Rezervarea canalelor de internet pe routerele mikrotik. Configurarea unui router Mikrotik cu Internet de rezervă

Pe forumul de distribuție, un utilizator sub porecla Barvinok a început să scrie
o serie de articole care încearcă să unească și să sistematizeze baza de date acumulată
cunoștințe despre Mikrotik în general și despre tema a doi furnizori în special. Cu el
Cu permisiunea, voi copia totul pe pagina mea. Cei interesati pot merge la
la sursa originală http://mikrotik.ru/forum/viewtopic.php?f=1 5&t=3280
Configurarea unui router de la zero.
Această secțiune va compensa lipsa piesei aplicate.
Conform titlului subiectului, configurez routerul pentru exact doi furnizori. Adică modelul de router este seria RB7xx.
Surse:
Revizuirea și configurarea Mikrotik RB751U-2HnD în modul router wireless cu o conexiune la Internet.
Sergey Lagovsky: MikroTik - Configurare inițială

Sursă
o lectura obligatorie. Nu voi scrie un manual pentru Mikrotik
gospodine”, de genul „luați cablul în mâna dreaptă...” Aici voi indica
doar repere, pași. Și cum să faci asta exact - în cele de mai sus
surse.
Folosesc linia de comandă a terminalului prin Winbox și voi da toate exemplele în acest formular.
1. Resetați setările inițiale:

/system reset-configuration


2. Descărcați pachetul de upgrade și trageți-l în Winbox cu mouse-ul. Mai departe:

/sistem reporniți

și după repornire :

/system routerboard upgrade


3. Creez un bridge din ultimele trei porturi:

/ punte de interfață
add name=Local_Net
adăugați bridge=Interfață Local_Net=ether3
adăugați bridge=Interfață Local_Net=ether4
adăugați bridge=Interfață Local_Net=ether5


4. Asignez o adresă IP acestui pod:

/ adresă IP adăugați adresa=192.168.1.1/24 interfață=Local_Net


5. Configurați un server DHCP pe acesta:

/ip dhcp-server de configurare

Lasă-l să ofere adresa Mikrotik în sine ca server DNS: 192.168.1.1. Voi explica de ce este asta puțin mai târziu.

6. Permiteți ruterului să răspundă la solicitările DNS:

/ip dns set allow-remote-requests=yes

Să tragem aer: acum am atins funcționalitatea D-Link ieșită din cutie :)

7. La sfatul lui Serghei Lagovsky, schimb întotdeauna numele superutilizatorului:

/user add name=supername parola=superpass group=full
/părăsi

Conectați-vă ca utilizator nou și dezactivați-l pe cel vechi:

/utilizator dezactivează admin

8. Atribuiți un server orar și un fus orar:

/system ntp client set enabled=da mod=unicast primar-ntp=83.229.137.52 secundar-ntp=213.141.146.135
/system clock set time-zone-name=Europa/Moscova

9. Configurați conexiuni la Internet.
Voi lua în considerare cazul dificil al doi furnizori inegali:


  • Primul
    furnizorul oferă Internet prin PPPoE prin ADSL: 8 Mbit incoming/0,8 Mbit
    de ieșire. Adresa IP și alte setări de rețea sunt emise de furnizor
    dinamic.

  • Al doilea este de foarte înaltă calitate, dar scump din punct de vedere optică: un canal simetric de 1 Mbit. Adresa IP și setările sunt statice (permanente)

Aceasta înseamnă că trebuie să lansăm fluxul principal de utilizatori prin ADSL și servicii selectate în timp real (VoIP) prin fibră.

9.1. Configurarea primului furnizor.
Trecem modemul nostru ADSL în modul Bridge. Conectam cablul la primul port (ether1).
Creați și configurați interfața PPPoE:

/interface pppoe-client add name=UTK user=ppp_user parola=ppp_pasw use-peer-dns=yes interface=ether1

Dacă ar exista un singur furnizor, am putea adăuga „ add-default-route=da„Dar avem o altă sarcină.
"folosește-peer-dns„ înseamnă că vom folosi serverele DNS alocate de ISP pentru această conexiune.

imprimare adresa /ip
/ping mail.ru

pentru a vă asigura că conexiunea funcționează.

9.2. Configurarea unui al doilea furnizor.
Conectam cablul de la convertorul media la al doilea port și introducem setările manual:

/ adresă IP adăugați adresa=80.45.21.34/30 interfață=ether2

Dacă furnizorul dvs. oferă propriile servere DNS, le puteți seta în mod explicit:

/ip dns set servers=ip_server1,ip_server2

Și le putem atribui pe toate cele disponibile public, cum ar fi cele Google: 8.8.8.8,8.8.4.4.

Lasă-mă să-ți amintesc,
că datorită pasului 6 routerul nostru este un server DNS pentru local
retelelor. Dar el însuși, ca un vițel fraged, suge două matci, în mod arbitrar
prin accesarea serverelor DNS ale oricărui furnizor.

10. Activați traducerea adresei.
Pentru furnizorul 1:

/ip firewall nat add chain=srcnat action=masquerade protocol=tcp out-interface=UTK


Poți să faci același lucru și pentru al doilea, dar noi vom fi estetici. Deoarece adresa noastră este permanentă, folosim SNAT mai degrabă decât mascarade:

/ip firewall nat add chain=srcnat action=src-nat protocol=tcp src-address=192.168.1.0/24 to-addresses=80.45.21.34

Dacă furnizorii noștri ar fi echivalenti, am putea face acest lucru:

/ip route add dst-address=0.0.0.0/0 gateway=UTK,ether2 check-gateway=ping

Obținem imediat toleranță la erori și distribuție uniformă a sarcinii (căi egale).
Vă sfătuiesc să faceți acest lucru pentru un test și să vă jucați cu computerele locale.
"tracert mail.ru", dezactivând una sau alta interfață externă -
doar pentru a verifica.
Dacă furnizorii nu sunt egali doar în grosimea canalului, puteți face acest lucru:

/ip route add dst-address=0.0.0.0/0 gateway=UTK,UTK,ether2 check-gateway=ping

Acum, primul furnizor va primi de două ori mai multe fluxuri decât al doilea.

Dar sarcina noastră este puțin mai complicată, deoarece furnizorii nu sunt egali nu numai cantitativ, ci și calitativ.
11. Prin urmare, le vom atribui separat rute și le vom oferi diferite preferințe (distanță).
Pentru primul furnizor, cel mai simplu mod este să facă acest lucru:

/interface pppoe-client set 0 add-default-route=yes

Deși am fi putut face acest lucru în paragraful 9.1, am decis să îl evidențiez de dragul ordinii.
Pentru al doilea furnizor - așa:

/ip route add dst-address=0.0.0.0/0 gateway=80.45.21.34 distance=2 check-gateway=ping


Acum întreaga noastră rețea trece prin furnizorul 1, iar dacă scade, prin furnizorul 2.

12. Să evidențiem fluxurile importante (Skype, SIP) care trebuie trimise în rețea prin furnizorul 2.

Aici voi face o digresiune cu privire la marcarea pachetelor și conexiunilor, deoarece acest subiect este destul de interesant.

Retragere 4
Marcare

Folosit
pentru a seta etichete pentru anumite pachete. Această acțiune poate
să fie executat numai în cadrul tabelului Mangle. Setarea mărcilor de obicei
folosit pentru nevoile de rutare a pachetelor de-a lungul diferitelor rute, pt
restricții de trafic, etc. Pentru mai multe informații, puteți
consultați INSTRUCȚIUNI DE ROTARE AVANZATĂ Linux și controlul traficului. Nu
amintiți-vă că „eticheta” unui pachet există doar pentru o perioadă de timp
pachetul nu a părăsit firewall-ul, adică. Eticheta nu este transmisă prin rețea. Dacă
pachetele trebuie marcate cumva pentru a putea folosi marcajele pe
altă mașină, puteți încerca să manipulați biții câmpului TOS.


Manual:IP/Firewall/Mangle pe Mikrotik Wiki.

La
Când citim și scriem regulile, este important să înțelegem foarte clar unde ne aflăm
Indicăm semnul prin care selectăm un pachet din flux și unde
Efectuăm o acțiune cu pachetul (acceptăm, respingem sau marcam ca atare)
semn).
Luați în considerare două reguli din articolul PCC:
/ip firewall mangle

adăuga

in-interface=ether2 new-connection-mark=l2tp-out1_conn passthrough=da
per-connection-classifier=src-address:2/0 src-address=172.16.0.0/16
adăuga
action=mark-connection chain=prerouting dst-address-type=!local
in-interface=ether2 new-connection-mark=l2tp-out2_conn passthrough=da
per-connection-classifier=src-address:2/1 src-address=172.16.0.0/16

adăuga
action=mark-routing chain=prerouting connection-mark=l2tp-out1_conn
in-interface=ether2 new-routing-mark=to_l2tp-out1 passthrough=da
adăuga
action=mark-routing chain=prerouting connection-mark=l2tp-out2_conn
in-interface=ether2 new-routing-mark=to_l2tp-out2 passthrough=da

În prima regulă noi marcați conexiunea(acțiune=mark-connection) în lanțul de prerouting. Urmată de semne,
prin care determinăm legătura care trebuie etichetată: vedere
adrese de destinație - oricare, cu excepția adresei routerului însuși
(dst-address-type=!local), interfață de intrare - ether2
(in-interface=ether2), adresa sursă - orice computer din subrețea
172.16.0.0/16. Următoarea este o comandă minunată:
per-connection-classifier=src-address:2/0. Așa întrerupem fluxul
pachetele care corespund acestor caracteristici sunt împărțite în două.
Apoi atribuim eticheta l2tp-out1_conn unei părți a fluxului și l2tp-out2_conn celei de-a doua.
A trece prin
tradus prin „prin și prin”. De fapt, fiecare pachet este secvenţial
este verificat în raport cu fiecare regulă până când apare primul meci. Cum
tocmai a coincis - este transferat imediat la următorul tabel (în acest
caz - DNAT) sau distrus dacă acțiunea este DROP. Dar dacă este specificat
passthrough=da, pachetul este trecut la următoarea regulă din listă în aceeași
masa.

Următoarea regulă este marcarea preferatului
căi de urmat (acțiune=mark-routing). Toate conexiunile
marcat cu l2tp-out1_conn (marcă-conexiune) am marcat și cu un marcaj
to_l2tp-out1 (noua-marca de rutare). Și apoi cu a doua jumătate a fluxului
acționăm în consecință.

Încă nu am înțeles care este semnificația profundă a acestui marcaj secvenţial și de ce nu puteți pune imediat un nou marcaj de rutare. Dar manualul oficial de pe Mikrotik Wiki face același lucru.
Poate cineva să explice?

În general, există trei acțiuni cu un nume similar care ar merita înțelese:


  • marca-conexiune

  • marca-pachet

  • marcare-rutare

Să începem cu ceva simplu.

marcare-rutare
- plasați un marcaj specificat de parametrul new-routing-mark pe un pachet.
Acest tip de marcaje este utilizat numai în scopuri de rutare a politicii

Această acțiune pune un marcaj care este utilizat exclusiv atunci când alegeți o cale pentru redirecționare ulterioară. De exemplu:

ruta /ip
adăugați dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_ISP1 check-gateway=ping
adăugați dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_ISP2 check-gateway=ping


Dar în cazul în care una dintre căi se rupe, ar trebui să faceți și reguli generale fără referire la etichete:

adăugați dst-address=0.0.0.0/0 gateway=10.111.0.1 distanță=1 verificați-gateway=ping
adăugați dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping

Dar care este diferența dintre mark-packet și mark-connection?
Evident, același lucru care distinge un pachet de o conexiune.
Noi citim:

Marcare
fiecare pachet este destul de costisitor de resurse, mai ales dacă regula trebuie să se potrivească
față de mulți parametri din antetul IP sau lista de adrese care conține
sute de intrări

Marcarea fiecărui pachet este foarte costisitoare
placere, mai ales daca regula contine multe semne pt
comparații dintr-un antet de pachet IP sau o foaie de adresă care conține sute
înregistrări.
Se vorbește în continuare despre munca dezastruoasă a routerelor,
împovărat cu reguli complexe pentru verificarea fiecărui pachet în 100 de megabiți
retelelor. Sarcina de calcul a procesorului crește rapid, ceea ce
în esență, face imposibilă utilizarea acestei metode de marcare
atunci când gestionați fluxuri mari de date.

Citat:

Din fericire, dacă urmărirea conexiunii este activată, putem folosi marcaje de conexiune pentru a ne optimiza configurarea.

Din fericire, dacă urmărirea conexiunilor este activată, putem semnala conexiunile, ceea ce este mult mai bine!
Aici
este un avantaj de a lucra cu imagini de nivel înalt. Cu cât mai sus
nivel de generalizare, cu atât trebuie să cheltuiți mai puțină muncă
atingerea scopului!

/ip firewall mangle
add chain=forward protocol=tcp port=!80 dst-address-list=first connection-state=new action=mark-connection \
new-connection-mark=primul
add chain=forward connection-mark=prima acțiune=mark-packet new-packet-mark=prima trecere=nu

Adăugați lanț=forward protocol=udp dst-address-list=a doua conexiune-state=new action=mark-connection \
new-connection-mark=al doilea
add chain=forward connection-mark=a doua acțiune=mark-packet new-packet-mark=a doua trecere=nu


Citat:

Acum
prima regulă va încerca să potriviți datele din antetul IP numai din primul pachet
de conexiune nouă și adăugați marca de conexiune. Următoarea regulă nu va mai fi
verificați antetul IP pentru fiecare pachet, va compara doar mărcile de conexiune
rezultând un consum mai mic al procesorului. În plus, passthrough=nu a fost
adăugat care ajută la reducerea consumului CPU și mai mult.


În mod semnificativ, prima regulă verifică datele doar în antetul primului pachet al unei noi conexiuni, având în vedere că în cadrul acestei conexiuni toate celelalte vor coincide cu aceasta. Următoarea regulă, în loc să verifice antetul fiecărui pachet, se uită numai la eticheta conexiunii, ceea ce reduce semnificativ sarcina procesorului. În plus, regula „passthrough=no” întrerupe imediat trecerea pachetelor prin acest tabel și le transferă în următorul, ceea ce eliberează și CPU-ul!

Ooh... Truc complicat! Acum este clar de ce, în exemplul cu PCC, am marcat mai întâi conexiunea și apoi, pe baza acestui marcaj, am pus un al doilea - despre rutare.
Dar apar întrebări.
În primul rând: cum poți înțelege că un pachet aparține unei anumite conexiuni fără să te uiți la antetul acestuia? Evident - în niciun caz. Aceasta înseamnă că fiecare pachet este procesat separat în orice caz, dar acest lucru se întâmplă în afara IPTables și acest lucru nu provoacă o încărcare specială pe procesorul central, spre deosebire de procesarea conform unei liste de reguli din interiorul IPTables.

Și a doua întrebare: cum poți marca o conexiune?
Dacă totul este relativ clar cu pachetul: are un antet la care facem modificări, atunci care este expresia reală a conceptului de „conexiune” cu care putem lucra cumva? Ce marchem?


Failover - în rusă, aceasta este o rezervare a canalelor de internet, comutarea în cazul unei defecțiuni a canalului principal de internet la unul de rezervă.

Deci avem Mikrotik, 2 furnizori sunt conectați la el (ISP1 și ISP2), iar rețeaua dvs., este necesar să treceți automat la cel de rezervă atunci când canalul principal de internet eșuează.

1. Metodă, failover-ul se face pe rute, tot ce trebuie să faceți este să înregistrați două rute, una la ISP1 și a doua la ISP2, selectând ping sau arp în elementul „Check Gateway”. După părerea mea, ping-ul este mai potrivit pentru majoritatea cazurilor. În același mod, înregistrați ruta către al doilea furnizor. Cel mai convenabil pentru mine este să configurez Mikrotik folosind Winbox. rutele sunt înregistrate în meniul IP-Routes.

Dacă în Distanță atribuiți, de exemplu, 1 unui furnizor și 2 celui de-al doilea, atunci Mikrotik va echilibra automat încărcarea când primul furnizor este complet încărcat, cererile noi vor merge la al doilea.

Această metodă are câteva limitări:

— Dacă unul dintre furnizori vă oferă un IP dinamic și setările vin prin DHCP, atunci nu veți putea înregistra o rută specificând numele interfeței, va trebui să introduceți ip-ul gateway-ului în câmpul „Gateway”.
— Uneori există situații în care gateway-ul furnizorului funcționează, dar nodurile din spatele acestuia sunt indisponibile, Mikrotik va considera că ruta funcționează, comutarea nu va avea loc și internetul nu va funcționa.

2nd Option Failover pe Mikrotik fără dezavantajele primei metode.

Mikrotik are Netwatch încorporat (situat în meniul Instrumente). Pe scurt, acest utilitar vă permite să faceți ping oricărui ip și să executați comenzi dacă se modifică disponibilitatea adresei ip, în Sus introducem comenzi care sunt executate când ip-ul devine din nou disponibil, în Jos introducem comenzi care trebuie executate când ip devine indisponibil.

Esența este clară din poză, faceți clic pe plusul albastru, introduceți IP-ul prin care vom verifica performanța canalului, intervalul de testare, l-am setat la aproximativ un minut, se poate face mai puțin sau mai mult.

Da, mai întâi trebuie să setați comentarii pentru rute. Cel mai convenabil pentru mine este să configurez Mikrotik prin Winbox, să setez un comentariu pentru o rută, mergi la IP-Routes, se va deschide o fereastră cu o listă de rute, butonul pentru setarea unui comentariu este încercuit, selectează ruta dorită, faceți clic pe butonul, introduceți un comentariu pentru traseu, faceți clic pe ok.

Imaginea arată scriptul care funcționează, ruta către ISP2 (eu am Utel) nu este activă, este gri și ruta către ISP1 (am Stels) este activă. Mai jos puteți vedea traseul cu comentariul lui Stels88, acest lucru este necesar pentru ca ping-urile la 8.8.4.4, pe care le folosim în scripturi, să vină numai de la ISP1, acest lucru este necesar pentru a monitoriza performanța ISP1, ping-urile sunt în regulă, dacă nu există răspunsuri la ping-uri, atunci trebuie să treceți la ISP2. Cum se face acest lucru poate fi văzut în imaginea de mai jos:

În secțiunea SUS scriem:

/ip route set disabled=nu
/ip route set disabled=da

În secțiunea Jos scriem:

/ip route set disabled=da
/ip route set disabled=nu

Pentru ca schema să funcționeze corect, trebuie să permiteți ca acest IP să fie ping numai de la ISP1, pentru aceasta este recomandabil să adăugați o regulă la IP-Firewall care interzice accesul la 8.8.4.4 de la ISP2 și să înregistrați un static. ruta la 8.8.4.4 prin gateway-ul ISP1 (în modul normal, acesta nu va funcționa dacă ISP1 emite un IP dinamic și va trebui să scrieți un script care va determina IP-ul gateway-ului și va înregistra ruta).

Sponsor articol:

Tutorial MikroTik - teorie și practică în format video.

În cursul video „” veți învăța cum să configurați un router de la zero în scopul unui birou mic. Cursul se bazează pe programul oficial MikroTik Certified Network Associate, dar este extins semnificativ, mai ales în ceea ce privește consolidarea cunoștințelor în practică. Cursul include 162 de lecții video și 45 de lucrări de laborator, combinate într-o sarcină tehnică. Dacă ceva nu este clar, puteți adresa întrebări autorului cursului. Primele 25 de lecții pot fi vizionate gratuit, formularul de comandă este disponibil la adresa

Introducere

În acest articol vom descrie funcționarea a două canale de Internet în modul de rezervă. Adică, un furnizor va funcționa constant (canalul principal), iar al doilea se va porni dacă internetul prin primul canal nu este disponibil (canal de rezervă).

Există două modalități principale de a configura dispozitivele MikroTik pentru a funcționa cu doi furnizori în modul de rezervă. Pe scurt, ele pot fi descrise ca o „metodă rapidă” și o „metodă complexă”. Prima metodă este rapidă de configurat. Ceea ce este evident din nume. A doua metodă este mai dificil de configurat, dar nu prezintă dezavantajele inerente primei metode.

Diagrama rețelei

Rețea externă:
Canalul de internet nr. 1
Adresele IP ale routerului: 10.1.100.1
Adresele IP ale furnizorului: 10.1.100.254
masca: 255.255.255.0

Canalul de internet nr. 2
Adresele IP ale routerului: 10.1.200.1
Adresele IP ale furnizorului: 10.1.200.254
masca: 255.255.255.0

Rețea internă:
Adresele IP ale routerului: 192.168.15.1
masca: 255.255.255.0

Drumul rapid

Prin GUI

Manipulările de mai jos presupun că ați configurat deja adrese IP pentru două interfețe externe, ați înregistrat rute și ați făcut reguli de mascarada.

Dacă aveți adrese IP statice de la ambii furnizori, atunci cea mai simplă configurare de rezervare se reduce la stabilirea priorităților de rută pentru primul și al doilea furnizor.

Accesați IP => Rute și pentru ruta către Furnizor-1 specificați Verificați Gateway=ping și Distanța=5. În setările rutei pentru Provider-2, specificați Check Gateway=ping și Distance=10. Valorile parametrilor Distanţă nu trebuie să fie așa. Este important ca valorile pentru Provider-1 să fie mai mici decât pentru Provider-2. De obicei, rutele statice au prioritate ( Distanţă) egal cu unu. De exemplu, am dat un alt sens. Cu această schemă, tot traficul va trece prin Provider-1, calea prin Provider-2 va fi o rezervă. Gateway-urile ambilor furnizori vor ping periodic, iar dacă gateway-ul Provider-1 nu este disponibil, ruta către acesta va fi dezactivată, iar traficul va merge de-a lungul rutei către Provider-2. După ce gateway-ul furnizorului-1 devine din nou disponibil, traficul va trece din nou prin el.

Dezavantajul acestei scheme este că nu verifică prezența Internetului, ci mai degrabă disponibilitatea următorului nod. Există adesea situații în care echipamentul furnizorului (nodul următor) este disponibil, dar nu există internet. Un exemplu foarte izbitor este Internetul printr-un modem ADSL. Nodul vecin (modem ADSL) va fi disponibil, dar Internetul nu.

Pentru primul canal de internet:


Pentru al doilea canal de internet:


Prin consolă

Primul router:

ruta /ip
adăugați check-gateway=ping distance=5 gateway=10.1.100.254

Al doilea router:

ruta /ip
adăugați check-gateway=ping distance=10 gateway=10.1.200.254

Mod complex

Prin GUI

Manipulările de mai jos presupun că ați configurat deja adrese IP pentru două interfețe externe, ați înregistrat rute și ați făcut reguli NAT.

Metoda „complexă” se bazează pe faptul că, folosind utilitarul încorporat „Netwatch”, vom verifica disponibilitatea Internetului o dată pe minut folosind comanda ping către nodul 8.8.4.4 prin primul canal de Internet. Accesul la acest nod prin al doilea canal de internet va fi întotdeauna închis. Astfel, dacă ping-ul trece, înseamnă că primul canal este în stare de funcționare și ar trebui să fie pornit, iar al 2-lea canal trebuie oprit. Și invers: dacă ping-ul nu funcționează, înseamnă că primul canal nu funcționează și ar trebui să fie oprit și al doilea canal pornit. De îndată ce ping-ul începe să treacă, va apărea o comutare inversă. Utilitarul va determina traseul necesar pe baza comentariului pe care îl atribuim. După cum puteți vedea, această metodă nu are dezavantajul primei metode.

Adăugați comentarii la rute. Adăugați comentariu ISP1 la ruta prin primul furnizor, adăugați comentariu ISP2 la ruta prin al doilea furnizor. Să dăm un exemplu pentru primul furnizor. Pentru al doilea, acțiunea se face într-un mod similar.


Creați o rută statică înainte de 8.8.4.4.În IP => Rute, creați o rută către adresa 8.8.4.4 prin gateway-ul primului furnizor de internet.


Adăugați o regulă care blochează accesul la 8.8.4.4 prin a doua interfață WAN.




Adăugați o condiție de comutare.În Instrumente => Netwatch, în fila „Gazdă”, creați o nouă „gazdă Netwatch”. În coloană "Gazdă" specificați adresa IP monitorizată în "Interval"- frecvența inspecțiilor efectuate și "Pauză"- momentul indisponibilității gazdei la care declanșatorul se va declanșa.

Notă: Exemplul arată adresa 8.8.8.8. Este o greșeală de tipar. Adresa ar trebui să fie 8.8.4.4



În fila „Sus”, adăugați următorul script:
/ip route set disabled=nu
/ip route set disabled=da


În fila „Jos”, adăugați următorul script:
/ip route set disabled=da
/ip route set disabled=nu


Prin consolă

ruta /ip
set comentariu=ISP1
set comentariu=ISP2

ruta /ip
adăugați distanță=1 dst-address=8.8.4.4/32 gateway=10.1.100.254

filtru firewall /ip
add action=drop chain=output dst-address=8.8.4.4 out-interface=ether4-WAN2 protocol=icmp comment="Deny 8.8.4.4 through reserved internet-channel"

/toolnetwatch
add down-script="/ip route set disabled=da\r\
\n/ip set de rută dezactivat=nu" gazdă=8.8.4.4 \
up-script="/ip set de rută dezactivat=nu\r\
\n/ip set de rută dezactivat=da"

Examinare

Curs video pe MikroTik

Puteți învăța configurarea MikroTik cu un curs video. Cursul conține toate subiectele din cursul oficial de formare MTCNA + o mulțime de material suplimentar care este util în practică.

D un moment al zilei. Zilele trecute am fost confuz cu privire la organizarea toleranței la erori a CCR1036-8G-2S+ al meu. M-am uitat printr-o mulțime de materiale pe internet, dar majoritatea nu mi s-au potrivit. Și apoi am dat peste unul util care este complet potrivit pentru rezolvarea problemelor mele. Configurația de mai jos funcționează 100%.


Am luat în considerare deja opțiunea de a conecta doi furnizori de internet la un router care rulează sistemul de operare Mikrotik RouterOS. Cu toate acestea, aceasta a fost cea mai simplă opțiune. Ceea ce poate să nu fie întotdeauna potrivit în anumite condiții. Prin urmare, astăzi, vom lua o serie de exemple specifice de configurare a unui router cu condiția de conectare la doi furnizori și ne vom opri mai detaliat asupra unora dintre nuanțe de configurare Firewall, NAT, rutare și echilibrare a încărcăturii sau utilizarea celui de-al doilea. canal ca rezervă.

Și deoarece povestea ulterioară va conține exemple specifice, o vom începe cu condiții specifice. Avem 2 furnizori. Comunicarea cu ambele se stabilește prin protocolul PPPoE. Cum să configurați o conexiune cu un ISP este descris în detaliu în acest articol, așa că vom sări peste acest proces. Indicăm doar că furnizorul nr. 1 este conectat la portul Ether1, iar numele conexiunii PPPoE este ISP1. Furnizorul nr. 2 este conectat la portul Ether2 și are numele de conexiune PPPoE - ISP2.

Singurul aspect este că în viitor vom crea singuri reguli de rutare, așa că atunci când creați conexiuni la furnizori, trebuie să debifați elementul Adăugare rută implicită din fila Dial Out pentru o conexiune PPPoE.

NAT

Pentru ca rețeaua noastră să funcționeze corect și să aibă acces la Internet, trebuie să configuram NAT. Pentru a face acest lucru, deschideți secțiunea IP -> Firewall, accesați fila NAT și utilizați butonul „+” pentru a adăuga o nouă regulă.

În fila General, selectați Chain chain scrnat. Valoarea câmpului în afara. Interfață, în acest caz, lăsăm necompletat, deoarece avem doi furnizori și, în consecință, 2 interfețe diferite.

Apoi, în fila Acțiune, ca parametru pentru câmpul Acțiune, setați valoarea la masquerade.

Salvați regula cu butonul OK. Configurația NAT poate fi considerată completă.

Firewall

Următorul pas este să configuram funcția Firewall, care este concepută pentru a proteja rețeaua noastră locală.

Să mergem la fila Filter Rules, unde trebuie să creăm o serie de reguli de bază, conform cărora se va organiza trecerea pachetelor prin routerul nostru.

Dacă aveți reguli în această secțiune, ar trebui să le ștergeți mai întâi.

Noi reguli pot fi adăugate făcând clic pe butonul „+”, după care, de exemplu, pentru regula care permite ping - lanț=input protocol=icmp action=accept, în fila General, selectăm lanțul Chain - input, iar Protocol - icmp.

Apoi, în fila Acțiune, selectați accept ca parametru pentru câmpul Acțiune.

Această acțiune trebuie repetată de aproximativ 14 ori, pentru paisprezece reguli diferite.
Permite Ping

lanț=protocol de intrare=acțiune icmp=accept

lanț=înainte protocol=acmp icmp=accept

Permiterea conexiunilor stabilite

lanț=intrare stare-conexiune=acțiune stabilită=acceptare

lanț=forward connection-state=acțiune stabilită=accept

Permiterea conexiunilor aferente eu

lanț=intrare stare-conexiune=acțiune legată=accept

lanț=înainte stare-conexiune=acțiune legată=accept

Interzicem conexiunile nereușite

Chain=input connection-state=acțiune invalidă=drop

lanț=înainte stare-conexiune=acțiune invalidă=drop

Permite conexiuni prin protocolul UDP

lanț=protocol de intrare=acțiune udp=accept

lanț=înainte protocol=udp action=accept

Deschidem accesul la Internet pentru rețeaua noastră locală. Pentru cei care au un prefix de rețea locală diferit de 192.168.0.0/24, introduceți adresa dvs.

lanț=forward src-address=192.168.0.0/24 action=accept

Permitem accesul la router numai din rețeaua locală, ca mai sus - 192.168.0.0/24 ar trebui înlocuit cu adresa dumneavoastră.

lanț=input src-address=192.168.0.0/24 action=accept

Și până la urmă, interzicem orice altceva

lanț=acțiune de intrare=drop

lanț=acțiune înainte=scădere

Este clar că deschiderea unei ferestre noi de fiecare dată și completarea tuturor câmpurilor necesare este destul de obositoare, prin urmare, recomand deschiderea New Terminal și setarea comenzilor enumerate mai jos una câte una. Va dura mult mai puțin timp.

filtru firewall ip add chain=protocol de intrare=icmp action=accept

IP firewall filter add chain=forward protocol=icmp action=accept

IP firewall filter add chain=input connection-state=stabilit action=accept

filtru firewall ip add chain=forward connection-state=stabilit action=accept

IP firewall filter add chain=input connection-state=acțiune legată=accept

ip firewall filter add chain=forward connection-state=acțiune legată=accept

IP firewall filter add chain=input connection-state=acțiune invalidă=drop

filtru firewall ip add chain=forward connection-state=acțiune invalidă=drop

filtru firewall ip add chain=protocol de intrare=udp action=accept

filtru firewall ip add chain=forward protocol=udp action=accept

filtru firewall ip add chain=forward src-address=192.168.0.0/24 action=accept

filtru firewall ip add chain=input src-address=192.168.0.0/24 action=accept

filtru firewall ip add chain=input action=drop

filtru firewall ip add chain=forward action=drop

Dar indiferent de metoda pe care o facem, până la urmă ar trebui să obținem următoarele.

Dirijare
Ultimul, dar unul dintre cei mai importanți pași, este crearea rutelor. Să începem prin a marca conexiunile noastre cu furnizorul. Acest lucru este necesar pentru ca toate cererile care vin la interfața unui anumit furnizor să ajungă la interfața acestuia. Acest lucru este destul de critic dacă suntem în spatele NAT și avem orice resurse care trebuie accesate de pe Internetul global. De exemplu, un server web sau un server de e-mail etc. Am discutat deja despre cum să organizăm funcționarea unor astfel de servicii în articolul Setări avansate Mikrotik RouterOS: port forwarding - dstna t.

Pentru a face acest lucru, trebuie să creăm două reguli separate pentru fiecare furnizor în secțiunea IP -> Firewall din fila Mangle.

În fila General, selectați lanțul de lanț ca înainte și ca In.Interface selectați interfața PPPoE pentru conectarea primului furnizor ISP1.

Și în fila Acțiune, ca parametru Acțiune, selectați marcarea conexiunii și în câmpul New Connection Mark care apare mai jos, introduceți numele mărcii pentru această conexiune, de exemplu ISP1-con.

Repetăm ​​același lucru pentru al doilea furnizor. Selectați doar ISP2 ca In.Interface, iar în câmpul New Connection Mark, introduceți marca pentru a doua conexiune ISP2-con.

Acum, pentru a trimite un răspuns la o solicitare primită prin interfața aceluiași furnizor, trebuie să creăm încă 2 reguli care să marcheze rutele.

Aici, creăm o nouă regulă în care selectăm valoarea de prerouting ca Chain, introducem prefixul rețelei noastre locale 192.168.0.0/24 în câmpul Scr.Address și selectăm marca de conectare a primului nostru furnizor ISP1-con în câmpul Marca de conexiune.

Accesați fila Acțiune și în câmpul Acțiune, selectați marcarea rutei, iar în câmpul New Routing Mark care apare mai jos, atribuiți un marcaj pentru ruta acestui furnizor, de exemplu ISP1-rt.

Creăm exact același principiu pentru a doua conexiune. Numai, în consecință, selectați ISP2-con ca marca de conexiune și introduceți ISP2-rt ca marca de rutare nouă.

Și acum, dacă avem resurse care trebuie accesate exclusiv prin interfața unui anumit furnizor, trebuie să creăm o listă a acestor resurse și să marchem toate conexiunile cu adrese din această listă pentru o rutare corectă ulterioară.

De exemplu, furnizorul nr. 2 - ISP2 - are resurse locale cu intervalul de adrese 181.132.84.0/22. Și prin furnizorul nr. 1, ping-ul către serverele de jocuri ale jocurilor online este mult mai mic. Și știm că adresele IP ale acestor servere sunt 90.231.6.37 și 142.0.93.168.

Accesați fila Liste de adrese din secțiunea IP -> Firewall. Și adăugăm rând pe rând aceste adrese IP sau subrețele întregi, cu numele to-ISP1 sau to-ISP2, în funcție de furnizorul prin care trebuie accesate aceste resurse.

Și întrucât majoritatea furnizorilor folosesc propriile servere DNS, accesul la care este adesea interzis din alte rețele, va fi extrem de important să adăugați adresele serverelor DNS ale fiecărui furnizor la aceste liste, astfel încât solicitările de nume de domeniu să le ajungă prin intermediul interfața unui anumit furnizor.

Și în fila Acțiune, Acțiune - rutare marcare, Marcaj de rutare nou - ISP1-rt.

Repetăm ​​același lucru pentru lista de adrese a celui de-al doilea furnizor. Dar, în consecință, ca Dst.Address List, indicăm lista de adrese pentru al doilea furnizor către ISP2. Și ca etichetă pentru ruta New Routing Mark - ISP2-rt.

Și să trecem la partea cea mai de bază a configurației de rutare - crearea regulilor de rutare statică în secțiunea IP -> Rute.

Dacă canalele ambilor furnizori ai noștri sunt aproape egale, atunci adăugăm următorul traseu: în fila General a ferestrei de creare a rutei, pentru Dst.Address scriem 0.0.0.0/0, iar ca Getway selectăm interfețele furnizorilor noștri. ISP1 și ISP2. Toți ceilalți parametri sunt lăsați neschimbați.

În această opțiune, sarcina pe ambii furnizori va fi distribuită uniform.

Dacă vrem să ne asigurăm că cel de-al doilea furnizor este o copie de rezervă și „se pornește” doar atunci când primul este indisponibil sau încărcat puternic, atunci creăm două rute.

Prima Adresă Dst. este 0.0.0.0/0, Gateway-ul este ISP1.

Și a doua Dst.Address este 0.0.0.0/0, Gateway este ISP2, Distanța este 2.

Și totuși, este necesar să creăm două rute separate, pentru fiecare dintre furnizori, unde vor merge rutele pe care le-am marcat anterior. Acestea vor diferi prin faptul că câmpul Marcaj de rutare va indica marca pe care am atribuit-o mai devreme unuia sau altui furnizor.

Primul va avea Dst.Address - 0.0.0.0/0, Gateway - ISP1, Routing Mark - ISP1-rt, iar al doilea, respectiv, Dst.Address - 0.0.0.0/0, Gateway - ISP2, Routing Mark - ISP2-rt


Acum lucrul cu doi furnizori este configurat corect. Toate conexiunile de intrare sunt marcate și răspunsurile la acestea sunt trimise prin interfața la care a venit cererea. Apelurile către anumite resurse sunt distribuite, iar sarcina pe ambele canale este echilibrată.

Acest articol descrie cele mai complete instrucțiuni despre cum să configurați un router MikroTik pentru doi furnizori.

O conexiune simultană la doi furnizori de internet este utilizată pentru a organiza un canal de comunicare de rezervă în cazul în care se pierde conexiunea cu unul dintre furnizori. În acest caz, routerul va trece automat la al doilea furnizor și puteți continua să navigați pe internet. Conectarea la doi furnizori este folosită în organizațiile în care este necesar să se ofere angajaților acces constant la Internet.

Pentru a asigura un canal de internet tolerant la erori, veți avea nevoie de un router care acceptă configurarea pentru mai mulți furnizori. Routerele MikroTik sunt perfecte pentru această sarcină.

Descrierea conexiunilor

În exemplu, vom folosi routerul MikroTik RB951Ui-2HnD.

Un cablu de la primul furnizor este conectat la primul port al routerului, un cablu de la al 2-lea furnizor este conectat la al 2-lea port, porturile 3-5 și Wi-Fi sunt folosite pentru a conecta computerele din rețeaua locală.

Primul port va fi configurat să primească în mod dinamic setările de rețea de la furnizor prin DHCP. Furnizorul oferă routerului o adresă IP dinamică 10.10.10.10

Al doilea port va fi configurat manual cu o adresă IP statică de 20.20.20.20, un gateway de 20.20.20.1 și o mască de 255.255.255.0

Resetați configurația la implicit

Folosind programul Winbox, resetăm configurația implicită din fabrică pentru a configura routerul MikroTik pentru doi furnizori de la zero:


După repornirea în Winbox, selectați adresa MAC a dispozitivului din listă și conectați-vă cu utilizatorul admin fara parola.

Configurarea primului port WAN

Configuram primul port pentru a primi in mod dinamic setarile de retea de la furnizor prin DHCP.

  1. Deschide meniul IP - Client DHCP;
  2. În fereastra care apare în listă Interfață selectați interfața eter1;
  3. Adăugați o rută implicită Selectați Nu;
  4. Faceți clic pe butonul Bine.

Acum am primit adresa IP de la furnizor, care este afișată în coloană Adresa IP.

Să verificăm dacă există o conexiune la internet. Deschide meniul Terminal nouși introduceți comanda ping ya.ru. După cum puteți vedea, există ping.

Configurarea celui de-al doilea port WAN

Configuram al 2-lea port cu o adresa IP statica 20.20.20.20, gateway 20.20.20.1 si masca 255.255.255.0

  1. Deschide meniul Adrese IP;
  2. Faceți clic pe butonul Adăugați (cruce albastră);
  3. În fereastra care apare, în câmp Abordare introduceți o adresă IP statică/mască de subrețea 20.20.20.20/24 ;
  4. Pe listă Interfață selectați interfața eter2;
  5. Faceți clic pe butonul Bine.

Setați adresa IP a gateway-ului de internet:

  1. Deschide meniul IP - Trasee;
  2. Faceți clic pe butonul Adăugați (cruce albastră);
  3. În fereastra care apare, în câmp Poarta de acces introduceți adresa IP a gateway-ului 20.20.20.1 ;
  4. Faceți clic pe butonul Bine.

Să adăugăm adresa IP a serverului DNS:

  1. Deschide meniul IP -DNS;
  2. În câmp Servere introduceți adresa IP a serverului DNS, de exemplu 8.8.8.8 ;
  3. Debifați Permite solicitări de la distanță;
  4. Faceți clic pe butonul Bine.

Să verificăm dacă există o conexiune la internet. Deconectați cablul de la primul furnizor, deschideți meniul Terminal nouși introduceți comanda ping ya.ru.

Vin ping-urile, ceea ce înseamnă că totul este configurat corect. Puteți conecta cablul primului furnizor înapoi.

Configurarea porturilor LAN 3-5 și Wi-Fi

Porturile LAN 3-5 vor fi combinate cu o interfață Wi-Fi într-o singură rețea locală la care se vor conecta computerele.

Combinăm porturile LAN 3-5 într-un comutator

  1. Deschide meniul Interfață;
  2. Faceți dublu clic pe interfață eter4;
  3. Pe listă Port principal Selectați eter3(portul principal al comutatorului nostru);
  4. Faceți clic pe butonul Bine.

Repetați același lucru pentru interfață eter5.

Litera S (Sclav) va apărea vizavi de porturile ether4 și ether5.

Crearea unei interfețe Pod-localși combinați porturile LAN și Wi-Fi în el

Pentru a combina porturile LAN 3-5 cu Wi-Fi într-o singură rețea, trebuie să creați o interfață bridge și să adăugați portul principal al comutatorului. eter3și interfață Wi-Fi wlan1.

Crearea unei interfețe pod-local:

  1. Deschide meniul Pod;
  2. Faceți clic pe butonul Adăuga(cruce albastră);
  3. În câmp Nume introduceți numele interfeței pod-local;
  4. Faceți clic pe butonul Bine.

Adăugarea portului principal al comutatorului eter3 V pod-local:

  1. Accesați fila Porturiși apăsați butonul Adăuga(cruce albastră);
  2. Pe listă Interfață selectați portul principal ethernet al comutatorului eter3;
  3. Pe listă Pod selectați interfața pod-local;
  4. Faceți clic pe butonul Bine.

Adăuga Wifi interfață în pod-local:

  1. Pe fila Porturi faceți clic pe butonul Adăuga(cruce albastră);
  2. Pe listă Interfață selectați interfața wireless wlan1;
  3. Pe listă Pod selectați interfața pod-local;
  4. Faceți clic pe butonul Bine.

Atribuirea unei adrese IP interfeței pod-local:

  1. Deschide meniul IP -Adrese;
  2. Faceți clic pe butonul Adăuga(cruce albastră);
  3. În câmp Abordare introduceți adresa IP și masca de rețea locală 192.168.88.1/24 ;
  4. Pe listă Interfață selectați interfața LAN pod-local;
  5. Faceți clic pe butonul Bine.

Configurarea unui server DHCP în rețeaua locală.

Pentru a ne asigura că computerele conectate la router primesc setările de rețea automat, vom configura un server DHCP:


Configurare Wi-Fi

Mai întâi, să pornim Wi-Fi:

  1. Deschide meniul Fără fir;
  2. Faceți clic stânga pe interfață wlan1și apăsați butonul Permite(căpușă albastră).

Creați o parolă pentru a vă conecta la punctul de acces MikroTik:

  1. Deschide fila Profiluri de securitateși faceți dublu clic cu butonul stâng al mouse-ului Mod implicit;
  2. În fereastra care apare în listă Modul Selectați taste dinamice;
  3. Bifați caseta de lângă înregistrarea protocolului WPA2PSK;
  4. În câmp Cheie pre-partajată WPA2 introduceți parola pentru a vă conecta la punctul Wi-Fi;
  5. Faceți clic pe butonul Bine.

Configurarea setărilor punctului Wi-Fi MikroTik:

  1. Deschide fila Interfețeși faceți dublu clic pe butonul stâng al mouse-ului de pe interfața Wi-Fi wlan1 pentru a merge la setările sale;
  2. Accesați fila Fără fir;
  3. Pe listă Modul selectați modul de funcționare ap pod;
  4. Pe listă Grup Selectați 2GHz-B/G/N(în ce standarde va funcționa punctul Wi-Fi);
  5. Pe listă latimea canalului specificați lățimea canalului 20/40Mhz HT Mai sus astfel încât dispozitivele wireless să se poată conecta la viteză maximă cu o lățime a canalului de 40 MHz;
  6. Pe listă Frecvență indicați la ce frecvență va funcționa Wi-Fi;
  7. În câmp SSID specificați numele rețelei Wi-Fi;
  8. Faceți clic pe butonul Bine.

Configurare NAT

Pentru ca computerele să aibă acces la Internet, NAT trebuie configurat.

Adăugați o regulă NAT pentru primul furnizor:


Adăugați o regulă NAT pentru al doilea furnizor:


Acum internetul ar trebui să apară pe computerele conectate la router. Verifică.

Configurarea comutării canalelor de internet între doi furnizori

Pentru a configura comutarea canalului de internet între doi furnizori, vom folosi trasee(Rute) și utilitate încorporată Netwatch.

Vom avea două rute prin care poate trece traficul pe Internet. Tot traficul va trece implicit prin primul furnizor.

Dacă brusc conexiunea cu primul furnizor se pierde, atunci activăm a 2-a rută, iar tot traficul va trece prin al 2-lea furnizor.

Imediat ce conexiunea prin primul furnizor este restabilită, dezactivăm a 2-a rută, iar tot traficul va trece prin primul furnizor.

Utilitarul Netwatch vă va ajuta să faceți ping la o adresă IP de pe Internet și să executați scripturi dacă adresa IP a încetat să faceți ping sau a început să facă ping din nou. Acesta va efectua activarea și dezactivarea rutei.

În primul rând, să ștergem ruta prin primul furnizor, care a fost creat automat, deoarece nu putem edita proprietățile acestuia.

  1. Deschide meniul IP - Rute;
  2. Faceți clic stânga pe ruta primului furnizor cu un gateway 10.10.10.1 irechabil;
  3. Faceți clic pe butonul de ștergere (minus roșu).

Acum să modificăm parametrii rutei celui de-al doilea furnizor:


  1. Deschide meniul IP - Client DHCP;
  2. Faceți dublu clic pe butonul stâng al mouse-ului pe interfață eter1;
  3. Accesați fila stare;
  4. Scrieți adresa IP a gateway-ului din câmp Poarta de acces. Va fi necesar la crearea unei rute prin primul furnizor.

Acum adăugați o rută prin primul furnizor:


A treia rută va fi necesară pentru ca serverul Google să facă ping implicit doar prin primul furnizor.


Vom adăuga, de asemenea, o regulă la Firewall care va interzice ping-ul adresei IP 8.8.4.4 prin al doilea furnizor. În caz contrar, utilitarul Netwatch va crede că conexiunea cu primul furnizor a fost restabilită și va schimba constant rutele în cerc.


Netwatch va testa conectivitatea la internet punând ping la serverul Google cu adresa IP 8.8.4.4. De îndată ce serverul încetează să facă ping, va fi executat un script care activează a 2-a rută și traficul va trece prin al 2-lea furnizor. Imediat ce conexiunea prin primul furnizor este restabilită, se va executa un alt script, care va dezactiva a 2-a rută și traficul va trece prin primul furnizor.


Verificarea comutării pe internet între doi furnizori

Să verificăm cum funcționează comutarea între doi furnizori.


Configurarea routerului MikroTik pentru doi furnizori funcționează corect. Acum puteți crește intervalul de ping al serverului Google.


Aceasta completează configurarea routerului Mikrotik pentru doi furnizori.



Vă recomandăm alte articole
Tableta congelată - ce să faci?
Tableta congelată - ce să faci?
Cameră wireless USB cumpărați o mini cameră wireless pentru computer Cameră digitală cu ieșire USB
Cameră wireless USB cumpărați o mini cameră wireless pentru computer Cameră digitală cu ieșire USB
Stoloto, loto rusesc – o înșelătorie?
Stoloto, loto rusesc – o înșelătorie?