LAN2 фаъол созед:

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

Аҳамият диҳед Ин ба шумо имкон медиҳад, ки ҳангоми дар дохили шабака будан ба захираҳои худ (dstnat) тавассути IP-и беруна дастрасӣ пайдо кунед.

2. Дар асл, татбиқи multivan хеле дуруст

Барои ҳалли масъалаи "ҷавоб додан аз куҷо пурсиданд", мо ду асбоби ROS-ро истифода мебарем: аломати пайвастшавӣ и аломати масир. аломати пайвастшавӣ ба шумо имкон медиҳад, ки пайвасти дилхоҳро қайд кунед ва сипас бо ин аломат ҳамчун шарти муроҷиат кор кунед аломати масир. Ва аллакай бо аломати масир кор кардан мумкин аст ip маршрут и қоидаҳои роҳ. Мо асбобҳоро муайян кардем, акнун шумо бояд муайян кунед, ки кадом пайвастҳоро қайд кардан лозим аст - як маротиба, маҳз дар куҷо қайд кардан - ду.

Бо аввалин, ҳама чиз оддӣ аст - мо бояд ҳамаи пайвастҳоеро, ки ба роутер аз Интернет тавассути канали мувофиқ меоянд, қайд кунем. Дар ҳолати мо, инҳо се нишона хоҳанд буд (аз рӯи шумораи каналҳо): "conn_isp1", "conn_isp2" ва "conn_isp3".

Нозукии дуюм ин аст, ки пайвастҳои воридотӣ ду намуд хоҳанд буд: транзит ва онҳое, ки барои худи роутер пешбинӣ шудаанд. Механизми аломати пайвастшавӣ дар ҷадвал кор мекунад морг. Ҳаракати бастаро дар диаграммаи соддакардашуда, ки аз ҷониби мутахассисони манбаи mikrotik-trainings.com таҳия шудааст, баррасӣ кунед (на таблиғ):

Multivan ва масир дар Mikrotik RouterOS

Пас аз тирҳо, мо мебинем, ки баста ба "интерфейси вуруд”, аз занҷири “ мегузарадПеш аз масир” ва танҳо он гоҳ он ба транзитӣ ва маҳаллӣ дар блок тақсим карда мешавад.Қарори масир". Аз ин рӯ, барои куштани ду парранда бо як санг, мо истифода мебарем Аломати пайвастшавӣ дар ҷадвал Масири пешакии Mangle занҷирҳо Пеш аз масир.

Эзоҳ:. Дар ROS, тамғакоғазҳои "Маршрути масир" ҳамчун "Ҷадвал" дар бахши Ip/Routes/Rules ва ҳамчун "Маркази масир" дар бахшҳои дигар номбар шудаанд. Ин метавонад дар фаҳмиш каме нофаҳмиҳо ворид кунад, аммо дар асл, ин ҳамон чизест ва аналоги rt_tables дар iproute2 дар Linux мебошад.

2.1. Мо пайвастҳои воридотӣ аз ҳар як провайдерҳоро қайд мекунем:

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

Аҳамият диҳед Барои он ки пайвастҳои аллакай қайдшударо қайд накунам, ман ба ҷои connection-state=new шарти пайвастшавӣ-тамға=но-тамғаро истифода мебарам, зеро фикр мекунам, ки ин дурусттар аст ва инчунин рад кардани пайвастҳои беэътибор дар филтри вуруд.


passthrough = не - зеро дар ин усули татбиқ, аломатгузории такрорӣ истисно карда мешавад ва барои суръат бахшидан, шумо метавонед пас аз бозии аввал шумориши қоидаҳоро қатъ кунед.

Дар назар доштан лозим аст, ки мо то хол ба хеч вачх ба масир халал намерасонем. Ҳоло танҳо марҳилаҳои омодагӣ вуҷуд доранд. Марҳилаи навбатии татбиқ коркарди трафики транзитӣ мебошад, ки тавассути пайвасти муқарраршуда аз нуқтаи таъинот дар шабакаи маҳаллӣ бармегардад. Онхое. он пакетҳое, ки (ба диаграмма нигаред) дар роҳ тавассути роутер гузаштанд:

"Интерфейси воридотӣ"=>"Пешниҳодкунӣ"=>"Қарор оид ба масир"=>"Ба пеш"=>"Масири пасандоз"=>"Интерфейси баромад" ва дар шабакаи маҳаллӣ ба адреси худ расиданд.

Муҳимтарин! Дар ROS, тақсимоти мантиқӣ ба интерфейсҳои беруна ва дохилӣ вуҷуд надорад. Агар мо роҳи бастаи ҷавобро мувофиқи диаграммаи дар боло зикршуда пайгирӣ кунем, он гоҳ он ҳамон роҳи мантиқии дархостро пайгирӣ мекунад:

"Интерфейси воридотӣ"=>"Пешниҳодкунӣ"=>"Қарор оид ба масир"=>"Ба пеш"=>"Масири пасандоз"=>"Интерфейси баромад" танҳо барои дархост"Интерфейси воридшавӣ” интерфейси ISP буд ва барои ҷавоб - LAN

2.2. Мо трафики транзити ҷавобиро ба ҷадвалҳои масирҳои мувофиқ равона мекунем:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

Шарҳ. in-interface-list=!WAN - мо танҳо бо трафики шабакаи маҳаллӣ ва dst-address-type=!local кор мекунем, ки суроғаи таъиноти суроғаи интерфейсҳои худи роутерро надорад.

Ҳамин чиз барои бастаҳои маҳаллӣ, ки дар роҳ ба роутер меоянд:

“Интерфейси воридотӣ”=>”Президентӣ”=>”Қарор оид ба масир”=>”Ворид”=>”Раванди маҳаллӣ”

Муҳимтарин! Ҷавоб ба таври зерин хоҳад буд:

”Раванди маҳаллӣ”=>”Қарор оид ба масир”=>”Баромад”=>”Пост масир”=>”Интерфейси баромад”

2.3. Мо вокуниши трафики маҳаллиро ба ҷадвалҳои масири мувофиқ равона мекунем:

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

Дар ин марҳила, вазифаи омода кардани ирсоли посух ба канали интернетӣ, ки дархост аз он ворид шудааст, метавонад ҳалшуда ҳисобида шавад. Ҳама чиз қайд карда шудааст, тамғагузорӣ шудааст ва барои интиқол омода аст.
Таъсири аълои "тараф" -и ин насб қобилияти кор кардан бо интиқоли порти DSNAT аз ҳар ду провайдер (ISP2, ISP3) дар як вақт мебошад. Аслан не, зеро дар ISP1 мо суроғаи масирнашаванда дорем. Ин таъсир, масалан, барои сервери почтаи дорои ду MX, ки ба каналҳои гуногуни Интернет нигоҳ мекунанд, муҳим аст.

Барои бартараф кардани нозукиҳои кори шабакаҳои маҳаллӣ бо роутерҳои берунии IP, мо ҳалли параграфҳоро истифода мебарем. 1.8.2 ва 3.1.2.6.

Илова бар ин, шумо метавонед асбоби дорои аломатҳоро барои ҳалли банди 3 масъала истифода баред. Мо онро ба таври зерин амалӣ мекунем:

2.4. Мо трафикро аз муштариёни маҳаллӣ аз рӯйхатҳои масир ба ҷадвалҳои мувофиқ равона мекунем:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

Дар натиҷа, он чунин ба назар мерасад:

Multivan ва масир дар Mikrotik RouterOS

3. Пайвастшавӣ ба ISP насб кунед ва масири брендиро фаъол созед

3.1. Пайвастшавӣ ба ISP1 насб кунед:
3.1.1. Суроғаи IP статикиро танзим кунед:

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2. Масири статикиро насб кунед:
3.1.2.1. Илова кардани масири пешфарз "вазъияти фавқулодда":

/ip route add comment="Emergency route" distance=254 type=blackhole

Аҳамият диҳед Ин масир имкон медиҳад, ки трафик аз равандҳои маҳаллӣ, новобаста аз ҳолати пайвандҳои ягон провайдерҳо аз марҳилаи Қарори масир гузарад. Нозукии трафики содиротии маҳаллӣ дар он аст, ки барои ҳадди ақал ба ҷое ҳаракат кардани баста, ҷадвали масир бояд хатсайри фаъол ба шлюзи пешфарз дошта бошад. Дар акси ҳол, баста танҳо нобуд карда мешавад.

Ҳамчун васеъкунии асбоб дарвозаро тафтиш кунед Барои таҳлили амиқтари ҳолати канал, ман тавсия медиҳам, ки усули масири рекурсивӣ истифода шавад. Моҳияти усул дар он аст, ки мо ба роутер мегӯем, ки роҳро ба шлюзи худ на мустақим, балки тавассути шлюзи мобайнӣ ҷустуҷӯ кунад. 4.2.2.1, 4.2.2.2 ва 4.2.2.3 барои ISP1, ISP2 ва ISP3 мутаносибан ҳамчун шлюзи "озмоиш" интихоб карда мешаванд.

3.1.2.2. Роҳ ба суроғаи "тасдиқ":

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

Аҳамият диҳед Мо арзиши миқёсро ба пешфарз дар доираи ҳадафи ROS паст мекунем, то 4.2.2.1-ро ҳамчун дарвозаи рекурсивӣ дар оянда истифода барем. Ман таъкид мекунам: доираи масир ба суроғаи "озмоиш" бояд аз доираи ҳадафи масир, ки ба санҷиши санҷишӣ ишора мекунад, камтар ё баробар бошад.

3.1.2.3. Масири рекурсивии пешфарз барои трафик бе аломати масир:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

Аҳамият диҳед Қимати масофа=2 истифода мешавад, зеро ISP1 мувофиқи шартҳои вазифа ҳамчун нусхаи аввал эълон карда мешавад.

3.1.2.4. Масири пешфарзии рекурсивӣ барои трафик бо аломати масир "to_isp1":

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

Аҳамият диҳед Воқеан, дар ин ҷо мо дар ниҳоят аз самараи корҳои омодагӣ, ки дар банди 2 анҷом дода шуда буд, оғоз мекунем.


Дар ин масир, тамоми трафик, ки хатсайри аломати "to_isp1" дорад, ба шлюзи провайдери аввал равона карда мешавад, новобаста аз он ки кадом шлюзи пешфарз дар айни замон барои ҷадвали асосӣ фаъол аст.

3.1.2.5. Аввалин масири пешфарзии рекурсивии бозгашт барои трафики барчаспшудаи ISP2 ва ISP3:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

Аҳамият диҳед Ин хатсайрҳо, аз ҷумла, барои захира кардани трафик аз шабакаҳои маҳаллӣ, ки аъзои рӯйхати суроғаҳои "to_isp*" мебошанд, лозиманд.

3.1.2.6. Мо масири трафики маҳаллии роутерро ба Интернет тавассути ISP1 сабт мекунем:

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

Аҳамият диҳед Дар якҷоягӣ бо қоидаҳои банди 1.8.2, он дастрасиро ба канали дилхоҳро бо манбаи додашуда таъмин мекунад. Ин барои сохтани нақбҳо муҳим аст, ки суроғаи маҳаллии IP-ро (EoIP, IP-IP, GRE) муайян мекунанд. Азбаски қоидаҳо дар қоидаҳои хатсайри IP аз боло ба поён, то мувофиқати якуми шартҳо иҷро мешаванд, пас ин қоида бояд пас аз қоидаҳои банди 1.8.2 бошад.

3.1.3. Мо қоидаҳои NAT-ро барои трафики содиротӣ ба қайд мегирем:

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

Аҳамият диҳед NATim ҳама чизеро, ки берун мешавад, ба истиснои он чизе, ки ба сиёсати IPsec дохил мешавад. Ман кӯшиш мекунам, ки амал=маскарадро дар ҳолати зарурӣ истифода накунам. Он нисбат ба src-nat сусттар ва захираҳои бештар серталаб аст, зеро он суроғаи NAT-ро барои ҳар як пайвасти нав ҳисоб мекунад.

3.1.4. Мо муштариёнеро аз рӯйхат, ки дастрасӣ ба дигар провайдерҳо манъ аст, мустақиман ба дарвозаи провайдери ISP1 мефиристем.

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

Аҳамият диҳед амал = масир афзалияти баландтар дорад ва пеш аз дигар қоидаҳои масир истифода мешавад.


place-befor=0 - қоидаи моро дар рӯйхат дар ҷои аввал мегузорад.

3.2. Пайвастшавӣ ба ISP2 насб кунед.

Азбаски провайдери ISP2 ба мо танзимотро тавассути DHCP медиҳад, мувофиқи он аст, ки тағироти заруриро бо скрипте, ки ҳангоми ба кор андохтани муштарии DHCP оғоз мешавад, ворид кунед:

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

Худи скрипт дар равзанаи Winbox:

Multivan ва масир дар Mikrotik RouterOS
Аҳамият диҳед Қисми якуми скрипт ҳангоми бомуваффақият ба даст овардани иҷора, дуюм - пас аз озод кардани иҷора оғоз мешавад.Ба ёддошти 2 нигаред

3.3. Мо пайвастшавӣ ба провайдери ISP3 насб кардем.

Азбаски провайдери танзимот ба мо динамикӣ медиҳад, мувофиқи он аст, ки тағироти заруриро бо скриптҳое, ки пас аз баланд шудани интерфейси ppp ва пас аз фурӯпошӣ оғоз мешаванд, ворид кунед.

3.3.1. Аввалан мо профилро танзим мекунем:

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

Худи скрипт дар равзанаи Winbox:

Multivan ва масир дар Mikrotik RouterOS
Аҳамият диҳед Стринг
Маҷмӯи файли девори /ip [пайдо кардани шарҳ="Connmark дар аз ISP3"] in-interface=$"интерфейс";
ба шумо имкон медиҳад, ки тағир додани номи интерфейсро дуруст идора кунед, зеро он бо рамзи худ кор мекунад, на номи намоишӣ.

3.3.2. Акнун, бо истифода аз профил, пайвасти ppp эҷод кунед:

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

Ҳамчун ламси ниҳоӣ, биёед соатро танзим кунем:

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

Барои онхое, ки то охир мехонанд

Роҳи пешниҳодшудаи татбиқи мултиван афзалияти шахсии муаллиф аст ва ягона имконпазир нест. Маҷмӯаи асбобҳои ROS васеъ ва чандир аст, ки аз як тараф, барои шурӯъкунандагон душворӣ меорад, ва аз тарафи дигар, сабаби маъруфияти он мебошад. Воситаҳо ва ҳалли навро омӯзед, кӯшиш кунед, кашф кунед. Масалан, ҳамчун татбиқи донишҳои гирифташуда, дар ин татбиқи мултиван асбобро иваз кардан мумкин аст дарвозаи тафтиш бо хатсайрҳои рекурсивӣ ба шабака.

ёддошт

  1. дарвозаи тафтиш - механизме, ки ба шумо имкон медиҳад, ки пас аз ду санҷиши пайдарпайи бемуваффақияти шлюз барои мавҷудият масирро ғайрифаъол кунед. Санҷиш дар ҳар 10 сония як маротиба анҷом дода мешавад, бо иловаи вақти ҷавоб. Дар маҷмӯъ, вақти воқеии гузариш дар доираи 20-30 сония ҷойгир аст. Агар чунин вақти гузариш кофӣ набошад, имкони истифодаи асбоб вуҷуд дорад шабака, ки дар он вақтсанҷро дастӣ танзим кардан мумкин аст. дарвозаи тафтиш ба талафоти фосилавии баста дар пайванд оташ намезанад.

    Муҳим! Хомӯш кардани масири асосӣ ҳамаи дигар масирҳоеро, ки ба он ишора мекунанд, ғайрифаъол мекунад. Аз ин рӯ, барои онҳо нишон медиҳанд check-gateway = ping зарур нест.

  2. Чунин мешавад, ки дар механизми DHCP нокомӣ ба амал меояд, ки ба муштарӣ дар ҳолати навсозӣ часпидааст. Дар ин ҳолат, қисми дуюми скрипт кор намекунад, аммо он ба дуруст рафтани трафик монеъ намешавад, зеро давлат масири мувофиқи рекурсивиро пайгирӣ мекунад.
  3. ECMP (баробари баробарии чанд роҳ) - дар РОС бо якчанд шлюз ва масофаи якхела маршрут гузоштан мумкин аст. Дар ин ҳолат, пайвастҳо дар байни каналҳо бо истифода аз алгоритми даврӣ, мутаносибан ба шумораи дарвозаҳои муайяншуда тақсим карда мешаванд.

Барои такони навиштани мақола, кӯмак дар ташаккули сохтор ва ҷойгиркунии аксентҳо - миннатдории шахсӣ ба Евгений @jscar

Манбаъ: will.com