Микротик настройка 2 провайдера: 2 провайдера, резервирование и балансировка
2 провайдера, резервирование и балансировка
В статье будет рассмотрен способ подключения двух провайдеров к маршрутизатору микротик, использование 2-х провайдеров может быть двумя способами резервирование и балансировка. Резервирования каналов интернета, то есть в постоянной активности будет основной канал, а другой (резервный) будет запускаться в том случае, когда первый будет не активен, используется, если допустим 2-й оператор предоставляет интернет с ограниченным трафиком или через GSM модем. Балансировка, когда одновременно работает 2 провайдера.
Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.
Резервирование
Резервирование, когда работает только один провайдер, второй в это время выключен, если у первого происходит авария, интернет через него не доступен, то включается второй оператор, при доступности интернета через основной линк, второй отключается и снова весь трафик идет через основной канал.
Быстрый способ
Допустим, шлюзом первого провайдера ISP1 является ip 1.1.1.1 он же наш основной канал шлюз второго ISP2 ip 2.2.2.2 резервный провайдер.
Заходим В меню IP-Routes, и добавляем новое правило. Заполняем поля как на рисунке.
Dst.Address – адрес назначения, 0.0.0.0/0 значит любой адрес
Gateway – шлюз провайдера
Check Gateway –Способ проверки доступности шлюза провайдера, будем проверять пингами.
Distance – метрика шлюза, т.е приоритет чем значение меньше тем приоритет выше.т.к ISP1 у нас основной провайдер, то метрику ставим самую высокую 0 или 1
Аналогично настраиваем второго провайдера ISP2? Только метрику Distance ставим больше 1, например 10
На этом быстрый способ настройки резервирования закончен, теперь весь трафик будет идти через провайдера ISP1, а при недоступности шлюза, произойдет переключения на резервного оператора ISP2. Но этого способа есть недостаток, часто бывает так, что шлюз пингуется, а интернета нет. Поэтому в этом случае подойдет комплексный способ резервирования
Комплексный способ
Данный способ основывается на систематической проверке (раз в 1 минуту) доступности какого либо ресурса в интернете, например DNS гугла 8.8.8.8.. Схема такова: если пинг проходит, значит ISP1 канал активен и ISP2 может быть отключен, в противном случае включается второй, а 1-й должен быть выключен.
Аналогично, как и в первом случае добавляем маршруты, только без проверки шлюза и с равной метрикой 10. Обязательно добавляем комментарий, он нам пригодится позже.
ISP1 будет
ISP2
Следующим создаем статический маршрут до 8.8.8.8 через основной канал. Метрика по умолчанию равна 0, поэтому ее можем не указывать. Этот маршрут нужен для проверки доступности интернета через основной канал, если он пропадает то происходит переключение
Обратите внимание, что в качестве ресурса для мониторинга нужно выбирать ip который не будет использоваться для работы. Например если вы в сети используете DNS гугла 8.8.8.8, то не нужно мониторить его доступность, в противном случае при отключении основного канала, DNS 8.8.8.8 работать не будут, т.к запросы на этот адрес будут идти через не работающего провайдера
Переключение будем делать с помощью встроенной утилиты Netwatch. Эта утилита может следить за состоянием хоста в сети и основываясь на доступности или недоступности хоста выполнять действия.
Идем в меню Tools-Netwatch и добавляем правило.
Host – ресурс который будем проверять на доступность
Interval – c какой периодичностью проверять, оставим 1 раз в минуту. Далее переходим на вкладку «UP». Здесь нам нужно прописать действие которое будет выполняться при доступности хоста. Если хост доступен, то нам нужно включить маршрут через 1-го провайдера и отключить через второго. Код будет следующим
#включем маршрут с комментарием "ISP1" (основной канал) /ip route set [find comment="ISP1"] disabled=no #отключаем маршрут с комментарием "ISP2"(резервный канал) /ip route set [find comment="ISP2"] disabled=yes
На вкладке «Down». Прописываем правила что если хост не доступен, то отключаем ISP1 и включаем ISP2.
#отключаем маршрут с комментарием "ISP1"(резервный канал) /ip route set [find comment="ISP1"] disabled=yes #включаем маршрут с комментарием "ISP1" (основной канал) /ip route set [find comment="ISP2"] disabled=no
Нажимаем «OK». Теперь при недоступности ip адреса 8.8.8.8, произойдет отключение маршрута 1.1.1.1 и включение маршрута 2.2.2.2. А когда хост 8.8.8.8 снова станет доступен, резервный канал выключится и включится основной.
Балансировка каналов
Настроим одновременную работу двух провайдеров, переходим снова в меню IP-routes и добавляем следующий маршрут по умолчанию.
В этом примере нагрузка на каналы будет распределяться 50/50, если же нам нужно сделать неравномерное распределение нагрузки, допустим в 1-го отправлять 75 % трафика, а на второго 25%, то это выглядит так.
Т.е три соединения будут идти через шлюз 1.1.1.1 и одно соединение через шлюз 2.2.2.2
Обучающий курс по настройке MikroTik
Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Настройка нескольких провайдеров
Я настоятельно рекомендую сначала прочитать, далее вникнуть, потом понять и только после того, как у вас вся картина будет нарисована в голове, приступить к настройке.
Настройка нескольких провайдеров в RouterOS.
Основная проблема настройки нескольких провайдеров заключается в том, что мы должны отправить пакет в тот же шлюз, с которого пришёл трафик через провайдера. Если мы этого не сделаем, то в большинстве случаев оператор заблокирует трафик с неправильным source адресом.
Если оператор нам выдал ip адрес 1.1.1.2, то мы должны обеспечить выход через этого провайдера именно с таким ip адресом, а не с каким либо другим.
Не будем ходить вокруг да около, а сразу приступим к настройке.
Для начала определим вводные данные.
Первый провайдер:
- Интерфейс ether1
- IP:88.88.88.2/29 Gateway: 88.88.88.1, а также данный провайдер отдаёт ещё один префикс на том же интерфейсе IP:99.99.99.2/24 Gateway: 99.99.99.1
- DSN сервера 2.2.2.2 и 3.3.3.2
Второй провайдер:
- Интерфейс ether2
- IP:44.44.44.2/29 Gateway: 44.44.44.1
- DSN сервера 7.7.7.2 и 6.6.6.2
Локальная сеть:
- Ether3 — IP:172.20.17.1/24 — локальная сеть компьютеров
- Ether4 — IP:172.20.18.1/24 — локальная сеть для серверов
Настройка IP адресации
Настроим IP адреса, согласно выданным настройкам от провайдеров.
[[email protected]] /ip address
add interface=ether1 address=88.88.88.2/29 comment=ISP1
add interface=ether1 address=99.99.99.2/24 comment=ISP1
add interface=ether2 address=44.44.44.2/24 comment=ISP2
add interface=ether3 address=172.20.17.1/24 comment=LocalNetworkComputers
add interface=ether4 address=172.20.18.1/24 comment=LocalNetworkServers
Я думаю бессмысленно как-то дополнять данные настройки.
Маркировка соединений от провайдера
Вы наверное помните, а если и нет, то стоит напомнить, что любой пакет, который приходит на маршрутизатор попадает в цепочку prerouting и не важно куда он дальше попадёт forward или Input.
Наша задача пометить определённой маркой все пакеты, которые приходят от провайдеров и предназначены для определённого префикса, это необходимо для того, чтобы мы далее могли на любом этапе обработки пакетов определить, какому провайдеру принадлежит данный пакет.
Сначала настроим, а далее разберём что сделали.
[[email protected]] /ip firewall mangle
add chain=prerouting in-interface=ether1 dst-address=88.88.88.0/29 connection-state=new action=mark-connection new-connection-mark=Next-Hop/88.88.88.1 passthrough=no
add chain=prerouting in-interface=ether1 dst-address=99.99.99.0/24 connection-state=new action=mark-connection new-connection-mark=Next-Hop/99.99.99.1 passthrough=no
add chain=prerouting in-interface=ether2 dst-address=44.44.44.0/24 connection-state=new action=mark-connection new-connection-mark=Next-Hop/44.44.44.1 passthrough=no
Разберём только первое правило, все остальные по аналогии.
Если пакет приходит с интерфейса ether1 и адрес назначения лежит в сети 88.88.88.0/29, и такой пакет создал соединение, то маркируем соединение маркой Next-Hop/88.88.88.1.
Небольшие пояснения:
88.88.88.0/29 — почему сеть, а не IP? Если вы будете делать правила для каждого IP адреса, количество правил будет расти, а смысл будет тот же самый.
connection-state=new — нет смысла пытаться маркировать соединения, которые уже установлены, как вы помните new — это пакет, который создал соединение, т.е он только один, а в случае со всеми пакетами routeros будет каждый раз пытаться маркировать соединение, которое уже и так может иметь маркировку.
Next-Hop/99.99.99.1 — почему именно так? Как вы помните, наша главная задача отправить трафик через тот же самый шлюз, через который трафик пришёл, а мы таким названием себе явно напоминаем, какой шлюз будет использоваться для выхода в сторону провайдера. Мы бы могли использовать что-нибудь вроде ISP1, но так как у нас первый провайдер даёт два префикса в одном и том же интерфейсе, мы должны трафик, который приходит на разные префиксы каким нибудь образом разделить.
И так это наша заготовка, далее мы начнём работать непосредственно с логикой.
С этого момента весть трафик, который придёт со стороны провайдера, будет промаркирован, а далее бы будем оперировать данной маркировкой.
Доступ к маршрутизатору
Первая задача, которую нам необходимо решить, это организовать возможность управления маршрутизатором через разных провайдеров. Мы должны иметь возможность подключится по любому IP адресу по ssh, winbox, а также если вы будете использовать RouterOS в случае VPN сервера. В общем организовать правильный выход пакетов, которые будет отправлены с маршрутизатора в ответ на входящие соединения.
Для начала нам надо организовать правильные таблицы маршрутизации. В одной таблице маршрутизации не могут быть одновременно два одинаковых активных маршрута, если маршруты одинаковы, то приоритет выбирается из значения distance. Для того чтобы можно было использовать несколько одинаковых маршрутов в RouterOS есть возможность создавать альтернативные (именованные) таблицы маршрутизации.
Создадим данные таблицы.
[[email protected]] /ip route
add dst-address=0.0.0.0/0 gateway=88.88.88.1 routing-mark=Next-Hop/88.88.88.1
add dst-address=0.0.0.0/0 gateway=99.99.99.1 routing-mark=Next-Hop/99.99.99.1
add dst-address=0.0.0.0/0 gateway=44.44.44.1 routing-mark=Next-Hop/44.44.44.1
Разберём:
dst-address=0.0.0.0/0 — обычный маршрут по умолчанию, не более чем.
gateway=88.88.88.1 — шлюз, обратите внимание на то, что нам первый провайдер даёт два префикса с разными шлюзами, и поэтому мы создаём три маршрута, для нас по факту не два провайдера, а три.
routing-mark=Next-Hop/88.88.88.1 — это и есть именованная таблица маршрутизации. Она может иметь любое имя, какое вам удобнее, лично моё мнение, такое именование удобно записывать в названии таблицы шлюз, через который будет отправлен пакет в случае если он будет использовать данный маршрут. Имена маркировок соединений и маршрутов просто совпали и могут быть совершенно разные.
Вы обратили внимание, что я писал про таблицы и маркировки, дело в том, что маркировка маршрута это не таблица, хотя в большинстве случаев это так. Попробуйте ответить на вопрос, для чего и какая разница в правилах между двумя фильтрами в фаерволе.
[[email protected]] /ip firewall mangle add routing- tab tab
routing-mark routing-table
Дело в том, что routing-mark это маркировка, когда вы своими руками с помощью mangle назначили на пакет маркировку, а routing-table это то, через какую таблицу маршрутизации вышел пакет.
Если маршрутизатор не найдёт подходящего маршрута в именованной таблице маршрутизации, маршрутизатор продолжит поиск подходящего маршрута в таблице по умолчанию main и такой пакет можно будет отфильтровать например так routing-mark=custommark routing-table=main
. Нам же такое поведение не нужно, если по какой-то причине маршрут не будет найден, пакет должен умереть на маршрутизаторе, а отправлять через другого провайдера нет никакого смысла.
Нам необходимо переопределить данное поведение.
[[email protected]] /ip route rule
add routing-mark=Next-Hop/88.88.88.1 action=lookup-only-in-table table=Next-Hop/88.88.88.1
add routing-mark=Next-Hop/99.99.99.1 action=lookup-only-in-table table=Next-Hop/99.99.99.1
add routing-mark=Next-Hop/44.44.44.1 action=lookup-only-in-table table=Next-Hop/44.44.44.1
Т.е марка и таблица по факту это одно и тоже, пакет который имеет определённую routing-mark пытается найти маршрут в таблице с таким же именем.
Осталась самая малость, это отправить в нужную марку необходимый трафик.
[[email protected]] /ip firewall mangle
add chain=output connection-mark=Next-Hop/88.88.88.1 action=mark-routing new-routing-mark=Next-Hop/88.88.88.1 passthrough=no
add chain=output connection-mark=Next-Hop/99.99.99.1 action=mark-routing new-routing-mark=Next-Hop/99.99.99.1 passthrough=no
add chain=output connection-mark=Next-Hop/44.44.44.1 action=mark-routing new-routing-mark=Next-Hop/44.44.44.1 passthrough=no
Цепочка output, так как мы работаем только с трафиком, который генерирует в ответ на запрос соединения. Выбрали пакеты принадлежащие только определённым соединениям и отправили в именованную таблицу.
Вроде бы всё хорошо и всё должно работать, но это не так, в RouterOS есть один маленький нюанс, который необходимо помнить и учитывать. Дело в том, что маршрутизатор, прежде чем отправить пакет в цепочку output, смотрит в таблицу маршрутизации и ищет для адреса назначения подходящий маршрут в таблице main, есть всего три типа сервисов, которые умеют работать вне данного поведения, это ping, traceroute и ospf — это необходимо для работы в VRF.
На данный момент у нас нет маршрута по умолчанию в таблице маршрутизации main, встаёт вопрос, какой шлюз указать в качестве маршрута по умолчанию, если мы укажем первого провайдера, то в случае падения интерфейса мы останемся у разбитого корыта, мы может сразу указать три шлюза и с помощью distance указать приоритеты, но тогда мы должны помнить про данную настройку и случае замены провайдера или какого-либо изменения править конфигурацию и в этом моменте, а там то всего нужно пройти выбор маршрута и далее уже переопределить направление, т.е по факту это логический кейс.
Все интерфейсы имеют способность падать, есть один интерфейс, который всегда находится в состоянии UP, но в RouterOS использовать его в конфигурации не представляется возможным — это Loopback.
В RouterOS данный интерфейс можно заменить пустым bridge.
[[email protected]] /interface bridge add name=Br-Loopback
Я часто расказываю на курсах, почему именно такое название, а не просто Loopback, возможно в ближайшем будущем в RouterOS будет добавлено поддержка Loopback интерфейса и если разрабочики заложат такое-же название, то при обновлении версии RouterOS могут возникнуть проблемы.
А теперь создадим маршрут в таблице main, который необходим для преодоления выбора маршрута и попадания пакета в цепочку output.
[[email protected]] /ip route add dst-address=0.0.0.0/0 gateway=Br-Loopback distance=254
Максимальная дистанция для того, чтобы в случае если мы создадим нормальный маршрут по умолчанию, а не фиктивный, нам данный маршрут не мешал.
Напоминаю, что дистанция 255 это административная дистанция, которая явно указывает на то, что данный маршрут мёртв и не участвует в маршрутизации.
Всё, на данном этапе вы должны иметь возможность подключаться к маршрутизатору по любому IP адресу через любого провайдера одновременно, можете пинговать и делать всякие другие непотребства с внешними IP адресами.
Выход с маршрутизатора
Хоть и по сути мы сделали уже много, но у нас ещё несколько кейсов впереди. Теперь мы должны сделать таким образом, чтобы пакеты, которые генерирует сам маршрутизатор (не в ответ), уходили через нужного провайдера и шлюза.
Когда вы пингуете с маршрутизатора, строите PPP* или IP туннели с самого маршрутизатора или dns запросы отправляете с самого маршрутизатора. Разница с прошлым кейсом в том, что мы отправляли пакет по уже установленному соединению, а здесь пакет улетает с маршрутизатора и соединение не имеет маркировки.
Здесь будет значительно проще.
[[email protected]] /ip firewall mangle
add chain=output src-address=88.88.88.0/29 action=mark-routing new-routing-mark=Next-Hop/88.88.88.1 passthrough=no
add chain=output src-address=99.99.99.0/24 action=mark-routing new-routing-mark=Next-Hop/99.99.99.1 passthrough=no
add chain=output src-address=44.44.44.0/24 action=mark-routing new-routing-mark=Next-Hop/44.44.44.1 passthrough=no
Весь трафик, который уходит с маршрутизатора, и имеет IP адрес, который попадает под префикс, будет отправлен в именованную таблицу маршрутизации.
Всё, теперь вы можете строить туннели и у вас всё будет работать, но только в том случае если явно указан IP адрес, например в Ipsec или gre, ip туннели и прочее, там где явно можно указать Source адрес. А что делать с сервисами, где нельзя указать явно IP адрес источника? Ответ на этот вопрос кроется в таблице маршрутизации. Параметр pref-src отвечает за то, какой IP адрес будет выбран если он явно не задан.
Ещё раз для понимания, у нас есть два варианта развитая сюжета, если IP адрес источника явно указан и тогда нам нечего не грозит и всё замечательно работает. Второй вариант, когда IP адрес явно не задан, например вы подминаете l2tp-client у нас нет возможности указать source адрес, но ведь адрес назначения есть в любом случае. Тогда маршрутизатор поступает следующим образом, он находит маршрут в таблице маршрутизации main, смотрит какой указан pref-src и использует данный ip адрес, как адрес источника.
Вы помните что мы создавали фиктивный маршрут.
[[email protected]] /ip route add dst-address=0.0.0.0/0 gateway=Br-Loopback distance=254
Давайте его немного изменим так, чтобы мы определили IP адрес, с которого будет формироваться трафик.
[[email protected]] /ip route
set pref-src=88.88.88.2 [ find gateway=Br-Loopback dst-address=0.0.0.0/0 ]
Выбор IP адреса зависит только от вас, выбирайте тот адрес, который считаете менее загруженным.
На этом этапе всё, теперь вы можете строить различные туннели и устанавливать соединения не только указывая явно source адрес.
Доступ за НАТ
172.20.18.2 — это exchange сервер, мы должны обеспечить доступность 25,80,443 портов через каждого провайдера.
НАТ делаем как обычно, без всяких излишеств.
[[email protected]] /ip firewall nat
add chain=dstnat in-interface=ether1 dst-address=88.88.88.2 protocol=tcp dst-port=25,80,443 action=dst-nat to-addresses=172.20.18.2
add chain=dstnat in-interface=ether1 dst-address=99.99.99.2 protocol=tcp dst-port=25,80,443 action=dst-nat to-addresses=172.20.18.2
add chain=dstnat in-interface=ether2 dst-address=44.44.44.2 protocol=tcp dst-port=25,80,443 action=dst-nat to-addresses=172.20.18.2
А теперь давайте вспомним то, что мы делали самым первым правилом в mangle мы промаркировали все соединения, которые приходят через всех провайдеров! Данная маркировка нам опять поможет.
Нам необходимо отфильтровать весь трафик, который идёт из локальной сети и отправить в том направлении к маркировки которого соединение имеет отношение.
Попробуем логически по шагам описать то, как это будет работать. Опишем для одного провайдера, для остальных по тоже схеме.
- Когда пакет придёт на IP адрес 88.88.88.2 мы промаркировали соединение которому принадлежит пакет.
- Далее в NAT мы изменили адрес назначения и маршрутизатор отправит его до сервера.
- Естественно сервер в ответ отправит пакет, как минимум syn,ack, так как данный пакет принадлежит уже существующему соединению, мы по имени соединению отправим данный пакет в именованную таблицу маршрутизации.
НАТ уже сделали, дело осталось за малым- найти трафик, который приходит от сервера.
[[email protected]] /ip firewall mangle
add chain=prerouting connection-mark=Next-Hop/88.88.88.1 in-interface=!ether1 action=mark-routing new-routing-mark=Next-Hop/88.88.88.1 passthrough=no
add chain=prerouting connection-mark=Next-Hop/99.99.99.1 in-interface=!ether1 action=mark-routing new-routing-mark=Next-Hop/99.99.99.1 passthrough=no
add chain=prerouting connection-mark=Next-Hop/44.44.44.1 in-interface=!ether2 action=mark-routing new-routing-mark=Next-Hop/44.44.44.1 passthrough=no
Наверное нет смысла описывать, всё предельно понятно, на входе мы промаркировали трафик от провайдеров, и когда пакет снова попал на вход маршрутизатора, но уже пакеты идут от серверов мы отправляем такие пакеты в именованную таблицу маршрутизации.
Наверное многие спросят, а почему указывается не интерфейс ether1, а не взять и указать явно локальный интерфейс, например ether4.
Мы с вами делаем универсальную конфигурацию, если явно указать какой-либо другой интерфейс, значит в случае если у нас будет ещё один NAT, который пойдёт в другой порт, нам необходимо будет добавлять ещё одно аналогичное правило, но уже с другим интерфейсом. А ведь мы можем даже завернуть трафик с помощью NAT вообще на внешние сервера например 1.1.1.1, и что тогда? Единственный интерфейс откуда в цепочке prerouting мы не должны ожидать данный трафик, это трафик с самого провайдера и причём именно с того, с которого он пришёл.
Всё работает, теперь вы можете подключаться в своему серверу по любому IP адресу. Создайте DNS A запись RR и укажите все три внешних IP адреса и всегда ссылайтесь на данную запись.
Например: mail.mycompany.ru
mail.mycompany.ru A 88.88.88.2
mail.mycompany.ru A 99.99.99.2
mail.mycompany.ru A 44.44.44.2
Ещё каких-то лет 7 назад, DNS RR работал не очень хорошо, в плане того, что приложения зачастую использовали только первый IP адрес, сейчас все изменилось и многие приложения в случае, если не смогут подключиться по одному адресу, будут пытаться подключаться по другому и так далее…
А также source NAT?
Промелькнула такая мысль в голове? Ведь когда пакет от сервера будет уходить через маршрутизатор, нам надо будет подменить его src адрес, на адрес на который он шёл в самом начале. Но мы ничего не сделали для этого.
Нам делать ничего не нужно, если вспомнить что в правило NAT попадает только самый первый пакет, тот на основании которого было создано соединение new, именно поэтому обычно вы видите небольшие значения в счётчиках правила NAT.
Обратное преобразования NAT произойдёт автоматически, давайте взглянем на запись в conntrack.
[[email protected]] /ip firewall connection print detail where dstnat
Flags: E - expected, S - seen-reply, A - assured, C - confirmed, D - dying, F - fasttrack, s - srcnat, d - dstnat
0 SAC d protocol=tcp src-address=5.19.245.3:57839 dst-address=88.88.88.2:80 reply-src-address=172.20.18.2:80 reply-dst-address=5.19.245.3:57839 tcp-state=established timeout=23h56m33s orig-packets=191 orig-bytes=19 352 orig-fasttrack-packets=0 orig-fasttrack-bytes=0 repl-packets=200 repl-bytes=32 631 repl-fasttrack-packets=0 repl-fasttrack-bytes=0 orig-rate=0bps repl-rate=0bps
Давайте уберём из вывода лишнее, чтобы оно нам не мешало.
0 SAC protocol=tcp src-address=5.19.245.3:57839 dst-address=88.88.88.2:80 reply-src-address=172.20.18.2:80 reply-dst-address=5.19.245.3:57839
И так когда пакет попал на маршрутизатор и соединение было «только только» создано, соединение имело такой вид
0 SAC src-address=5.19.245.3:57839 dst-address=88.88.88.2:80
После того, как произошла процедура dst NAT, маршрутизатор добавил флаги и самое главное на какой адрес изменяется IP адрес во всех пакетах в данном соединении.
0 SAC d src-address=5.19.245.3:57839 dst-address=88.88.88.2:80 reply-src-address=172.20.18.2:80
Когда пакет уходил с маршрутизатора в цепочки postrouting работает процедура src NAT, но у нас нет правил src NAT, оставили значение исходное.
0 SAC d src-address=5.19.245.3:57839 dst-address=88.88.88.2:80 reply-src-address=172.20.18.2:80 reply-dst-address=5.19.245.3:57839
Обратите внимание, что все данные этапы были сделаны на момент прохождения только первого пакета.
Теперь, если пакет приходит на маршрутизатор и у него в заголовках src-address=5.19.245.3:57839 dst-address=88.88.88.2:80
dst-address изменится на 172.20.18.2:80.
Если пакет приходит на маршрутизатор с адресами в заголовках src-address=172.20.18.2:80 dst-address=5.19.245.3:57839
src адрес изменится на 88.88.88.2:80.
Тем самым src NAT на данном этапе работает автоматически на основании правил dst-NAT.
Выпустить с правильного адреса
Часто бывают ситуации, что вам необходимо жёстко определить, чтобы какой-то внутренний хост выходил только с определённого IP адреса.
Например, VoIP телефония, ваш провайдер телефонии требует, чтобы вы регистрировались только с определённого IP адреса, или банк клиент на компьютере главного бухгалтера должен подключаться с определённого адреса.
Сначала настроим адрес листы в которые будем добавлять внутренние адреса хостов, которые необходимо отправить через нужного провайдера и с определённого IP адреса.
[[email protected]] /ip firewall address-list
add list=via/88.88.88.2 address=0.0.0.1
add list=via/99.99.99.2 address=0.0.0.1
add list=via/44.44.44.2 address=0.0.0.1
Адрес 0.0.0.1 для того чтобы создать лист, но не привязывать к реальному адресу.
Название листа явно говорит о том, на какой IP адрес необходимо изменить адрес источника.
Для реализации данного кейса нам необходимо учитывать особенность работы RouterOS.
Дело в том, что для трафика который проходит через маршрутизатор мы можем изменить таблицу маршрутизации только в цепочке prerouting, и естественно исходящий интерфейс нам ещё не известен, он будет известен только в цепочке forward.
И мы не можем просто взять и завернуть весь трафик от внутренного хоста в определённого провайдера, так как у нас есть ещё и локальная сеть.
Допустим, если мы добавим хост 172.20.17.100 и скажем, что весь трафик направить в первого провайдера, то что будет с трафиком, который идёт на хост 172.20.18.2? Естественно он будет направлен в первый провайдер.
Для решении данной задачи нам помогут BOGON сети, это список сетей, которые никогда не должны использоваться для публикации между public AS в протоколе BGP, другими словами это все те сети, которые используются исключительно в локальных целях.
Создадим адрес лист с BOGON сетями.
[[email protected]] /ip firewall address-list
add list=BOGONS address=0.0.0.0/8
add list=BOGONS address=10.0.0.0/8
add list=BOGONS address=100.64.0.0/10
add list=BOGONS address=127.0.0.0/8
add list=BOGONS address=169.254.0.0/16
add list=BOGONS address=172.16.0.0/12
add list=BOGONS address=192.0.0.0/24
add list=BOGONS address=192.0.2.0/24
add list=BOGONS address=192.168.0.0/16
add list=BOGONS address=198.18.0.0/15
add list=BOGONS address=198.51.100.0/24
add list=BOGONS address=203.0.113.0/24
add list=BOGONS address=224.0.0.0/3
А далее создадим правила для того, чтобы выпустить хосты с определённого IP адреса.
[[email protected]] /ip firewall mangle
add chain=prerouting src-address-list=via/88.88.88.2 dst-address-list=!BOGONS action=mark-routing new-routing-mark=Next-Hop/88.88.88.1 passthrough=no
add chain=prerouting src-address-list=via/99.99.99.2 dst-address-list=!BOGONS action=mark-routing new-routing-mark=Next-Hop/99.99.99.1 passthrough=no
add chain=prerouting src-address-list=via/44.44.44.2 dst-address-list=!BOGONS action=mark-routing new-routing-mark=Next-Hop/44.44.44.1 passthrough=no
Если пакет в адресе источника находится адрес, который перечислен в адрес листе и при этом адрес назначения не попадает под BOGON листы (т.е трафик в интернет), отправить в именованную таблицу.
И последний нюанс- это настроить NAT.
[[email protected]] /ip firewall nat
add chain=srcnat routing-mark=Next-Hop/88.88.88.1 src-address-list=via/88.88.88.2 action=src-nat to-addresses=88.88.88.2
add chain=srcnat routing-mark=Next-Hop/99.99.99.1 src-address-list=via/99.99.99.2 action=src-nat to-addresses=99.99.99.2
add chain=srcnat routing-mark=Next-Hop/44.44.44.1 src-address-list=via/44.44.44.2 action=src-nat to-addresses=44.44.44.2
Обратите внимание, что не весь трафик, а только тот, который находится в определённом маркированном маршруте, это необходимо для того, чтобы трафик между локальными сетями не попадал под NAT правило.
Выпускаем всех остальных и балансируем нагрузку.
Осталось дело за малым, выпустить всех остальных в интернет и постараться распределить нагрузку. Оговорю сразу мы не можем распределить нагрузку по пакетно, нам мешает то, что провайдеры не пропустят трафик с другими IP адресами через свою сеть. Поэтому будем балансировать соединениями. Да, мы не получим суммарную пропускную способность на одно соединение всех провайдеров, но это лучшее, что мы можем сделать в данном случае.
Мы будем использовать ECMP для того, чтобы распределить нагрузку по провайдерам.
Наверное вы уже догадались, что весь оставшийся трафик от ваших локальных хостов будет попадать в таблицу main.
Давайте сделаем маршрут ECMP с тем учётом, что шлюз 88.88.88.1 это 10Mbps, а 44.44.44.1 5Mbps.
[[email protected]] /ip route
add dst-address=0.0.0.0/0 gateway=88.88.88.1,88.88.88.1,44.44.44.1 pref-src=88.88.88.2
Пакеты будут отправляться поочередно для каждого шлюза, на каждые 3 пакета, 2 пакету будут отправлены в 88.88.88.1 и оставшийся один пакет на шлюз 44.44.44.1.
Хотя это немного и не правильно, дело в том, что у процесса ECMP есть отдельная таблица кеша, и чтобы каждый раз не выбирать маршрут, маршрутизатор для связки src-address:port dst-address:port создаёт хеш и выберет для данного хеша уже шлюз по схеме Round Robin, тем самым для одного соединения будет выбираться один и тот же шлюз.
Но не все так однозначно, каждый раз, когда вы изменили маршрут, например добавили шлюз или шлюз умер то кеш ECMP чистится, а также каждые 10 минут всё также чистится кеш, отсюда появляется проблема, что каждые 10 минут может выбраться другой шлюз. И снова для каждого уникального хеша будет выбираться маршрут.
На ресурсах, которые используют привязку сессии авторизации к IP адресу, вы получите проблему в виде запроса логина и пароля, например mail.ru будет у вас запрашивать пароль при смене ip адреса.
Проблема в том, что ограничение в 10 минут, это ограничение жёсткое и нам его не убрать и не изменить.
Будем решать штатными средствами RouterOS.
Давайте подумаем вместе, что нам известно о пакете, который попал под ECMP маршрут? Конечно, данный пакет находится в таблице main.
Идея данного способа заключается в следующем. Дать маршрутизатору выбрать маршрут с помощью ECMP, промаркировать такие соединения и все последующие пакеты в этом соединение пускать мимо ECMP, тем самым мы убираем проблему 10 минут.
Делаем.
[[email protected]] /ip firewall mangle
add chain=postrouting routing-table=main out-interface=ether1 connection-state=new action=mark-connection new-connection-mark=ECMP/ether1 passthrough=no
add chain=postrouting routing-table=main out-interface=ether2 connection-state=new action=mark-connection new-connection-mark=ECMP/ether2 passthrough=no
Давайте разберём.
chain=postrouting — Работаем в цепочке по факту того, что уже выбрал ECMP, можно использовать и цепочку forward, но тогда не попадёт трафик который был сгенерирован самим маршрутизатором.
routing-table=main — Маршрут ECMP находиться в main таблице.
out-interface=ether1 — ECMP выбрал шлюз, который лежит через первый интерфейс
connection-state=new — Мы маркируем соединение, нет смысла работать со всеми пакетами.
action=mark-connection new-connection-mark=ECMP/ether1 — маркируем соединение.
Ещё раз, мы дали возможность ECMP выбрать направление и мы уже по факту промаркировали соединения, основываясь на выборе интерфейса.
А теперь все последующие пакеты в соединениях с такой маркировкой должны быть отправлены в тот же интерфейс, но не в таблицу main, так как там работает ECMP, нам это уже не к чему.
Не забудьте, что трафик смотрится со всех сторон, а нам необходимо только трафик из локальной сети, а так как интерфейсов может быть много, лучше всего отфильтровывать по принципу весь трафик КРОМЕ того который пришёл с интерфейса провайдера.
[[email protected]] /ip firewall mangle
add chain=prerouting connection-mark=ECMP/ether1 action=mark-routing new-routing-mark=Next-Hop/88.88.88.1 passthrough=no in-interface=!ether1
add chain=prerouting connection-mark=ECMP/ether2 action=mark-routing new-routing-mark=Next-Hop/44.44.44.1 passthrough=no in-interface=!ether2
Почти всё.
Осталось настроить NAT
[[email protected]] /ip firewall nat
add chain=srcnat out-interface=ether1 routing-table=main action=src-nat to addresses=88.88.88.2
add chain=srcnat out-interface=ether2 routing-table=main action=src-nat to-addresses=44.44.44.2
За сим всё, спасибо за внимание.
Удалённая настройка маршрутизатора, к дальней дороге.
Рассказать друзьям
Чатик телеграм
Организация локальной сети с одновременным подключением к двум интернет-провайдерам при помощи маршрутизатора MikroTik
Предположим, что у нас есть два интернет провайдера. Первый получает настройки по L2TP, для второго необходимо задать настройки статически, а нам требуется организовать безотказную работу интернет соединения. То есть, в случае отказа первого интернет провайдера маршрутизатор должен автоматически переключиться на второго (резервного) провайдера. А при восстановлении связи с первым провайдером маршрутизатор должен снова начать с ним работать.
Для решения задачи будем использовать маршрутизатор, настроенный на базе RouterOS. В данном примере MikroTik rb951ui (5-портовый). В порт №1 соответственно будет подключен провайдер «1» (ISP1) по L2TP. Во второй порт провайдер «2» (ISP2) со StaticIP. Порты №3, №4, №5 будут служить для подключения клиентов сети. IP-адреса в локальной сети будут раздаваться по DHCP. О работоспособности первого или второго канала будем судить по доступности IP-адреса. К примеру, возьмем DNS google.com, вероятность отказа которого очень мала.
Последовательность действий. Подключаем маршрутизатор к порту №3 и соответственно LAN интерфейсу ПК. Для конфигурации RouterOS будет использоваться утилита winbox. Заходим по MAC-адресу и авторизуемся. Видим интерфейс конфигурации маршрутизатора. (Рис. 1)
Рис. 1. Интерфейс конфигурации RouterOS
Первое, что мы делаем – настраиваем интерфейсы провайдера «1» и провайдера «2» Рис.2, а так же настраиваем LAN для портов 3, 4 и 5.
Рис. 2. Настройка провайдера «1» и провайдера «2»
В данном случае Интерфейс-1 принадлежит провайдеру «1» (ISP1 – имя для удобства) Интерфейс-2 принадлежит провайдеру «2» (ISP2). Для организации LAN переходим в пункт меню «Bridge» и добавляем интерфейс c именем LAN. (Рис.3).
Рис. 3. Организация LAN
Указывает порты, которые будут относиться к внутренней сети (Рис. 4)
Рис. 4. Добавление портов в LAN
Теперь необходимо добавить IP-адреса провайдеров, а так же указать IP-адрес шлюза нашей локальной сети (Рис. 5).
Описание: Первое, что мы делаем, добавляем шлюз локальной сети (цифры 4, 5). Интерфейс указываем LAN. Второе – добавляем статический адрес второго провайдера (цифры 6, 7)
Рис. 5. Добавление адресов для интерфейсов
Так как организация подключения с первым провайдером осуществляется по L2TP необходимо добавить L2TP-клиента (Рис. 6)
Замечание: Добавляем L2TP-client (Цифра 2). Указываем соответствующие параметры во вкладке Dial-out, а именно адрес сервера, логин и пароль которые выданы первым провайдером (цифры 4, 5 и 6).
Рис. 6. Добавление L2TP-клиента
После добавления клиента во вкладке status получим соединение. (Рис. 7)
Рис. 7. Статус L2TP-соединения
Теперь займемся организацией DHCP-сервера для раздачи адресов нашим клиентам внутренней сети. Первое что сделаем, создадим pool выдаваемых адресов (Рис. 8), а затем настроим сам DHCP-сервер. (Рис 9).
Рис. 8. Создание pool’а выдаваемых адресов
Рис. 9. Добавление и настройка DHCP-сервера
Описание DHCP-сервера: Добавляем сервер с именем (server1) к интерфейсу внутренней сети LAN c пулом адресов который создавали ранее. В network указываем, какие параметры передавать серверу клиентам.
Теперь нам необходимо добавить статические маршруты, так как всё взаимодействие между сетями осуществляется в соответствии с таблицей маршрутизации. Ее управление в RouterOS осуществляется в меню «Routes». Адресация с локальной сетью и с внутренними сетями провайдеров была добавлена динамически. Осталось добавить маршруты в интернет (на адрес 0.0.0.0/0) через шлюзы провайдеров. (Рис. 10).
Рис. 10. Добавление статических маршрутов
Далее, необходимо организовать переключение каналов в случае недоступности 1 канала. В ОС роутера есть встроенная утилита «Netwatch», которая позволяет отслеживать состояние хостов в сети посредством отправки ICMP-запросов (ping) и выполнять какие-либо действия на основе их доступности. Мы будем отслеживать IP-адрес 8.8.4.4 через первый канал, и в случае его недоступности переключать маршруты на работу по второму.
Создаем новый «Netwatch host», в графе «Host» указываем отслеживаемый IP-адрес, а в «Interval» — частоту осуществляемых проверок. (Рис. 11).
Рис. 11. Настройка переключения каналов
И в заключение, в закладке Up (цифра 5) необходимо прописать следующее правило:
#включаем маршрут с комментарием «ISP1» (основной канал)
/ip route set [find comment=«ISP1»] disabled=no
#отключаем маршрут с комментарием «ISP2»(резервный канал)
/ip route set [find comment=«ISP2»] disabled=yes
Во вкладке Down прописываем следующее правило:
#отключаем маршрут с комментарием «ISP1» (резервный канал)
/ip route set [find comment=«ISP1»] disabled=yes
#включаем маршрут с комментарием «ISP2» (основной канал)
/ip route set [find comment=«ISP2»] disabled=no
Настройка правил для проходящего трафика
Используя встроенный файервол можно управлять абсолютно всем трафиком, нам необходимо запретить пинг на ISP2. Для это в окне терминала пропишем следующее:
#одобряем использование протокола icmp
ip firewall filter add chain=input comment=«Permit icmp»
#ограничиваем ping 8.8.4.4 через ISP2
ip firewall filter add action=drop chain=output comment=«Deny 8.8.4.4 to reserved internet-channel» dst-address=8.8.4.4 out-interface=«ether2 — internet II (reserve)» protocol=«icmp»
Материал является вводным и предназначен для знакомства с вопросом управления сетью с двумя провайдерами.
Доступ к Mikrotik по 2 или более WAN (внешним IP) одновременно
Продолжаю цикл статей про функциональные и очень доступные роутеры из Латвии. Речь пойдет о том, как получить доступ к Mikrotik через несколько одновременно настроенных провайдеров или внешних IP. Настройка не сложная, плюс в интернете есть информация на эту тему. Я дополню ее тем, что поделюсь своим опытом применения этого функционала.
Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Курс стоящий, все подробности читайте по ссылке.
Введение
Настройка нескольких провайдеров или одновременный доступ через разные внешние IP на микротике не представляет какой-то особенной сложности. Я настраивал такие вещи очень давно еще на Linux. Ну а тут под капотом он же и стоит, так что принцип будет один и тот же.
В общем случае нам достаточно просто промаркировать все пакеты, чтобы отличать, кто с какого внешнего интерфейса пришел. Это нужно для того, чтобы ответ на входящий запрос отправлялся через тот же WAN интерфейс или IP адрес, с которого пришел. Если это условие не будет соблюдаться, то часть пакетов не будут доходить до адресатов.
Таким образом, настройка одновременно двух провайдеров сводится к следующему:
- Маркируем все входящие соединения, назначая разные метки для разных WAN интерфейсов.
- Для промаркированных соединений назначаем ту или иную метку маршрутизации.
- В зависимости от метки маршрутизации, направляем трафик на тот или иной маршрут по умолчанию, которых будет несколько, в зависимости от количества одновременно подключенных провайдеров.
Приступаем к настройке. Если вы только начинаете знакомство с устройствами Mikrotik, то рекомендую посмотреть мои статьи по базовой настройке роутера и настройке firewall. Эти знания будут нужны для того, чтобы реализовать задуманное.
Маркировка соединений с двух WAN
Первым делом маркируем все соединения. Для этого идем в раздел IP -> Firewall -> Mangle и добавляем новое правило маркировки для пакетов из wan-1.
Следующим этапом назначаем метку маршрутизации для этих соединений. Делается этот тут же в новом правиле.
То же самое делаете для второго соединения, заменяя ip ардес, имя интерфейса и назначая другую метку. Должны получиться следующие 4 правила.
/ip firewall mangle add action=mark-connection chain=input dst-address=109.68.184.112 in-interface=ether1-wan1 new-connection-mark=wan1-in passthrough=no add action=mark-routing chain=output connection-mark=wan1-in new-routing-mark=wan1 passthrough=no add action=mark-connection chain=input dst-address=77.31.15.221 in-interface=ether2-wan2 new-connection-mark=wan2-in passthrough=no add action=mark-routing chain=output connection-mark=wan2-in new-routing-mark=wan2 passthrough=no
С маркировкой закончили.
Одновременный доступ по двум внешним IP
Теперь нам нужно настроить маршрутизацию таким образом, чтобы работали одновременно два wan интерфейса с двумя разными ip адресами. У меня есть очень старая статья, где тоже используются 2 провайдера, но только для резервирования интернета. Одновременно работает только один провайдер, а на второй происходит переключение в случае проблем у первого.
Идем в раздел IP -> Routes и добавляем 2 дефолтных маршрута. Настраиваем их точно так же, как это делали, если бы был только один провайдер. Но при этом указываем для каждого маршрута свою метку маршрутизации (Routing Mark).
То же самое проделываем для второго интерфейса. Должно получиться вот так:
/ip route add distance=1 gateway=109.68.184.1 routing-mark=wan1 add distance=1 gateway=77.31.15.1 routing-mark=wan2
Все, этого достаточно, чтобы к Mikrotik можно было подключиться извне по любому из предложенных IP адресов обоих WAN интерфейсов. По сути он стал доступен через обоих провайдеров одновременно. Важно понимать, что мы настроили только доступ к самому устройству через оба wan интерфейса, а не работу через обоих провайдеров клиентов локальной сети, если mikrotik выступает в качестве шлюза. Там нужно выполнить дальнейшие настройки, чтобы все корректно работало. Надо промаркировать пакеты и из локальной сети и направить их на тот или иной маршрут в зависимости от меток. В данной статье я это не рассматриваю. Возможно, сделаю отдельно.
Mikrotik как резервный шлюз
Объясняю, зачем все это может пригодиться. Не претендую на истину и не призываю поступать так же, как я. Просто делюсь своим опытом. Возможно он не очень правильный и в комментариях кто-то укажет на это и посоветует, как сделать по-другому. В описанном выше случае микротик не выступает в качестве основного шлюза или роутера для доступа в интернет. Обычно я не завожу обоих провайдеров на одно устройство. Объясню почему.
В удаленных местах, где нет постоянного технического персонала для обслуживания шлюза, я всегда ставлю 2 устройства, которые могут работать в качестве шлюза для локальной сети. Обычно это полноценный роутер Mikrotik или шлюз в виртуальной машине на базе какого-то линукса. Там могут быть настроены два провайдера, резервирование и т.д. Не суть важно, рассказываю не об этом. В качестве резерва чаще всего выступает свитч микротик с возможностью роутинга. Например, CRS326. Это очень удобно, так как свитч в любом случае какой-то будет установлен, пусть уж сразу с доп. функуионалом.
Таким образом, у вас есть основной шлюз, который обеспечивает интернетом локальную сеть и запасной. Если с первым происходит физическая поломка и он полностью выходит из строя, вы можете подключиться к резервному и настроить его в качестве основного, пока с ним не будет решена проблема. Такая схема возможна, если у вас 2 провайдера с несколькими внешними IP адресами, которые настраиваются у обоих шлюзов — основного и резервного. Если у резервного только один IP адрес — он настраивается на запасном шлюзе. Таким образом, автопереключения на резерв не будет. Приходится этим жертвовать в данном случае.
В случае, если у вас только 1 провайдер, но он предоставляет несколько внешних ip адресов, то все настраивается примерно так же. На резервном Микротике настраивается интернет через основной шлюз в локальной сети (в моей статье это wan1), а отдельный внешний ip адрес настраивается как дополнительный (wan2). Отличие будет только в том, что соединения через основной шлюз и локальную сеть не надо маркировать. Будут проблемы с доступом через локальную сеть, vpn и т.д. Достаточно настроить маркировку входящих пакетов только через wan2 — внешний ip адрес провайдера.
При такой схеме вы будете застрахованы от физической поломки основного шлюза. Если она случится, вы подключаетесь через внешний ip адрес к запасному микротику и делаете его временно основным шлюзом. Можно просто назначить ему ip адрес мертвого шлюза или настроить dhcp сервер и выдавать новые сетевые настройки. Это уже будет зависеть от вашей топологии.
Заключение
Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!
Надеюсь понятно описал основную идею. В описываемом мной примере нет резервирования канала в виде автоматического переключения на рабочий, но при этом есть защита от физической поломки основного шлюза. Восстановить работоспособность придется вручную, подключившись к запасному устройству. Такой подход актуален для удаленных мест, где нет никого, кто бы мог перенастроить шлюз на резервную железку, которая может лежать выключенная. Можно восстановить связь удаленно, а потом планово посетить объект и сделать все как надо.
Онлайн курсы по Mikrotik
Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте .
Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:
- Знания, ориентированные на практику;
- Реальные ситуации и задачи;
- Лучшее из международных программ.
Помогла статья? Подписывайся на telegram канал автора
Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.
Два провайдера на микротике | Wi-Fi SYSTEM
Многие организации подключают два интернет-канала – от двух разных провайдеров. Зачастую это используется для того, чтобы в случае проблем с одним из провайдеров связь не прерывалась. В этой инструкции подробно поговорим о том, как правильно настроить два интернет-подключения на одном Mikrotik.
Краткий план данной статьи:
Настройка двух интернет-подключений
Итак, представим, что кабели ваших провайдеров подключены в 1 и 2 порты микротика. В качестве примера у нас будут следующие интернет-подключения: 1 – динамика, 2 – статический IP-адрес.
Для начала сбросим Mikrotik на заводские настройки, подключившись к нему через программу Winbox: выберите раздел System — Reset Configuration, в открывшемся меню ставим галочки на No default configuration и Do not backup и нажимаем Reset configuration. После сброса оборудования можно приступать к настройке.
Сначала настроим первый WAN порт – в нашем примере на нем будет динамическое подключение.
В меню IP – DHCP Client добавляем новое подключение, назначив интерфейс ether1.
Можно поступить проще, введя на микротике в New Terminal данную команду:
/ip dhcp-client add interface=ether1 disabled=no
Далее настроим второй порт на статику.
Откроем меню IP – Addresses и добавим новый адрес с указанием нужного порта.
Далее настраиваем IP-адрес интернет-шлюза.
Откроем меню IP – Route и добавляем новый адрес шлюза.
Также не забываем указать адрес DNS сервера ( меню IP – DNS):
Или же введите в New Terminal следующий конфиг (соответственно, указав вашу индивидуальную адресацию):
/ip address add address=192.168.2.5/24 interface="ether2" network=192.168.2.0 /ip route add distance=1 gateway=192.168.2.254 /ip dns set allow-remote-requests=yes servers=8.8.8.8
Также стоит упомянуть PPpoE соединение. Для того, чтобы поднять его на вашем оборудовании, используйте следующие строки в New Terminal:
/interface pppoe-client add add-default-route=yes default-route-distance=1 disabled=no interface=ether1 max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe password=PASSWORD use-peer-dns=yes user=LOGIN
Где в PASSWORD и LOGIN вы прописываете ваши данные и указываете в interface нужный порт, в который будет подключен кабель.
Далее создадим бридж LAN, в который добавим оставшиеся порты и Wi-Fi подключение.
Добавление бриджа с помощью конфига:
/interface bridge add name=LAN /interface bridge port add bridge=LAN interface=wlan1 /interface bridge port add bridge=LAN interface=ether3 /interface bridge port add bridge=LAN interface=ether4 /interface bridge port add bridge=LAN interface=ether5
После этого добавляем желаемую адресацию для созданного бриджа и настраиваем DHCP Server локальной сети. Можете использовать наш конфиг, заменив в нем адресацию на нужную вам:
/ip address add address=192.168.100.1/22 interface=LAN network=192.168.100.0 /ip pool add name=poolForLAN ranges=192.168.100.2-192.168.103.253 /ip dhcp-server add address-pool=poolForLAN disabled=no interface=LAN name=dhcpForLAN /ip dhcp-server network add address=192.168.100.0/22 dns-server=8.8.8.8,208.67.222.222 gateway=192.168.100.1 netmask=22
Данные настройки применяются в следующих разделах:
IP – Addresses
IP – Pool
IP – DHCP Server
IP – DHCP Server – Networks
По умолчанию Wi-Fi интерфейс отключен, не забудьте включить, задать название Wi-Fi сети и выставить на нее пароль.
Это можно сделать с помощью следующего конфига:
/interface wireless security-profiles add authentication-types=wpa2-psk management-protection=allowed mode=dynamic-keys name=profile1 wpa2-pre-shared-key=12345678
/interface wireless set wlan1 mode=ap-bridge ssid=work default-forwarding=no disabled=no security-profile=profile1
Указываем в SSID название вашей Wi-FI сети, в wpa2-pre-shared-key – пароль для подключения.
Настроим NAT, чтобы устройства, подключенные к локальной сети, могли выходить в интернет.
Для этого в IP – Firewall – NAT добавим правило. Во вкладке General в графе Chain выбираем srcnat, в Out. Interface назначаем первый порт.
Во вкладке Action выбираем masquerade:
Создаем еще одно схожее правило, где отличаться будет Out. Interface – там соответственно выбираем второй порт.
Или же используем следующий конфиг:
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether2
Переключение интернет-канала с основного провайдера на резерв
Нередко в организациях можно встретить использование одного интернет-канала с лучшей скоростью в качестве основного, а дополнительное интернет-подключение проведено лишь в качестве резерва. Если по какой-то причине пропадает связь с 1-м провайдером, происходит переключение на резерв – а когда связь восстанавливается, трафик опять идет через основу.
В следующей инструкции расскажем, как автоматизировать данный процесс на микротике.
Маршрут через первого провайдера (динамический тип подключения) создался автоматически, и, так как мы не можем его редактировать, сначала удалим его.
Откроем IP – Routes. Выберете нередактируемый маршрут и удалите его.
Изменим параметры маршрута второго интернет-подключения. Выставляем приоритет 2 в графе Distance.
После этого отключите маршрут второго провайдера – его мы будем использовать лишь в случае проблем с первым маршрутом.
Добавим вручную маршрут первого провайдера. Для этого определим IP-адрес шлюза, его можно уточнить в IP – DHCP client. Открываете интерфейс и во вкладке Status находите строку Gateway.
Теперь в меню IP – Routes добавим этот маршрут. Указываем в поле Gateway адрес, который узнали ранее, в графе Distance выставляем приоритет 1.
Теперь при активной работе двух подключений трафик будет идти через основного интернет-провайдера, так как у данного маршрута мы выставили более высокий приоритет. При отключении связи на первом порту работа продолжится — все подключенные к сети пользователи будут использовать маршрут второго провайдера. Когда связь восстановится, будет вновь использоваться канал основного провайдера.
Два провайдера в разных подсетях
Нередки случаи, когда возникает необходимость настроить два независимых друг от друга интернет-подключения, при которых не будет смешиваться трафик. Подробнее о том, как это сделать, далее.
Для начала сбросим Mikrotik на заводские настройки, подключившись к нему через программу Winbox: System — Reset Configuration, в открывшемся меню ставим галочки на No default configuration и Do not backup и нажимаем Reset configuration.
Далее настраиваем наши интернет-подключения: в первом порту будет динамика, во втором – статика.
Настраиваем первый порт: в меню IP – DHCP Client добавляем новое подключение, назначив интерфейс ether1, а в строке Add Default Route выбираем no.
Можно поступить проще, введя на микротике в New Terminal данную команду:
/ip dhcp-client add add-default-route=no interface=ether1 disabled=no
Далее настроим второй порт на статику: в меню IP – Addresses добавляем новый адрес с указанием нужного порта.
Также не забываем указать адрес DNS сервера (IP – DNS):
Или же введите в New Terminal следующий конфиг (указав вашу адресацию):
/ip address add address=192.168.2.5/24 interface="ether2" network=192.168.2.0 /ip dns set allow-remote-requests=yes servers=8.8.8.8
Теперь создадим два бриджа – подключенные к BRIDGE1 устройства будут использовать интернет-канал первого провайдера (динамика), а подключенные к BRIDGE2 – второго провайдера соответственно.
Конфиг для New Terminal:
/interface bridge add name= BRIDGE1 /interface bridge add name= BRIDGE2
Добавим в эти бриджи желаемые порты (мы в примере хотим, чтобы пользователи, подключающиеся через Wi-Fi, «ходили» в интернет через первого провайдера, остальные порты микротика будут относиться ко 2 провайдеру):
Конфиг для New Terminal:
/interface bridge port add bridge=BRIDGE1 interface=wlan1 /interface bridge port add bridge=BRIDGE2 interface=ether3 /interface bridge port add bridge=BRIDGE2 interface=ether4 /interface bridge port add bridge=BRIDGE2 interface=ether5
Не забываем включить Wi-Fi интерфейс, по умолчанию он выключен.
Сделаем это с помощью следующего конфига, не забывая изменить название сети (SSID) и пароль (wpa2-pre-shared-key) на желаемые:
/interface wireless security-profiles add authentication-types=wpa2-psk management-protection=allowed mode=dynamic-keys name=profile1 wpa2-pre-shared-key=12345678
/interface wireless set wlan1 mode=ap-bridge ssid=work default-forwarding=no disabled=no security-profile=profile1
Следующий шаг — добавление желаемой адресации для созданных бриджей и настройка DHCP Server локальной сети. Используйте наш конфиг, заменив в нем при необходимости адресации на нужные вам:
/ip pool add name=POOL1 ranges=192.168.1.2-192.168.1.100 add name=POOL2 ranges=10.20.1.2-10.20.1.100 /ip address add address=192.168.1.1/24 interface=BRIDGE1 network=192.168.1.0 add address=10.20.1.1/24 interface=BRIDGE2 network=10.20.1.0 /ip dhcp-server add address-pool=POOL1 disabled=no interface=BRIDGE1 name=DHCP1 add address-pool=POOL2 disabled=no interface=BRIDGE2 name=DHCP2 /ip dhcp-server network add address=10.20.1.0/24 dns-server=8.8.8.8 gateway=10.20.1.1 netmask=24 add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1 netmask=24
Данные настройки применяются в следующих разделах:
IP – Pool
IP – Addresses
IP – DHCP Server
IP – DHCP Server – Networks
Далее настраиваем NAT, чтобы устройства, подключенные к локальной сети, могли выходить в интернет. В IP – Firewall – NAT добавим правило. Во вкладке General в графе Chain выбираем srcnat, в Out. Interface назначаем первый порт.
Во вкладке Action выбираем masquerade:
Создаем еще одно схожее правило, где отличаться будет Out. Interface – там соответственно выбираем второй порт.
Или же используем следующий конфиг:
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether2
Далее создадим два списка для пулов ip-адресов устройств, которые будут подключаться с 1 и 2 провайдера – эти списки нам понадобятся для маркировки трафика. IP – Firewall – Address Lists, списки назовем для удобства LIST1 и LIST2:
Настройка с конфигом (не забываем выставить адресацию в соответствии с созданным ранее пулом):
/ip firewall address-list add address=192.168.1.2-192.168.1.100 list=LIST1 add address=10.20.1.2-10.20.1.100 list=LIST2
Следующий шаг – маркировка трафика. IP – Firewall – Mangle, добавляем маркировку трафика для первого провайдера: во вкладке General в графе Chain указываем prerouting:
Вкладка Advanced, в графе Src. Address List выбираем ранее созданный LIST1:
Вкладка Action, в графе Action выбираем mark routing, а в графе New Routing Mark прописываем маршрут первого провайдера — isp1.
Создаем еще одно правило для маркировки трафика уже соответственно для второго провайдера, где выбираем адресацию LIST2 и в маршруте прописываем isp2.
Конфиг для быстроты:
/ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=isp1 src-address-list=LIST1 add action=mark-routing chain=prerouting new-routing-mark=isp2 src-address-list=LIST2
Теперь осталось лишь создать маршруты для работы наших интернет-подключений. Открываем вкладку IP – Routes, добавляем маршрут для первого провайдера. Так как в примере мы используем динамическое подключение, для начала нужно узнать IP-адрес шлюза. Его проверяем в IP – DHCP client. Открываете интерфейс и во вкладке Status находите строку Gateway.
Добавим в IP – Routes этот маршрут. Указываем в поле Gateway адрес, который узнали ранее, в графе Distance выставляем приоритет 1, в графе Routing Mark выбираем isp1.
Добавляем маршрут второго провайдера (в нашем примере это статика). IP-адрес нашего шлюза 192.168.2.254, соответственно, прописываем его в графе Gateway, выставляем приоритет 1 в Distance, в Routing Mark выбираем isp2.
Также добавим еще два маршрута с этими же шлюзами, у первого провайдера выставим приоритет 10, у второго – 20. Эти правила нужны на случай, если какой-либо трафик будет без маркеров, например, трафик самого микротика:
Конфиг для быстрой настройки (не забываем указать IP-адреса ваших шлюзов):
/ip route add distance=1 gateway=10.78.40.254 routing-mark=isp1 add distance=1 gateway=192.168.2.254 routing-mark=isp2 add distance=10 gateway=10.78.40.254 add distance=20 gateway=192.168.2.254
Работа двух независимых друг от друга интернет-подключений настроена.
настройка резервного канала в RouterOS
Одна из наиболее популярных задач, решаемых на оборудовании Mikrotik – настройка RouterOS на работу с двумя интернет-провайдерами или, простыми словами, настройка резервного канала. Данный вопрос будет актуальный как для бизнеса, так и для домашних пользователей, которым требуется организовать бесперебойный канал выхода в сеть Интернет.
При помощи описанного метода, вы сможете настроить резервный канал на любом оборудовании Mikrotik RouterBOARD, независимо от типа подключения к сети провайдера.
Недостатки простого «простого» и «сложного» способа переключения на резервный канал в Mikrotik
Уже «из коробки» RouterOS умеет осуществлять автоматическое переключение на резервный канал, о чем я писал отдельную публикацию:Однако, у данного метода существует огромный недостаток – он работает только в том случае, если основной шлюз перешел в статус «unreachable». Один из таких вариантов – физическое отключение кабеля.
Вариантом модификации данного метода является использование параметра ping, при котором RouterOS для проверки доступности интернета использует пинг шлюза. Недостатком данного метода является то, что он не обеспечивает корректное переключение на резервный канал в тех случаях, когда шлюз провайдера доступен, а интернет отсутствует.
Решая данную проблему, пользователи порой прибегают к использования самых разнообразных и замысловатых скриптов. К примеру, пару лет назад, я тоже писал подобный скрипт:
Казалось бы, хорошая гибкость и большой набор опций? Увы, не все так просто. Во-первых, Mikrotik периодически меняет параметры, иногда вносятся правки в синтаксис, от чего рано или поздно ваши скрипты перестают работать (это вопрос времени), а на их отладку уходит драгоценное время. Во-вторых, рядовому пользователю сложно понять тонкости работы скриптов – чаще всего пользователь хочет просто скопировать скрипт, не вдаваясь в подробности.
Так есть ли выход?
Если Вы хотите научиться настраивать MikroTik, предлагаем пройти онлайн обучение. Более подробную информацию Вы можете найти в конце данной публикации.
Простое и надежное переключение на резервный канал в Mikrotik
К большому сожалению, абсолютное большинство инструкций по данной теме предлагают варианты «как есть», без должного разъяснения принципа работы алгоритма и формирования у пользователя четкого понимания того, что они делают.
Если вы ищите «готовый рецепт» и не хотите вдаваться в тонкости настройки, возможно, вам следует поискать другое решение. Если же у вас есть желание разобраться в том, как научиться настраивать резервный канал практически на любом устройстве RouterBOARD с любым типом подключения – эта публикация для вас!
Перед тем, как приступить к описанию метода, хотел бы добавить небольшую рекомендацию. Не бойтесь командной строки. Вас никто не заставляет ею пользоваться, хоть это и очень удобно при частичном импорте различных конфигураций. Не хотите – не пользуйтесь. Рекомендую начать с того, чтобы попытаться понять смысл используемых параметров и опций. Абсолютно все команды дублируют интерфейс Winbox – читая «конфиг», проделать то же самое через Winbox легко и просто. Если вы захотите работать с Mikrotik и RouterOS на более продвинутом уровне, рано или поздно, пользоваться командной строкой все-равно придется.
Первым делом следует определить, каким образом вы подключены к сети провайдера – из актуальных методов подключения – DHCP или PPPoE. Также это могут быть и устаревшие методы подключения – L2TP или PPTP.
После определения типа подключения, взгляните, какой маршрут добавляется для выхода в интернет каждым из провайдеров. Посмотреть это можно в разделе IP – Routes.
Ищите маршрут по-умолчанию, его легко определить, т.к. в Dst. Address всегда указано 0.0.0.0/0. К примеру, на скриншоте показан маршрут в интернет через интерфейс ether1-gateway и шлюз провайдера 134.249.110.190. Шлюз может понадобиться для того, чтобы правильно прописать маршруты.
С маршрутами определились, далее необходимо отключить маршруты по-умолчанию для обеих провайдеров. К примеру, для подключения по DHCP это делается в IP – DHCP Client.
Add Default Route = NO
/ip dhcp-client
add add-default-route=no disabled=no interface=sfp-sfpplus1 use-peer-dns=no
Для PPPoE, а также PPTP/L2TP в списке интерфейсов выберите интерфейс провайдера и отключите опцию Add Default Route.
После этого в списке маршрутов пропадут маршруты 0.0.0.0/0, а доступ к сети Интернет будет прекращен. Необходимо вручную добавить маршруты на оба провайдера.
Для этого создаем два маршрута к 0.0.0.0/0 через 2 разные интерфейса и 2 разные шлюза. В конкретном примере первый провайдер находится на интерфейсе sfp-sfpplus1 с шлюзом 195.16.77.129. Для основного провайдера добавляем комментарий ISP1 – нужен он нам будет для корректной работы переключения между провайдерами. В качестве Distance указываем 1.
В случае с ppp-интерфейсами все чуть проще, можно просто указать интерфейс в качестве шлюза. Ниже пример для PPPoE. Для резервного канала добавляем примечание ISP2, в качестве Distance указываем 2. Параметр Distance влияет на приоритет маршрута, чем меньше число – тем выше приоритет маршрута.
Теперь необходимо определиться с эталонным ресурсом в сети интернет, по которому мы будем определять доступность всей сети Интернет. Я бы рекомендовал использовать надежные DNS Google 8.8.8.8, 8.8.4.4 или Amazon Cloudflare 1.1.1.1. Почему? Данные сервисы используют мощную распределенную сетевую инфраструктуру и гарантируют практически бесперебойный аптайм.
/ip route
add comment=ISP1 distance=1 gateway=195.16.77.129
add comment=ISP2 disabled=yes distance=2 gateway=pppoe-dvssat
add comment="=== ROUTE 1.1.1.1 ===" distance=1 dst-address=1.1.1.1/32 \
gateway=195.16.77.129
После того как выбран IP, добавляем еще один статический маршрут на этот IP, с указанием шлюза, через который необходимо пересылать пакеты. Иными словами, мы явно указываем маршрутизатору, что на 1.1.1.1 (как пример) надо ходить через первого провайдера.
И все бы хорошо, только RouterOS этого мало, необходимо в чейне Output дополнительно отфильтровать пакеты, которые идут на 1.1.1.1 через второго провайдера по протоколу ICMP (ping). Это позволит избежать отправки и прохождения ICMP-запросов к 1.1.1.1 через резервный канал.
/ip firewall filter
add action=drop chain=output comment="=== ISP CHECK ===" dst-address=1.1.1.1 \
out-interface=pppoe-dvssat protocol=icmp
Почти готово. Переходим в Tool – Netwatch и добавляем новый мониторинг:
- Host: 1.1.1.1 (IP, который мониторится)
- Interval: 00:00:10 (например, 10 секунд)
- Timeout: 200 ms (таймаут ожидания, по-умолчанию равен 1000 мс)
Во вкладках Up и Down добавляем команды, которые необходимо выполнить в случаях, когда хост в сети и оффлайн. По сути, скрипт ищет маршруты с комментариями ISP1 и ISP2. Если узел 1.1.1.1 недоступен, скрипт отключает маршрут ISP1 и включает резервный маршрут ISP2. В случае, когда узел 1.1.1.1 доступен, скрипт принудительно включает маршрут ISP1.
/tool netwatch
add down-script="/ip route set [find comment=\"ISP1\"] disabled=yes\r\
\n/ip route set [find comment=\"ISP2\"] disabled=no" host=1.1.1.1 \
interval=10s timeout=200ms up-script="/ip route set [find comment=\"ISP1\"\
] disabled=no\r\
\n/ip route set [find comment=\"ISP2\"] disabled=yes"
Работа Netwatch основана на том, что доступ к 1.1.1.1 у нас разрешен только с первого провайдера (ISP1), что и выступает индикатором работоспособности Интернет.
Основной провайдер выдает динамический IP по DHCP со сменой шлюза
Если провайдер не делает реорганизацию сети, шлюз не меняется для владельцев статических IP. А вот если у вас динамический внешний или серый IP, адрес шлюза может и, скорее всего, будет периодически меняться.
В случае с получением параметров по DHCP, обычный маршрут 0.0.0.0/0 с gateway = ether1 не обеспечит выход в Интернет, т.к. при таком подключении следует явно указывать IP шлюза. Но шлюз периодически меняется – как быть? Можно писать скрипты, но есть вариант на порядок проще и легче.
Для ISP1 следует задать Disatance, отличный от 1, например, 2. Делается это в подменю IP – DHCP Client — [ISP1] – вкладка Advanced – опция Default Route Distance.
Что это нам даст? При отсутствии других маршрутов, такой маршрут будет основным. Для второго провайдера следует задать Distance = 1. Если включить такой маршрут – он станет основным, т.к. имеет больший приоритет. Таким образом, включая и отключая маршрут резервного провайдера, можно управлять переключением между провайдерами. Учитывая, что в качестве резервного канала обычно выбирают 3G/4G-модем, больше проблем не возникнет.
Ответы на частые вопросы
Казалось бы, все понятно, но метод переключения не работает. Такое может быть, если у вас NAT имеет настройки, отличные от дефолтных.
Для работы данного метода, необходимо, чтобы у вас присутствовало стандартное правило маскарадинга:
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN
Данное правило позволяет хостам в локальной сети, находящимся за NAT, выходить в интернет через группу интерфейсов «WAN».
Данного правила недостаточно, необходимо, чтобы оба интернет-интерфейса находились в группе WAN. Для вышеприведенной конфигурации это имеет следующий вид:
/interface list member
add interface=sfp-sfpplus1 list=WAN
add interface=ether1 list=WAN
add interface=pppoe-dvssat list=WAN
Также рекомендую отказаться от использования DNS-серверов провайдера. Как показывает практика, они работают менее стабильно, чем сервисы 8.8.8.8 и 1.1.1.1. Если же вы не хотите использовать перечисленные сервисы и хотите использовать DNS-серверы провайдера, необходимо использовать DNS-серверы обеих провайдеров – опция Use Peer DNS в свойствах подключения.
Если вы будете использовать DNS только одного провайдера – при его недоступности, интернет на втором провайдере также будет недоступен. Но даже если вы будете использовать DNS двух провайдеров, возможны небольшие задержки при обработке DNS-запросов, в случаях, когда один из провайдеров недоступен и в кеше DNS отсутствует необходимая запись.
Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)
Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.
Готовые решения:Настройка двух Интернет-каналов (резервирование) — MikroTik WiKi rus
Видеокурс по MikroTik
Вы можете изучить настройку MikroTik с помощью видеокурса «Настройка оборудования MikroTik» . Курс содержит все темы из официального учебного курса MTCNA + много дополнительного материала, который полезен на практике.
Введение
В этой статье мы опишем работу двух Интернет-каналов в режиме резервирования. Т. е. один провайдер будет работать постоянно (основной канал), а второй будет включаться в случае, если Интернет через первый канал будет недоступен (резервный канал).
Есть два основных способа настройки работы устройств МикроТик для работы с двумя провайдерами в режиме резервирования. Кратко их можно охарактеризовать, как «быстрый способ» и «комплексный способ». Первый способ является быстрым для настройки. Что явно следует из названия. Второй способ является более сложным в настройке, но при этом лишен недостатков, которые присущи первому способу.
Научиться работать с MikroTik можно с помощью видеокурса "Настройка оборудования MikroTik". Помимо всех тем из официальной программы MikroTik MTCNA курс содержит много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Поддержку по курсу оказывает его автор Дмитрий Скоромнов, который является официальным тренером MikroTik (TR0680) и по совместительству автором этой Wiki.
Полезные материалы по теме MikroTik:
* Чек-лист по настройке MikroTik * Матрица продуктов MikroTik: модель, артикул, информация по процессору (архитектура, частота, количество ядер), уровень лицензии, объем ОЗУ и ПЗУ, наличие модулей Wi-Fi на разных частотах и коэффициенты усиления встроенных антенн и многое другое. Всего более 30-ти параметров для каждого из 151-го устройства в списке.
Схема сети
Внешняя сеть:
Интернет-канал №1
IP-адреса маршрутизатора: 10.1.100.1
IP-адреса провайдера: 10.1.100.254
маска: 255.255.255.0
Интернет-канал №2
IP-адреса маршрутизатора: 10.1.200.1
IP-адреса провайдера: 10.1.200.254
маска: 255.255.255.0
Внутренняя сеть:
IP-адреса маршрутизатора: 192.168.15.1
маска: 255.255.255.0
Быстрый способ
Через графический интерфейс
Приведенные ниже манипуляции подразумевают, что вы уже настроили IP-адреса двум внешним интерфейсам, прописали маршруты и сделали правила masquerade.
Если у вас статические IP-адреса от обоих провайдеров, то простейшая настройка резервирования сводится к установке приоритетов маршрутов на первого и второго провайдера.
Зайти в IP => Routes и для маршрута на Провайдера-1 указываем Check Gateway=ping и Distance=5. В настройках маршрута на Провайдера-2 указываем Check Gateway=ping и Distance=10. Значения параметра Distance не обязательно должны быть такими. Важно, что бы значения для Провайдера-1 было меньше чем для Провайдера-2. Как правило, статические маршруты имеют приоритет (Distance) равный единице. Для примера мы привели другое значение.
При такой схеме весь трафик будет идти через Провайдера-1, путь через Провайдера-2 будет резервным. Шлюзы обоих провайдеров будут периодически пинговаться, и при недоступности шлюза Провайдера-1 маршрут на него будет отключен, а трафик пойдет по маршруту на Провайдера-2. После того, как шлюз Провайдера-1 станет опять доступным трафик опять пойдет через него.
Недостатком данной схемы является то, что в ней проверяется не наличие Интернета, а именно доступность следующего узла. Часто встречаются ситуации, когда оборудование провайдера (следующий узел) доступно, а интернета нет. Очень яркий пример это Интернет через ADSL-модем. Соседний узел (ADSL-модем) будет доступным, а Интернет нет.
Для первого Интернет-канала:
Для второго Интернет-канала:
Через консоль
Первый маршрутизатор:
/ip route
add check-gateway=ping distance=5 gateway=10.1.100.254
Второй маршрутизатор:
/ip route
add check-gateway=ping distance=10 gateway=10.1.200.254
Комплексный способ
Через графический интерфейс
Приведенные ниже манипуляции подразумевают, что вы уже настроили IP-адреса двум внешним интерфейсам, прописали маршруты и сделали правила NAT.
«Комплексный» способ основан на том, что с помощью встроенной утилиты «Netwatch», мы будем один раз в минуту проверять доступность интернета с помощью команды ping до узла 8.8.4.4 через первый интернет канал. Доступ до этого узла через второй Интернет-канал будет всегда закрыт. Таким образом если ping проходит — это значит, что первый канал находится в рабочем состоянии и он должен быть включен, а 2-ой канал должен быть выключен. И наоборот: если ping не проходит — это значит, что первый канал не работает и он должен быть выключен и включен 2-ой канал. Как только ping начнет проходить произойдет обратной переключение. Нужный маршрут утилита будет определять по комментарию, который мы назначим. Как видите этот способ лишен недостатка первого способа.
Добавить комментарии к маршрутам. К маршруту через первого провайдера добавить комментарий ISP1, к маршруту через второго провайдера добавить комментарий ISP2. Приведем пример для первого провайдера. Для второго действие делается аналогично.
Создать статический маршрут до 8.8.4.4. В IP => Routes создать маршрут до адреса 8.8.4.4 через шлюз 1-го интернет провайдера.
Добавить правило блокирующее доступ к 8.8.4.4 через 2-ой WAN-интерфейс.
Добавить условие переключения. В Tools => Netwatch на вкладке «Host» создать новый «Netwatch host». В графе «Host» указать отслеживаемый ip-адрес, в «Interval» — частоту осуществляемых проверок, а в «Timeout» — время недоступности хоста при котором сработает триггер.
Примечание: В примере указан адрес 8.8.8.8. Это опечатка. Должен быть адрес 8.8.4.4
На вкладке «Up» добавить скрипт следующего содержания:/ip route set [find comment="ISP1"] disabled=no
/ip route set [find comment="ISP2"] disabled=yes
На вкладке «Down» добавить скрипт следующего содержания:/ip route set [find comment="ISP1"] disabled=yes
/ip route set [find comment="ISP2"] disabled=no
Через консоль
/ip route
set comment=ISP1 [find gateway=10.1.100.254]
set comment=ISP2 [find gateway=10.1.200.254]
/ip route
add distance=1 dst-address=8.8.4.4/32 gateway=10.1.100.254
/ip firewall filter
add action=drop chain=output dst-address=8.8.4.4 out-interface=ether4-WAN2 protocol=icmp comment="Deny 8.8.4.4 through reserved internet-channel"
/tool netwatch
add down-script="/ip route set [find comment=\"ISP1\"] disabled=yes\r\
\n/ip route set [find comment=\"ISP2\"] disabled=no" host=8.8.4.4 \
up-script="/ip route set [find comment=\"ISP1\"] disabled=no\r\
\n/ip route set [find comment=\"ISP2\"] disabled=yes"
Научиться работать с MikroTik можно с помощью видеокурса "Настройка оборудования MikroTik". Помимо всех тем из официальной программы MikroTik MTCNA курс содержит много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Поддержку по курсу оказывает его автор Дмитрий Скоромнов, который является официальным тренером MikroTik (TR0680) и по совместительству автором этой Wiki.
Полезные материалы по теме MikroTik:
* Чек-лист по настройке MikroTik * Матрица продуктов MikroTik: модель, артикул, информация по процессору (архитектура, частота, количество ядер), уровень лицензии, объем ОЗУ и ПЗУ, наличие модулей Wi-Fi на разных частотах и коэффициенты усиления встроенных антенн и многое другое. Всего более 30-ти параметров для каждого из 151-го устройства в списке.
Проверка
Первая конфигурация — RouterOS
Есть два типа маршрутизаторов:
- С конфигурацией по умолчанию
- Без конфигурации по умолчанию. Если конкретная конфигурация не найдена, IP-адрес 192.168.88.1/24 устанавливается на ether1, combo1 или sfp1.
Дополнительную информацию о текущей конфигурации по умолчанию можно найти в документе «Краткое руководство», прилагаемом к вашему устройству. В краткое руководство будет включена информация о том, какие порты следует использовать для подключения в первый раз и как подключать устройства.
В этом документе описывается, как настроить устройство с нуля, поэтому мы попросим вас удалить все настройки по умолчанию.
При первом подключении к маршрутизатору с именем пользователя по умолчанию admin и без пароля вам будет предложено сбросить или сохранить конфигурацию по умолчанию (даже если в конфигурации по умолчанию используется только IP-адрес). Поскольку в этой статье предполагается, что на маршрутизаторе нет конфигурации, вы должны удалить ее, нажав «r» на клавиатуре при появлении соответствующего запроса или нажав кнопку «Удалить конфигурацию» в WinBox.
Если на маршрутизаторе нет конфигурации по умолчанию, у вас есть несколько вариантов, но здесь мы будем использовать один метод, который соответствует нашим потребностям.
Подключите порт ether1 маршрутизатора к кабелю WAN и подключите компьютер к ether2. Теперь откройте WinBox и найдите свой маршрутизатор в обнаружении соседей. См. Подробный пример в статье Winbox.
Если вы видите маршрутизатор в списке, щелкните MAC-адрес и щелкните Connect .
Самый простой способ убедиться, что у вас абсолютно чистый маршрутизатор, — запустить
.
/ конфигурация сброса системы no-defaults = да skip-backup = да
Или из WinBox (рис.1-1):
Поскольку MAC-соединение не очень стабильно, первое, что нам нужно сделать, это настроить маршрутизатор так, чтобы было доступно IP-соединение:
- добавить интерфейс моста и порты моста;
- добавить IP-адрес к интерфейсу LAN;
- настроить DHCP-сервер.
Установить мост и IP-адрес довольно просто:
/ интерфейсный мост добавить имя = локальный / interface bridge port add interface = ether2 bridge = local / IP-адрес добавить адрес = 192.168.88.1 / 24 интерфейс = локальный
Если вы предпочитаете WinBox / WeBfig в качестве инструментов настройки:
- Откройте окно Bridge , должна быть выбрана вкладка Bridge ;
- Нажмите кнопку + , откроется новое диалоговое окно, введите имя моста local и нажмите OK ;
- Выберите вкладку «Порты» и нажмите кнопку + , откроется новый диалог;
- выберите интерфейс ether2 и мост local из выпадающих списков и нажмите кнопку OK , чтобы применить настройки;
- Вы можете закрыть диалоговое окно моста.
- Открыть IP -> Адреса диалог;
- Нажмите кнопку + , откроется новый диалог;
- Введите IP-адрес 192.168.88.1/24 выберите интерфейс local из выпадающего списка и нажмите кнопку OK ;
Следующим шагом является настройка DHCP-сервера. Мы запустим команду setup для простой и быстрой настройки:
[admin @ MikroTik] / настройка ip dhcp-сервера [ввод] Выберите интерфейс для запуска DHCP-сервера Интерфейс сервера DHCP: локальный [ввод] Выберите сеть для DHCP-адресов Адресное пространство dhcp: 192.168.88.0 / 24 [ввод] Выберите шлюз для данной сети шлюз для сети DHCP: 192.168.88.1 [введите] Выберите пул IP-адресов, выданных DHCP-сервером адреса для выдачи: 192.168.88.2-192.168.88.254 [введите] Выберите DNS-серверы DNS-серверы: 192.168.88.1 [ввод] Выберите срок аренды срок аренды: 10m [ввод]
Обратите внимание, что большинство параметров конфигурации определяются автоматически, и вам просто нужно нажать клавишу ввода.
Тот же инструмент настройки также доступен в WinBox / WeBfig:
- Откройте окно Ip -> DHCP Server , должна быть выбрана вкладка DHCP ;
- Нажмите кнопку DHCP Setup , откроется новое диалоговое окно, введите интерфейс DHCP-сервера локальный и нажмите кнопку Next ;
- Следуйте указаниям мастера, чтобы завершить настройку.
Теперь подключенный компьютер должен иметь возможность получать динамический IP-адрес. Закройте Winbox и повторно подключитесь к маршрутизатору, используя IP-адрес (192.168.88.1)
Следующим шагом является получение доступа к маршрутизатору через Интернет. Существует несколько типов подключения к Интернету, но наиболее распространенными из них являются:
- динамический общедоступный IP-адрес;
- статический публичный IP-адрес;
- PPPoE соединение.
Динамический общедоступный IP-адрес
Конфигурация динамического адреса является наиболее простой.Вам просто нужно настроить DHCP-клиент на общедоступном интерфейсе. DHCP-клиент получит информацию от интернет-провайдера (ISP) и настроит для вас IP-адрес, DNS, NTP-серверы и маршрут по умолчанию.
/ ip dhcp-client add disabled = no interface = ether1
После добавления клиента вы должны увидеть назначенный адрес и статус должен быть привязан
[admin @ MikroTik] / ip dhcp-client> печать Флаги: X - отключено, I - недопустимо # ИНТЕРФЕЙС ИСПОЛЬЗОВАТЬ АДРЕС СОСТОЯНИЯ ДОБАВЛЕНИЯ МАРШРУТА ПО УМОЛЧАНИЮ 0 ether1 да да привязано 1.2.3.100 / 24
Статический общедоступный IP-адрес
В случае конфигурации статического адреса ваш поставщик Интернет-услуг предоставляет вам параметры, например:
- IP: 1.2.3.100/24
- Шлюз: 1.2.3.1
- DNS: 8.8.8.8
Эти это три основных параметра, которые необходимы для работы интернет-соединения.
Чтобы установить это в RouterOS, мы вручную добавим IP-адрес, добавим маршрут по умолчанию с предоставленным шлюзом и настроим DNS-сервер
/ IP-адрес добавить адрес = 1.2.3.100 / 24 интерфейс = ether1 / ip route добавить шлюз = 1.2.3.1 / ip dns установить серверы = 8.8.8.8
Соединение PPPoE
Соединение
PPPoE также дает вам динамический IP-адрес и может динамически настраивать DNS и шлюз по умолчанию. Обычно поставщик услуг (ISP) предоставляет вам имя пользователя и пароль для подключения
.
/ интерфейс pppoe-client добавить disabled = no interface = ether1 user = me password = 123 \ add-default-route = yes use-peer-dns = yes
Действия Winbox / Webfig:
- Открыть окно PPP , должна быть выбрана вкладка Интерфейсы ;
- Нажмите кнопку + и выберите PPPoE Client из раскрывающегося списка, откроется новое диалоговое окно;
- Выберите интерфейс ether1 из раскрывающегося списка и нажмите кнопку OK , чтобы применить настройки.
Далее в конфигурации WAN интерфейс теперь pppoe-out интерфейс , а не ether1 .
Проверьте подключение
После успешной настройки вы сможете получить доступ в Интернет через маршрутизатор.
Подтвердите IP-соединение, выполнив эхо-запрос известного IP-адреса (например, DNS-сервер Google)
[админ @ MikroTik]> / пинг 8.8.8.8 РАЗМЕР ХОСТА TTL ВРЕМЯ СОСТОЯНИЕ 8.8.8.8 56 47 21 мс 8.8.8.8 56 47 21 мс
Проверить запрос DNS
[admin @ MikroTik]> / ping www.google.com РАЗМЕР ХОСТА TTL ВРЕМЯ СОСТОЯНИЕ 173.194.32.49 56 55 13 мс 173.194.32.49 56 55 12 мс
Если все настроено правильно, пинг в обоих случаях не должен завершаться.
В случае сбоя обратитесь к разделу устранения неполадок
Теперь любой человек в мире может получить доступ к нашему маршрутизатору, поэтому сейчас самое время защитить его от злоумышленников и основных атак
Доступ с паролем пользователя
Маршрутизаторы MikroTik требуют настройки пароля, мы предлагаем использовать инструмент для генерации паролей для создания безопасных и неповторяющихся паролей.Под безопасным паролем мы подразумеваем:
- Минимум 12 символов;
- Включите цифры, символы, прописные и строчные буквы;
- не является словарным словом или сочетанием словарных слов;
/ пользовательский набор 0 пароль = "! = {Ba3N! 40TуX + GvKBzjTLIUcx /,"
Другой вариант установки пароля,
Мы настоятельно рекомендуем использовать второй метод или интерфейс Winbox, чтобы применить новый пароль для вашего маршрутизатора, чтобы защитить его от несанкционированного доступа.
.
Настройки интерфейса LAN (Использовать интерфейс LAN1) | ip адрес lan1 192.168.100.1/24 |
---|---|
Настройки интерфейса WAN (Использовать интерфейс LAN2) | п.п. выбрать 1 |
pp интервал поддержки активности 30 интервал повтора = 30 count = 12 | |
всегда включен | |
pppoe использовать lan2 | |
pppoe автоматическое отключение | |
pp auth accept pap chap | |
pp auth myname (ID пользователя) (Пароль) | |
ppp lcp mru на 1454 | |
ppp ipcp ip-адрес на | |
ppp ipcp msext на | |
ppp тип ccp нет | |
ip pp дескриптор нат 1000 | |
pp включить 1 | |
ip route шлюз по умолчанию pp 1 | |
Настройки NAT | тип дескриптора nat 1000 маскарад |
статический дескриптор nat, маскирующий 1000 1192.168.100.1 удп 500 | |
статический дескриптор nat, статический 1000 2 192.168.100.1 esp | |
маскарад дескриптора nat статический 1000 3192.168.100.1 udp 4500 | |
Настройки DHCP-сервера | сервисный сервер dhcp |
dhcp server rfc2131 совместимый, за исключением молчания | |
объем dhcp 1 192.168.100.2-192.168.100.191 / 24 | |
Настройки DNS | dns сервер pp 1 |
подмена частного адреса DNS на | |
Настройки IPsec VPN | выбор туннеля 1 |
IPsec туннель 1 | |
ipsec sa policy 1 1 esp 3des-cbc sha-hmac local-id = 192.168.100.0 / 24 удаленный идентификатор = 192.168.88.0 / 24 | |
ipsec ike журнал поддержки активности 1 на | |
ipsec ike keepalive use 1 на dpd | |
ipsec ike локальный адрес 1 192.168.100.1 | |
ipsec ike локальный идентификатор 1 192.168.100.0/24 | |
ipsec ike nat-traversal 1 на | |
ipsec Тип полезной нагрузки ike 1 3 | |
ipsec ike pre-shared-key 1 text (предварительный общий ключ) | |
ipsec ike удаленный адрес 1 любой | |
ipsec ike удаленный идентификатор 1192.168.88.0 / 24 | |
ipsec ike удаленное имя 1 mikrotik key-id | |
IP туннель tcp mss limit auto | |
разрешение туннеля 1 | |
автоматическое обновление ipsec на | |
ip route 192.168.88.0/24 шлюз туннель 1 | |
Настройки фильтра | ip фильтр 200000 отклонить 10.0.0.0/8 * * * * |
ip фильтр 200001 отклонить 172.16.0.0/12 * * * * | |
ip фильтр 200002 отклонить 192.168.0.0 / 16 * * * * | |
ip фильтр 200003 отклонить 192.168.100.0/24 * * * * | |
ip фильтр 200010 отклонить * 10.0.0.0/8 * * * | |
ip фильтр 200011 отклонить * 172.16.0.0/12 * * * | |
ip фильтр 200012 отклонить * 192.168.0.0/16 * * * | |
ip фильтр 200013 отклонить * 192.168.100.0/24 * * * | |
ip фильтр 200020 отклонить * * udp, tcp 135 * | |
ip фильтр 200021 отклонить * * udp, tcp * 135 | |
IP фильтр 200022 отклонить * * udp, tcp netbios_ns-netbios_ssn * | |
IP фильтр 200023 отклонить * * udp, tcp * netbios_ns-netbios_ssn | |
ip фильтр 200024 отклонить * * udp, tcp 445 * | |
ip фильтр 200025 отклонить * * udp, tcp * 445 | |
IP фильтр 200026 ограничение * * tcpfin * www, 21, nntp | |
IP фильтр 200027 ограничение * * tcprst * www, 21, nntp | |
ip фильтр 200030 проход * 192.168.100.0 / 24 icmp * * | |
ip filter 200031 проход * 192.168.100.0/24 установлено * * | |
IP-фильтр 200032 проход * 192.168.100.0/24 tcp * идентификатор | |
IP-фильтр 200033 проход * 192.168.100.0/24 tcp ftpdata * | |
ip фильтр 200034 проход * 192.168.100.0/24 tcp, udp * домен | |
IP фильтр 200035 проход * 192.168.100.0/24 домен udp * | |
ip фильтр 200036 проход * 192.168.100.0/24 удп * нтп | |
ip фильтр 200037 проход * 192.168.100.0/24 udp ntp * | |
ip фильтр 200080 проход * 192.168.100.1 udp * 500 | |
ip фильтр 200081 проход * 192.168.100.1 esp * * | |
ip фильтр 200082 проход * 192.168.100.1 udp * 4500 | |
ip filter 200098 reject-nolog * * установлено | |
ip фильтр 200099 проход * * * * * | |
ip фильтр 500000 ограничить * * * * * | |
IP-фильтр динамический 200080 * * ftp | |
IP-фильтр динамический 200081 * * домен | |
IP-фильтр динамический 200082 * * www | |
ip фильтр динамический 200083 * * smtp | |
IP-фильтр динамический 200084 * * pop3 | |
IP-фильтр динамический 200085 * * представление | |
IP-фильтр динамический 200098 * * tcp | |
ip фильтр динамический 200099 * * udp | |
п.п. выбрать 1 | |
IP pp безопасный фильтр в 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 200082 | |
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 динамический 200080 200081 200082 200083 200084 200085 200098 200099 | |
pp включить 1 |
.
Настройки интерфейса LAN (Использовать интерфейс LAN1) | ip адрес lan1 192.168.100.1/24 |
---|---|
Настройки интерфейса WAN (Использовать интерфейс LAN2) | п.п. выбрать 1 |
pp интервал поддержки активности 30 интервал повтора = 30 count = 12 | |
всегда включен | |
pppoe использовать lan2 | |
pppoe автоматическое отключение | |
pp auth accept pap chap | |
pp auth myname (User_ID) (Пароль) | |
ppp lcp mru на 1454 | |
ppp ipcp ip-адрес на | |
ppp ipcp msext на | |
ppp тип ccp нет | |
ip pp дескриптор нат 1000 | |
pp включить 1 | |
ip route шлюз по умолчанию pp 1 | |
Настройки NAT | тип дескриптора nat 1000 маскарад |
статический дескриптор nat, маскирующий 1000 1192.168.100.1 tcp 1723 | |
статический дескриптор nat статический 1000 2 192.168.100.1 gre | |
Настройки DHCP-сервера | сервисный сервер dhcp |
dhcp server rfc2131 совместимый, за исключением молчания | |
объем dhcp 1 192.168.100.2-192.168.100.191 / 24 | |
Настройки DNS | dns сервер pp 1 |
подмена частного адреса DNS на | |
Настройки PPTP VPN | п.п. выбрать 2 |
PP привязать туннель 1 | |
всегда включен | |
pp запрос аутентификации mschap-v2 | |
pp имя пользователя аутентификации (PPTP_ID) (PPTP_Password) | |
ppp ipcp ip-адрес на | |
ppp ccp type mppe-any | |
ip pp адрес 10.0,0.1 / 32 | |
ip pp удаленный адрес 10.0.0.2 | |
pptp тип службы сервера | |
pp включить 2 | |
выбор туннеля 1 | |
туннельная инкапсуляция pptp | |
адрес конечной точки туннеля 200.1.1.202 | |
Время отключения туннеля pptp отключено | |
разрешение туннеля 1 | |
pptp сервис на | |
IP-маршрут 192.168.88.0 / 24 межсетевой туннель 2 | |
Настройки фильтра | ip фильтр 200000 отклонить 10.0.0.0/8 * * * * |
ip фильтр 200001 отклонить 172.16.0.0/12 * * * * | |
ip фильтр 200002 отклонить 192.168.0.0/16 * * * * | |
ip фильтр 200003 отклонить 192.168.100.0/24 * * * * | |
ip фильтр 200010 отклонить * 10.0.0.0/8 * * * | |
ip фильтр 200011 отклонить * 172.16.0.0/12 * * * | |
ip фильтр 200012 отклонить * 192.168.0.0 / 16 * * * | |
ip фильтр 200013 отклонить * 192.168.100.0/24 * * * | |
ip фильтр 200020 отклонить * * udp, tcp 135 * | |
ip фильтр 200021 отклонить * * udp, tcp * 135 | |
IP фильтр 200022 отклонить * * udp, tcp netbios_ns-netbios_ssn * | |
IP фильтр 200023 отклонить * * udp, tcp * netbios_ns-netbios_ssn | |
ip фильтр 200024 отклонить * * udp, tcp 445 * | |
ip фильтр 200025 отклонить * * udp, tcp * 445 | |
IP фильтр 200026 ограничение * * tcpfin * www, 21, nntp | |
IP фильтр 200027 ограничение * * tcprst * www, 21, nntp | |
ip фильтр 200030 проход * 192.168.100.0 / 24 icmp * * | |
ip filter 200031 проход * 192.168.100.0/24 установлено * * | |
IP-фильтр 200032 проход * 192.168.100.0/24 tcp * идентификатор | |
IP-фильтр 200033 проход * 192.168.100.0/24 tcp ftpdata * | |
ip фильтр 200034 проход * 192.168.100.0/24 tcp, udp * домен | |
IP фильтр 200035 проход * 192.168.100.0/24 домен udp * | |
ip фильтр 200036 проход * 192.168.100.0/24 удп * нтп | |
ip фильтр 200037 проход * 192.168.100.0/24 udp ntp * | |
IP-фильтр 200080 проход * 192.168.100.1 tcp * 1723 | |
ip фильтр 200081 проход * 192.168.100.1 gre * * | |
ip filter 200098 reject-nolog * * установлено | |
ip фильтр 200099 проход * * * * * | |
ip фильтр 500000 ограничить * * * * * | |
IP-фильтр динамический 200080 * * ftp | |
IP-фильтр динамический 200081 * * домен | |
IP-фильтр динамический 200082 * * www | |
ip фильтр динамический 200083 * * smtp | |
IP-фильтр динамический 200084 * * pop3 | |
IP-фильтр динамический 200085 * * представление | |
IP-фильтр динамический 200098 * * tcp | |
ip фильтр динамический 200099 * * udp | |
п.п. выбрать 1 | |
IP pp безопасный фильтр в 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 | |
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 динамический 200080 200081 200082 200083 200084 200085 200098 200099 | |
pp включить 1 |
.
Настройки интерфейса LAN (Использовать интерфейс LAN1) | ip адрес lan1 192.168.100.1/24 |
---|---|
Настройки интерфейса WAN (Использовать интерфейс LAN2) | п.п. выбрать 1 |
pp интервал поддержки активности 30 интервал повтора = 30 count = 12 | |
всегда включен | |
pppoe использовать lan2 | |
pppoe автоматическое отключение | |
pp auth accept pap chap | |
pp auth myname (ID пользователя) (Пароль) | |
ppp lcp mru на 1454 | |
ppp ipcp ip-адрес на | |
ppp ipcp msext на | |
ppp тип ccp нет | |
ip pp дескриптор нат 1000 | |
pp включить 1 | |
ip route шлюз по умолчанию pp 1 | |
Настройки NAT | тип дескриптора nat 1000 маскарад |
статический дескриптор nat, маскирующий 1000 1192.168.100.1 удп 500 | |
статический дескриптор nat, статический 1000 2 192.168.100.1 esp | |
Настройки DHCP-сервера | сервисный сервер dhcp |
dhcp server rfc2131 совместимый, за исключением молчания | |
объем dhcp 1 192.168.100.2-192.168.100.191 / 24 | |
Настройки DNS | dns сервер pp 1 |
подмена частного адреса DNS на | |
Настройки IPsec VPN | выбор туннеля 1 |
IPsec туннель 1 | |
ipsec sa policy 1 1 esp 3des-cbc sha-hmac local-id = 192.168.100.0 / 24 удаленный идентификатор = 192.168.88.0 / 24 | |
ipsec ike keepalive log 1 выкл. | |
ipsec ike keepalive use 1 на dpd | |
ipsec ike локальный адрес 1 192.168.100.1 | |
ipsec ike локальный идентификатор 1 192.168.100.0/24 | |
ipsec ike pre-shared-key 1 text (Pre-shard-key) | |
ipsec ike удаленный адрес 1 200.1.1.202 | |
ipsec ike удаленный идентификатор 1 192.168.88.0/24 | |
IP туннель tcp mss limit auto | |
разрешение туннеля 1 | |
автоматическое обновление ipsec на | |
IP-маршрут 192.168.88.0 / 24 межсетевой туннель 1 | |
Настройки фильтра | ip фильтр 200000 отклонить 10.0.0.0/8 * * * * |
ip фильтр 200001 отклонить 172.16.0.0/12 * * * * | |
ip фильтр 200002 отклонить 192.168.0.0/16 * * * * | |
ip фильтр 200003 отклонить 192.168.100.0/24 * * * * | |
ip фильтр 200010 отклонить * 10.0.0.0/8 * * * | |
ip фильтр 200011 отклонить * 172.16.0.0/12 * * * | |
ip фильтр 200012 отклонить * 192.168.0.0 / 16 * * * | |
ip фильтр 200013 отклонить * 192.168.100.0/24 * * * | |
ip фильтр 200020 отклонить * * udp, tcp 135 * | |
ip фильтр 200021 отклонить * * udp, tcp * 135 | |
IP фильтр 200022 отклонить * * udp, tcp netbios_ns-netbios_ssn * | |
IP фильтр 200023 отклонить * * udp, tcp * netbios_ns-netbios_ssn | |
ip фильтр 200024 отклонить * * udp, tcp 445 * | |
ip фильтр 200025 отклонить * * udp, tcp * 445 | |
IP фильтр 200026 ограничение * * tcpfin * www, 21, nntp | |
IP фильтр 200027 ограничение * * tcprst * www, 21, nntp | |
ip фильтр 200030 проход * 192.168.100.0 / 24 icmp * * | |
ip filter 200031 проход * 192.168.100.0/24 установлено * * | |
IP-фильтр 200032 проход * 192.168.100.0/24 tcp * идентификатор | |
IP-фильтр 200033 проход * 192.168.100.0/24 tcp ftpdata * | |
ip фильтр 200034 проход * 192.168.100.0/24 tcp, udp * домен | |
IP фильтр 200035 проход * 192.168.100.0/24 домен udp * | |
ip фильтр 200036 проход * 192.168.100.0/24 удп * нтп | |
ip фильтр 200037 проход * 192.168.100.0/24 udp ntp * | |
ip фильтр 200080 проход * 192.168.100.1 udp * 500 | |
ip фильтр 200081 проход * 192.168.100.1 esp * * | |
ip filter 200098 reject-nolog * * установлено | |
ip фильтр 200099 проход * * * * * | |
ip фильтр 500000 ограничить * * * * * | |
IP-фильтр динамический 200080 * * ftp | |
IP-фильтр динамический 200081 * * домен | |
IP-фильтр динамический 200082 * * www | |
ip фильтр динамический 200083 * * smtp | |
IP-фильтр динамический 200084 * * pop3 | |
IP-фильтр динамический 200085 * * представление | |
IP-фильтр динамический 200098 * * tcp | |
ip фильтр динамический 200099 * * udp | |
п.п. выбрать 1 | |
IP pp безопасный фильтр в 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081 | |
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 динамический 200080 200081 200082 200083 200084 200085 200098 200099 | |
pp включить 1 |
.