Pada forum pengedaran, pengguna di bawah nama panggilan Barvinok mula menulis
satu siri artikel yang cuba menyatukan dan mensistemkan pangkalan data terkumpul
pengetahuan mengenai Mikrotik secara umum dan mengenai topik dua pembekal khususnya. Dengan dia
Dengan izin, saya akan menyalin semuanya ke halaman saya. Yang berminat boleh ke
ke sumber asal http://mikrotik.ru/forum/viewtopic.php?f=1 5&t=3280
Menyediakan penghala dari awal.
Bahagian ini akan menggantikan kekurangan bahagian yang digunakan.
Mengikut tajuk topik, saya mengkonfigurasi penghala untuk dua pembekal. Maksud saya model penghala ialah siri RB7xx.
Sumber:
Semakan dan konfigurasi Mikrotik RB751U-2HnD dalam mod penghala wayarles dengan sambungan Internet.
Sergey Lagovsky: MikroTik - Persediaan awal
Sumber
wajib baca. Saya tidak akan menulis manual untuk Mikrotik
suri rumah", seperti "ambil kabel di tangan kanan anda..." Di sini saya akan menunjukkan
hanya tonggak, langkah. Dan bagaimana sebenarnya untuk melakukan ini - di atas
sumber.
saya guna baris arahan terminal melalui Winbox dan saya akan memberikan semua contoh dalam borang ini.
1. Tetapkan semula tetapan awal:
/konfigurasi tetapan semula sistem
2. Muat turun pakej Naik Taraf dan seret ke dalam Winbox dengan tetikus. Selanjutnya:
/ but semula sistem
dan selepas but semula :
/ naik taraf papan penghala sistem
3. Saya mencipta jambatan daripada tiga port terakhir:
/jambatan antara muka
tambah nama=Local_Net
tambah jambatan = Antara muka Local_Net = eter3
tambah jambatan = Antara muka Local_Net = eter4
tambah bridge=Antaramuka_Local_Net=ether5
4. Saya memberikan alamat IP kepada jambatan ini:
/ip address add address=192.168.1.1/24 interface=Local_Net
5. Sediakan pelayan DHCP padanya:
/ip persediaan pelayan dhcp
Biarkan ia memberikan alamat Mikrotik itu sendiri sebagai pelayan DNS: 192.168.1.1. Saya akan menerangkan mengapa ini sedikit kemudian.
6. Benarkan penghala membalas permintaan DNS:
/ip dns set allow-remote-requests=ya
Mari kita ambil nafas: kini kami telah mencapai fungsi D-Link yang luar biasa :)
7. Atas nasihat Sergei Lagoovsky, saya sentiasa menukar nama pengguna super:
/user add name=supername password=superpass group=full
/berhenti
Log masuk sebagai pengguna baharu dan lumpuhkan pengguna lama:
/pengguna lumpuhkan pentadbir
8. Tetapkan pelayan masa dan zon waktu:
/system ntp client set enabled=yes mode=unicast primary-ntp=83.229.137.52 secondary-ntp=213.141.146.135
/system clock set time-zone-name=Eropah/Moscow
9. Sediakan sambungan Internet.
Saya akan mengambil kes sukar dua penyedia yang tidak sama rata:
- Pertama
pembekal menyediakan Internet melalui PPPoE melalui ADSL: 8 Mbit masuk/0.8 Mbit
keluar. Alamat IP dan tetapan rangkaian lain dikeluarkan oleh pembekal
secara dinamik. - Yang kedua adalah kualiti yang sangat tinggi, tetapi mahal dari segi optik: saluran simetri 1 Mbit. Alamat dan tetapan IP adalah statik (kekal)
9.1. Menyediakan penyedia pertama.
Kami menukar modem ADSL kami kepada mod Bridge. Kami palamkan kabel ke port pertama (ether1).
Cipta dan konfigurasikan antara muka PPPoE:
/antara muka pppoe-client tambah nama=UTK user=ppp_user password=ppp_pasw use-peer-dns=yes interface=ether1
Jika terdapat hanya satu pembekal, kami boleh menambah " add-default-route=ya“Tetapi kami mempunyai tugas yang berbeza.
"gunakan-peer-dns" bermakna kami akan menggunakan pelayan DNS yang diberikan oleh ISP untuk sambungan ini.
/ cetak alamat ip
/ping mail.ru
untuk memastikan sambungan berfungsi.
9.2. Menyediakan penyedia kedua.
Kami palamkan kabel dari penukar media ke port kedua dan masukkan tetapan secara manual:
/ip address add address=80.45.21.34/30 interface=ether2
Jika pembekal anda menyediakan pelayan DNSnya sendiri, anda boleh menetapkannya secara eksplisit:
/ip dns set servers=ip_server1,ip_server2
Dan kami boleh menetapkan mana-mana yang tersedia untuk umum, seperti Google: 8.8.8.8,8.8.4.4.
Biar saya ingatkan awak,
bahawa terima kasih kepada langkah 6 penghala kami adalah pelayan DNS untuk tempatan
rangkaian. Tetapi dia sendiri, seperti anak lembu yang lembut, menghisap dua ratu, dengan sewenang-wenangnya
dengan mengakses pelayan DNS mana-mana pembekal.
10. Dayakan terjemahan alamat.
Untuk pembekal 1:
/ip firewall nat add chain=srcnat action=masquerade protocol=tcp out-interface=UTK
Anda boleh melakukan perkara yang sama untuk yang kedua, tetapi kami akan menjadi estetik. Memandangkan alamat kami kekal, kami menggunakan SNAT dan bukannya menyamar:
/ip firewall nat add chain=srcnat action=src-nat protocol=tcp src-address=192.168.1.0/24 to-addresses=80.45.21.34
Jika pembekal kami adalah setara, kami boleh melakukan ini:
/ip route add dst-address=0.0.0.0/0 gateway=UTK,ether2 check-gateway=ping
Kami segera mendapat toleransi kesalahan dan pengagihan beban seragam (laluan sama).
Saya menasihati anda untuk mencuba ini dan bermain-main pada komputer tempatan anda.
"tracert mail.ru", melumpuhkan satu atau yang lain hujung hadapan -
hanya untuk menyemak.
Jika pembekal tidak sama hanya dalam ketebalan saluran, anda boleh melakukan ini:
/ip route add dst-address=0.0.0.0/0 gateway=UTK,UTK,ether2 check-gateway=ping
Sekarang penyedia pertama akan menerima dua kali lebih banyak aliran daripada yang kedua.
Tetapi tugas kami sedikit lebih rumit, kerana pembekal tidak sama bukan sahaja secara kuantitatif, tetapi juga secara kualitatif.
11. Oleh itu, kami akan menetapkan laluan secara berasingan kepada mereka dan memberi mereka pilihan (jarak) yang berbeza.
Untuk pembekal pertama cara paling mudah ialah melakukan ini:
/interface pppoe-client set 0 add-default-route=ya
Walaupun kita boleh melakukan ini dalam perenggan 9.1, saya memutuskan untuk menyerlahkannya demi pesanan.
Untuk pembekal kedua - seperti ini:
/ ip route add dst-address=0.0.0.0/0 gateway=80.45.21.34 distance=2 check-gateway=ping
Kini keseluruhan rangkaian kami melalui pembekal 1, dan jika ia turun, melalui pembekal 2.
12. Mari kita serlahkan aliran penting (Skype, SIP) yang perlu dihantar ke rangkaian melalui pembekal 2.
Di sini saya akan membuat penyimpangan pada penandaan paket dan sambungan, kerana topik ini agak menarik.
Berundur 4
Menanda
terpakai
untuk menetapkan label untuk pakej tertentu. Tindakan ini mungkin
dilaksanakan hanya dalam jadual mangle. Menetapkan tanda biasanya
digunakan untuk keperluan paket penghalaan sepanjang pelbagai laluan, untuk
sekatan lalu lintas, dsb. Untuk maklumat lanjut, anda boleh
rujuk kepada Penghalaan Lanjutan Linux dan Kawalan Trafik CARA-CARA. Tidak
ingat bahawa "tag" paket hanya wujud untuk tempoh masa
paket tidak meninggalkan firewall, i.e. Label tidak dihantar melalui rangkaian. Jika
pakej mesti ditanda entah bagaimana untuk menggunakan tanda pada
mesin lain, anda boleh cuba memanipulasi bit medan TOS.
Manual:IP/Firewall/Mangle pada Mikrotik Wiki.
Pada
Apabila membaca dan menulis peraturan, adalah penting untuk memahami dengan jelas di mana kita berada
kami menunjukkan tanda yang kami pilih paket dari aliran, dan di mana
Kami melakukan tindakan dengan pakej (terima, tolak atau jenamakannya sedemikian)
tanda).
Pertimbangkan dua peraturan daripada artikel PCC:
/ip firewall mangle
Tambah
dalam-antara muka=ether2 new-connection-mark=l2tp-out1_conn passthrough=ya
per-connection-classifier=src-address:2/0 src-address=172.16.0.0/16
Tambah
action=mark-connection chain=prerouting dst-address-type=!local
dalam-antara muka=ether2 new-connection-mark=l2tp-out2_conn passthrough=ya
per-connection-classifier=src-address:2/1 src-address=172.16.0.0/16
Tambah
action=mark-routing chain=prarouting connection-mark=l2tp-out1_conn
dalam-antara muka=ether2 new-routing-mark=to_l2tp-out1 passthrough=ya
Tambah
action=mark-routing chain=prarouting connection-mark=l2tp-out2_conn
dalam-antara muka=ether2 new-routing-mark=to_l2tp-out2 passthrough=ya
Dalam peraturan pertama kita tandakan sambungan(action=mark-connection) dalam rantaian pra laluan. Diikuti oleh tanda-tanda,
yang mana kami menentukan sambungan yang harus dilabelkan: jenis
alamat destinasi - mana-mana kecuali alamat penghala itu sendiri
(dst-address-type=!local), antara muka masuk - ether2
(in-interface=ether2), alamat sumber - mana-mana komputer daripada subnet
172.16.0.0/16. Berikut adalah perintah yang indah:
per-connection-classifier=src-address:2/0. Ini adalah bagaimana kita memecahkan aliran
pakej yang sepadan dengan ciri-ciri ini terbahagi kepada dua.
Kemudian kami menetapkan label l2tp-out1_conn pada satu bahagian strim dan l2tp-out2_conn pada bahagian kedua.
Melalui
diterjemahkan sebagai "melalui dan melalui". Sebenarnya, setiap paket adalah berurutan
disemak terhadap setiap peraturan sehingga perlawanan pertama berlaku. Bagaimana
hanya bertepatan - ia segera dipindahkan ke jadual seterusnya (dalam ini
kes - DNAT) atau dimusnahkan jika tindakan DROP. Tetapi jika dinyatakan
passthrough=ya, paket dihantar ke peraturan seterusnya dalam senarai dalam yang sama
meja.
Peraturan seterusnya adalah untuk menandakan pilihan
laluan untuk diikuti (action=mark-routing). Semua sambungan
bertanda l2tp-out1_conn (tanda sambungan) kami juga jenamakan dengan tanda
to_l2tp-out1 (tanda-laluan-baru). Dan kemudian dengan separuh kedua aliran
kita bertindak sewajarnya.
Saya masih belum memahami maksud mendalam bagi penandaan berjujukan ini dan mengapa anda tidak boleh meletakkan tanda penghalaan baharu dengan segera. Tetapi panduan rasmi di Mikrotik Wiki melakukan perkara yang sama.
Bolehkah seseorang menjelaskan?
Secara umum, terdapat tiga tindakan dengan nama yang serupa yang patut difahami:
- sambungan tanda
- tanda-paket
- penghalaan tanda
penghalaan tanda
- letakkan tanda yang ditentukan oleh parameter baru-routing-mark pada paket.
Tanda jenis ini digunakan untuk tujuan penghalaan dasar sahaja
Tindakan ini meletakkan tanda yang digunakan secara eksklusif apabila memilih laluan untuk pemajuan selanjutnya. Cth:
/ laluan ip
tambah dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_ISP1 check-gateway=ping
tambah dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_ISP2 check-gateway=ping
Tetapi sekiranya salah satu laluan terputus, anda juga harus melakukannya peraturan umum tanpa merujuk kepada label:
tambah dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping
tambah dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping
Tetapi apakah perbezaan antara mark-packet dan mark-connection?
Jelas sekali, perkara yang sama yang membezakan paket daripada sambungan.
Kami baca:
Menanda
setiap paket agak mahal sumber terutamanya jika peraturan perlu dipadankan
terhadap banyak parameter daripada pengepala IP atau senarai alamat yang mengandungi
beratus penyertaan
Penjenamaan setiap pakej adalah sangat mahal
keseronokan, terutamanya jika peraturan itu mengandungi banyak tanda untuk
perbandingan daripada pengepala paket IP atau helaian alamat yang mengandungi ratusan
rekod.
Ia seterusnya bercakap tentang kerja-kerja pemecah belakang penghala,
terbeban peraturan yang kompleks menyemak setiap paket dalam 100-megabit
rangkaian. Beban pengiraan pada pemproses berkembang dengan pesat, yang
pada asasnya menjadikannya mustahil untuk menggunakan kaedah penandaan ini
apabila menguruskan aliran data yang besar.
petikan:
Nasib baik jika penjejakan sambungan didayakan, kami boleh menggunakan tanda sambungan untuk mengoptimumkan persediaan kami.
Nasib baik, jika penjejakan sambungan didayakan, kami boleh membenderakan sambungan, yang lebih baik!
Di sini
ia adalah satu kelebihan bekerja dengan imejan peringkat tinggi. Semakin tinggi
tahap generalisasi, semakin sedikit kerja yang perlu anda belanjakan
mencapai matlamat!
/ip firewall mangle
tambah rantai=protokol hadapan=port tcp=!80 dst-address-list=pertama sambungan-state=tindakan baharu=tanda-sambungan \
new-connection-mark=first
tambah rantai=tanda sambungan ke hadapan=tindakan pertama=tanda-paket tanda-paket-baru=laluan pertama=tidak
Tambah rantai=protokol hadapan=udp dst-address-list=second connection-state=new action=mark-connection \
new-connection-mark=second
tambah rantai=sambungan ke hadapan-tanda=tindakan kedua=tanda-paket tanda-paket-baru=laluan kedua=tidak
petikan:
Sekarang
peraturan pertama akan cuba memadankan data dari pengepala IP hanya dari paket pertama
sambungan baharu dan tambah tanda sambungan. Peraturan seterusnya tidak lagi
semak pengepala IP untuk setiap paket, ia hanya akan membandingkan tanda sambungan
mengakibatkan penggunaan CPU yang lebih rendah. Selain itu passthrough=no was
menambah yang membantu mengurangkan penggunaan CPU dengan lebih banyak lagi.
Secara ketara, peraturan pertama menyemak data hanya dalam pengepala paket pertama sambungan baharu, memandangkan dalam sambungan ini semua yang lain akan bertepatan dengannya. Peraturan seterusnya, daripada menyemak pengepala setiap paket, ia hanya melihat pada label sambungan, yang mengurangkan beban CPU dengan ketara. Di samping itu, peraturan "laluan=tidak" serta-merta mengganggu laluan paket melalui jadual ini dan memindahkannya ke yang seterusnya, yang juga melegakan CPU!
Ooh... tipu muslihat! Kini jelas mengapa, dalam contoh dengan PCC, kami mula-mula menandakan sambungan, dan kemudian, berdasarkan label ini, kami meletakkan yang kedua - tentang penghalaan.
Tetapi persoalan timbul.
Pertama: bagaimana anda boleh memahami bahawa paket tergolong dalam sambungan tertentu tanpa melihat pengepalanya? Jelas sekali - tidak mungkin. Ini bermakna setiap paket diproses secara berasingan dalam apa jua keadaan, tetapi ini berlaku di luar IPTables dan ini tidak menyebabkan sebarang beban khas pada CPU, berbanding pemprosesan mengikut senarai peraturan di dalam IPTables.
Dan soalan kedua: bagaimana anda boleh menandakan sambungan?
Sekiranya semuanya agak jelas dengan pakej: ia mempunyai tajuk yang kita buat perubahan, maka apakah ungkapan sebenar konsep "sambungan" yang mana kita boleh bekerja? Apa yang kita tandakan?
> Tempahan saluran pada Mikrotik tanpa skrip
Mikrotik. Failover. Pengimbangan Beban
Apabila saya perlu memikirkan cara melakukan failover atau pengimbangan beban, mempunyai dua atau lebih saluran ke dunia, saya menemui banyak artikel dan arahan yang menerangkan konfigurasi kerja. Tetapi saya hampir tidak menemui penjelasan tentang cara semuanya berfungsi atau penerangan tentang perbezaan. pilihan yang berbeza. Saya ingin membetulkan ketidakadilan ini dan mengumpul pilihan paling mudah untuk membina konfigurasi failover dan pengimbangan beban dalam satu artikel.Jadi, kami mempunyai penghala yang menghubungkan rangkaian tempatan kami dan dua saluran ke Internet (ISP1 utama dan ISP2 sandaran).
Mari lihat apa yang boleh kita lakukan:
Kami kini mempunyai saluran sandaran yang mana trafik boleh diarahkan jika saluran utama gagal. Tetapi bagaimana anda boleh membuat mikrotik memahami bahawa saluran telah jatuh?
Tempahan saluran paling mudah
Failover yang paling mudah boleh dikonfigurasikan menggunakan keutamaan laluan (jarak untuk mikrotik/cisco, metrik untuk linux/windows), serta mekanisme untuk menyemak ketersediaan get laluan - check-gateway.Dalam konfigurasi di bawah, semua trafik Internet secara lalai melalui 10.100.1.254 (ISP1). Tetapi sebaik sahaja alamat 10.100.1.254 menjadi tidak tersedia (dan laluan melaluinya tidak aktif), trafik akan melalui 10.200.1.254 (ISP2).
konfigurasi: failover mudah
# Sediakan rangkaian pembekal:
###Memastikan lebihan saluran cara tradisional###
# tentukan 2 get laluan lalai dengan keutamaan yang berbeza
/ip route add dst-address=0.0.0.0/0 gateway=10.100.1.254 distance=1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=10.200.1.254 distance=2 check-gateway=ping
Check-gateway=ping untuk mikrotik diproses seperti ini:
Secara berkala (setiap 10 saat) get laluan disemak dengan menghantar paket ICMP (ping) kepadanya. Satu paket dianggap hilang jika ia tidak dikembalikan dalam masa 10 saat. Selepas dua paket hilang, gerbang dianggap tidak tersedia. Selepas menerima respons daripada get laluan, ia tersedia dan kaunter paket yang hilang ditetapkan semula.
Memastikan failover dengan analisis saluran yang lebih mendalam.
Dalam contoh sebelumnya, semuanya baik-baik saja, kecuali situasi apabila get laluan penyedia kelihatan dan responsif, tetapi tiada Internet di belakangnya. Ia akan banyak membantu kami jika kami boleh membuat keputusan tentang daya maju penyedia dengan ping bukan gerbang itu sendiri, tetapi sesuatu di belakangnya.Saya tahu dua pilihan untuk menyelesaikan masalah kejuruteraan ini. Yang pertama dan paling biasa ialah menggunakan skrip, tetapi kerana kami tidak menyentuh skrip dalam artikel ini, kami akan membincangkan dengan lebih terperinci mengenai yang kedua. Ini menunjukkan penggunaan parameter skop yang tidak betul sepenuhnya, tetapi ini akan membantu kami menyiasat saluran pembekal lebih dalam daripada sehingga pintu masuk.
Prinsipnya mudah:
Daripada petunjuk tradisional gateway lalai=gerbang penyedia, kami akan memberitahu penghala bahawa get laluan lalai ialah salah satu daripada nod_sentiasa_tersedia (contohnya 8.8.8.8 atau 8.8.4.4) dan ia, seterusnya, boleh diakses melalui get laluan pembekal.
konfigurasi: failover dengan analisis saluran yang lebih mendalam
# Sediakan rangkaian pembekal:
/ip address add address=10.100.1.1/24 interface=ISP1
/ip address add address=10.200.1.1/24 interface=ISP2
# Sediakan antara muka tempatan
/ip address add address=10.1.1.1/24 interface=LAN
# sembunyi di sebalik NAT semua yang keluar rangkaian tempatan
/ip firewall nat add src-address=10.1.1.0/24 action=masquerade chain=srcnat
###Menyediakan failover dengan analisis saluran yang lebih mendalam###
#menggunakan parameter skop kami akan menentukan laluan rekursif ke nod 8.8.8.8 dan 8.8.4.4
/ ip route add dst-address=8.8.8.8 gateway=10.100.1.254 skop=10
/ ip route add dst-address=8.8.4.4 gateway=10.200.1.254 skop=10
# tentukan 2 get laluan lalai melalui nod laluan yang ditentukan secara rekursif
/ip route add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=8.8.4.4 distance=2 check-gateway=ping
Sekarang mari kita lihat apa yang berlaku dengan lebih terperinci:
Caranya ialah get laluan pembekal tidak mengetahui bahawa 8.8.8.8 atau 8.8.4.4 ialah penghala dan akan menghalakan trafik di sepanjang laluan biasa.
Mikrotik kami percaya bahawa secara lalai semua trafik Internet harus dihantar ke 8.8.8.8, yang tidak boleh dilihat secara langsung, tetapi boleh diakses melalui 10.100.1.254. Dan jika ping pada 8.8.8.8 hilang (biar saya ingatkan anda bahawa laluan ke sana ditentukan dengan ketat melalui pintu masuk dari ISP1), maka mikrotik akan mula menghantar semua trafik Internet ke 8.8.4.4, atau lebih tepat ke 10.200 yang ditakrifkan secara rekursif .1.254 (ISP2).
D beberapa waktu dalam sehari. Pada hari yang lain saya keliru tentang mengatur toleransi kesalahan CCR1036-8G-2S+ saya. Saya melihat melalui banyak bahan di Internet, tetapi kebanyakannya tidak sesuai dengan saya. Dan kemudian saya terjumpa satu yang berguna yang benar-benar sesuai untuk menyelesaikan masalah saya. Persediaan di bawah adalah 100% berfungsi.
Kami telah mempertimbangkan pilihan untuk menyambungkan dua pembekal Internet kepada satu penghala, dikawal oleh sistem operasi Mikrotik RouterOS. Walau bagaimanapun, ini adalah pilihan yang paling mudah. Yang mungkin tidak selalu sesuai dalam keadaan tertentu. Oleh itu, hari ini, kami akan mengambil beberapa contoh khusus untuk mengkonfigurasi penghala dengan syarat menyambung kepada dua pembekal, dan akan membincangkan dengan lebih terperinci mengenai beberapa nuansa mengkonfigurasi Firewall, NAT, penghalaan dan pengimbangan beban atau menggunakan yang kedua. saluran sebagai sandaran.
Dan kerana cerita selanjutnya akan mengandungi contoh khusus, mari kita mulakan dengan syarat tertentu. Kami mempunyai 2 pembekal. Komunikasi dengan kedua-duanya diwujudkan melalui protokol PPPoE. Cara untuk menyediakan sambungan dengan ISP diterangkan secara terperinci dalam artikel ini, jadi kami akan melangkau proses ini. Hanya ambil perhatian bahawa pembekal No. 1 disambungkan ke port Ether1, dan nama sambungan PPPoEnya ialah ISP1. Pembekal No. 2 disambungkan ke port Ether2 dan mempunyai nama sambungan PPPoE - ISP2.
Satu-satunya perkara ialah pada masa hadapan kami akan membuat sendiri peraturan penghalaan, jadi apabila membuat sambungan kepada pembekal, anda perlu menyahtanda item Tambah Laluan Lalai pada tab Dail Keluar untuk sambungan PPPoE.
NATAgar rangkaian kami berfungsi dengan baik dan mempunyai akses kepada Internet, kami perlu mengkonfigurasi NAT. Untuk melakukan ini, buka bahagian IP -> Firewall, pergi ke tab NAT dan gunakan butang “+” untuk menambah peraturan baharu.
Pada tab Umum, pilih scrnat rantaian rantai. Nilai medan keluar. Antara muka, dalam dalam kes ini, kami biarkan kosong, kerana kami mempunyai dua pembekal, dan, dengan itu, 2 antara muka yang berbeza.
Langkah seterusnya ialah persediaan Fungsi firewall, yang direka untuk melindungi rangkaian tempatan kami.
Mari pergi ke tab Peraturan Penapis, di mana kita perlu membuat beberapa peraturan asas, mengikut mana laluan paket melalui penghala kami akan diatur.
Jika anda mempunyai sebarang peraturan dalam bahagian ini, anda harus memadamkannya terlebih dahulu.
Peraturan baharu boleh ditambah dengan mengklik butang “+”, selepas itu, sebagai contoh, untuk peraturan membenarkan ping - chain=input protocol=icmp action=accept, pada tab General, kami memilih rantaian Rantaian - input, dan Protokol - icmp.
Benarkan Ping
rantai=protokol input=tindakan icmp=terima
rantai=protokol hadapan=tindakan icmp=terima
Membenarkan sambungan yang telah ditetapkan
rantai=keadaan sambungan input=tindakan yang ditetapkan=terima
rantai=keadaan sambungan ke hadapan=tindakan yang ditetapkan=terima
Membenarkan sambungan yang berkaitan saya
rantai=keadaan sambungan input=tindakan berkaitan=terima
rantai=keadaan sambungan ke hadapan=tindakan berkaitan=terima
Kami melarang sambungan yang tidak berjaya
Rantaian=keadaan sambungan input=tindakan tidak sah=jatuhkan
chain=forward connection-state=tindakan tidak sah=drop
Benarkan sambungan melalui protokol UDPrantai=protokol input=tindakan udp=terima
rantai=protokol hadapan=tindakan udp=terima
Kami membuka akses Internet untuk rangkaian tempatan kami. Bagi mereka yang mempunyai awalan rangkaian tempatan yang berbeza daripada 192.168.0.0/24, letakkan alamat anda.
chain=forward src-address=192.168.0.0/24 action=accept
Kami membenarkan akses kepada penghala hanya dari rangkaian tempatan, seperti di atas - 192.168.0.0/24 harus diganti dengan alamat anda.
chain=input src-address=192.168.0.0/24 action=accept
Dan pada akhirnya, kami melarang semua yang lain
rantai=tindakan input=jatuhkan
rantai=tindakan hadapan=jatuhkan
Adalah jelas bahawa membuka tetingkap baharu setiap kali dan mengisi semua medan yang diperlukan agak membosankan, oleh itu, saya mengesyorkan membuka Terminal Baharu dan menetapkan arahan yang disenaraikan di bawah satu demi satu. Ia akan mengambil masa yang lebih sedikit.
penapis firewall ip tambah rantai=protokol hadapan=tindakan icmp=terima
penapis firewall ip tambah rantai=keadaan sambungan input=tindakan yang ditetapkan=terima
penapis tembok api ip tambah rantai=keadaan sambungan ke hadapan=tindakan yang ditetapkan=terima
penapis tembok api ip tambah rantai=keadaan sambungan input=tindakan berkaitan=terima
penapis firewall ip tambah rantai=keadaan sambungan ke hadapan=tindakan berkaitan=terima
penapis tembok api ip tambah rantai=keadaan sambungan input=tindakan tidak sah=jatuhkan
penapis dinding api ip tambah rantai=keadaan sambungan ke hadapan=tindakan tidak sah=jatuhkan
penapis firewall ip tambah rantai=protokol input=tindakan udp=terima
penapis firewall ip tambah rantai=protokol hadapan=tindakan udp=terima
penapis dinding api ip tambah rantai=alamat src ke hadapan=192.168.0.0/24 tindakan=terima
penapis firewall ip tambah rantai=input src-address=192.168.0.0/24 action=accept
penapis firewall ip tambah rantai=tindakan input=jatuhkan
penapis firewall ip tambah rantai=tindakan hadapan=jatuhkan
Tetapi tidak kira apa kaedah yang kita lakukan, pada akhirnya kita harus mendapat perkara berikut.
Yang terakhir, tetapi salah satu langkah yang paling penting, ialah mencipta laluan. Mari mulakan dengan menandakan sambungan kami kepada pembekal. Ini adalah perlu supaya semua permintaan yang datang ke antara muka pembekal tertentu pergi ke antara mukanya. Ini agak kritikal jika kita berada di belakang NAT dan mempunyai sebarang sumber yang perlu diakses daripada Internet global. Contohnya, pelayan web atau pelayan mel, dsb. Kami telah membincangkan cara mengatur operasi perkhidmatan sedemikian dalam artikel Tetapan lanjutan Mikrotik RouterOS: pemajuan port - dstna t.
Untuk melakukan ini, kita perlu mencipta dua peraturan berasingan untuk setiap pembekal dalam bahagian IP -> Firewall pada tab Mangle.
Pada tab Umum, pilih rantaian Rantaian sebagai ke hadapan, dan sebagai In.Interface pilih antara muka PPPoE untuk menyambungkan pembekal pertama ISP1.
Kini, untuk menghantar respons kepada permintaan masuk melalui antara muka pembekal yang sama, kami perlu mencipta 2 lagi peraturan yang akan menandakan laluan.
Di sini, kami mencipta peraturan baharu di mana kami memilih nilai pra laluan sebagai Rantaian, masukkan awalan rangkaian tempatan kami 192.168.0.0/24 dalam medan Scr.Address dan pilih tanda sambungan penyedia pertama kami ISP1-con dalam Tanda Sambungan.
Dan sekarang, jika kami mempunyai sebarang sumber yang perlu diakses secara eksklusif melalui antara muka pembekal tertentu, kami perlu membuat senarai sumber ini dan menandakan semua sambungan dengan alamat daripada senarai ini untuk laluan yang betul lagi.
Sebagai contoh, pembekal No. 2 - ISP2 - mempunyai sumber tempatan dengan julat alamat 181.132.84.0/22. Dan melalui pembekal No. 1, ping ke pelayan permainan permainan dalam talian, lebih kurang. Dan kita tahu bahawa alamat IP pelayan ini ialah 90.231.6.37 dan 142.0.93.168.
Pergi ke tab Senarai Alamat pada bahagian IP -> Firewall. Dan satu demi satu kami menambah keseluruhan alamat IP atau subnet ini, dengan nama kepada-ISP1 atau kepada-ISP2, bergantung pada penyedia mana sumber ini harus diakses.
Dan kerana kebanyakan pembekal menggunakan DNS sendiri pelayan, akses yang sering dilarang daripada rangkaian lain, maka ia akan menjadi sangat penting untuk menambah alamat pelayan DNS setiap pembekal ke senarai ini, supaya permintaan nama domain pergi kepada mereka melalui antara muka pembekal tertentu.
Dan pada tab Tindakan, Tindakan - tandakan penghalaan, Tanda Laluan Baharu - ISP1-rt.
Dan mari kita teruskan ke bahagian paling asas dalam menyediakan penghalaan - mencipta peraturan penghalaan statik dalam bahagian IP -> Laluan.
Jika saluran kedua-dua pembekal kami hampir sama, maka kami menambah laluan berikut: dalam tab Umum tetingkap penciptaan laluan, untuk Dst.Address kami menulis 0.0.0.0/0, dan sebagai Getway kami memilih antara muka pembekal kami ISP1 dan ISP2. Semua parameter lain dibiarkan tidak berubah.
Dalam pilihan ini, beban pada kedua-dua pembekal akan diagihkan sama rata.
Dst.Address pertama ialah 0.0.0.0/0, Gateway ialah ISP1.
Dan Dst.Address kedua ialah 0.0.0.0/0, Gateway ialah ISP2, Jarak ialah 2.
Yang pertama akan mempunyai Dst.Address - 0.0.0.0/0, Gateway - ISP1, Routing Mark - ISP1-rt, dan yang kedua, masing-masing, Dst.Address - 0.0.0.0/0, Gateway - ISP2, Routing Mark - ISP2-rt
Sekarang bekerja dengan dua pembekal dikonfigurasikan dengan betul. Semua sambungan masuk ditanda dan respons kepada mereka dihantar melalui antara muka yang permintaan itu datang. Panggilan ke sumber tertentu diedarkan dan beban pada kedua-dua saluran adalah seimbang.
Artikel itu menerangkan arahan terperinci bagaimana untuk menyediakan tempahan saluran internet daripada dua operator mudah alih pada penghala Mikrotik.
|
Mikrotik akan menerima Internet daripada dua penghala terbina dalam Tandem-4GL-OEM. Penghala akan menggunakan dua kad SIM yang berbeza pengendali mudah alih. Salah satu pengendali akan digunakan sebagai saluran Internet utama, yang kedua - sebagai sandaran. Jika Internet hilang pada saluran utama, Mikrotik mesti menukar Internet ke saluran sandaran. Apabila saluran utama disambung semula, beralih secara automatik ke saluran utama. Hasilnya ialah saluran Internet yang sangat stabil daripada dua pengendali mudah alih, yang boleh digunakan di tapak terpencil di mana Internet 3G/4G digunakan. |
menarik:
|
Untuk Internet, kami menggunakan dua port penghala Mikrotik: 1 dan 5. Port ke-5 (POE keluar) mempunyai keupayaan untuk menghidupkan peranti pada kabel pasangan terpiuh (Power over Ethernet), jadi ia adalah mudah untuk menggunakannya; penghala Tandem-4GL-OEM mempunyai keupayaan untuk menghidupkan PoE.
Kedua-dua port akan dikonfigurasikan untuk menerima secara dinamik tetapan rangkaian melalui DHCP. Secara lalai, penghala Tandem-4GL-OEM mempunyai alamat IP mereka sendiri 192.168.1.1. Kami akan menggunakan 2 daripada penghala ini, jadi salah satu daripadanya perlu dikonfigurasikan ke subnet yang berbeza.
Untuk melakukan ini, sambungkan Tandem-4GL-OEM terus ke komputer anda dan pergi ke antara muka Web di 192.168.1.1. Pergi ke menu Rangkaian - Antaramuka - klik butang Edit antara muka LAN.
Daftar alamat IP baharu untuk penghala. Kita masukkan 192.168.2.1. Dalam kes ini, penghala akan secara automatik mengedarkan alamat IP yang sudah ada dalam subnet ini. Klik Simpan.
Mari kita teruskan ke menyediakan Mikrotik . Penghala dengan IP 192.168.2.1 akan saluran sandaran Internet, sambungkannya ke port pertama penghala Mikrotik. Port ke-5 dengan PoE akan menjadi Internet utama.
Lancarkan Winbox dan sambungkan ke penghala menggunakan alamat MAC. (ditulis pada penghala itu sendiri). Kata laluan lalai ialah pentadbir, tiada kata laluan ditentukan
Menggunakan program Winbox kami tetapkan semula konfigurasi kilang secara lalai, untuk mengkonfigurasi penghala MikroTik untuk dua pembekal dari awal:
- Buka menu Sistem - Tetapkan Semula Konfigurasi;
- Tandai kotak Tiada Konfigurasi Lalai;
- Klik Tetapkan Semula Konfigurasi.
Sambung semula ke Mikrotik menggunakan Winbox.
Mari kita sediakan Port LAN 2-4 dan Wi-Fi. Port ini akan digabungkan menjadi satu rangkaian tempatan. Untuk melakukan ini, kami akan mencipta antara muka Bridge dan menambah antara muka ethe2-ether4 dan wlan1 kepadanya.
Buka menu Jambatan, klik +, masukkan nama antara muka dalam medan Nama, dan klik OK.
Pergi ke tab Ports pada menu Bridge. Mari tambah semua port ether2-erher4 dan wlan1.
- Untuk melakukan ini, tekan +;
- Dalam senarai Antara Muka, pilih ether2;
- Dalam senarai Jambatan, pilih antara muka jambatan-tempatan, klik OK.
Ulangi operasi untuk port eter yang tinggal dan untuk Wi-Fi - wlan1.
Berikan alamat IP kepada antara muka jambatan:
- Buka menu IP - Alamat;
- Klik butang +;
- Dalam medan Alamat, masukkan alamat IP dan topeng rangkaian tempatan 192.168.88.1/24;
- Dalam senarai Antara Muka, pilih antara muka rangkaian tempatan jambatan, klik OK.
Menetapkannya pelayan DHCP rangkaian tempatan.
Untuk memastikan komputer yang disambungkan ke penghala menerima tetapan rangkaian secara automatik, kami akan mengkonfigurasi pelayan DHCP:
Buka menu IP - DHCP Server dan klik butang DHCP Setup
- Dalam tetingkap pertama, pilih antara muka jambatan, klik Seterusnya;
- Dalam tetingkap kedua, rangkaian untuk pengedaran DHCP dikonfigurasikan, biarkan ia tidak berubah, Seterusnya;
- Dalam tetingkap ketiga, alamat get laluan ditunjukkan, biarkan ia tidak berubah, Seterusnya;
- Julat alamat IP boleh dibiarkan tidak berubah, Seterusnya;
- Masa pajakan DHCP boleh dibiarkan tidak berubah, Seterusnya, OK.
Persediaan Wi-Fi
- Buka menu Wayarles;
- Klik pada antara muka wlan1 dan klik butang Dayakan (tanda semak biru).
Buat kata laluan untuk menyambung ke pusat akses MikroTik:
- Buka tab Profil Keselamatan dan lakukan Klik dua kali butang kiri tetikus secara lalai;
- Dalam tetingkap yang muncul, dalam senarai Mod, pilih kekunci dinamik;
- Tandai kotak di sebelah pendaftaran menggunakan protokol WPA2 PSK;
- Dalam medan Kunci Pra Kongsi WPA2, masukkan kata laluan untuk menyambung ke titik Wi-Fi; OKEY.
Menyediakan parameter Titik Wi-Fi MikroTik:
- Buka tab Antara Muka dan klik dua kali dengan butang kiri tetikus dihidupkan Antara muka Wi-Fi wlan1 untuk memasukkan tetapannya;
- Pergi ke tab Wayarles, dalam senarai Mod, pilih mod pengendalian ap bridge;
- Masukkan nama anda dalam medan SSID Rangkaian Wi-Fi, OKEY. Anda juga boleh mengkonfigurasi tetapan lain.
Menyediakan port Internet
Kami mengkonfigurasi port 5 untuk menerima tetapan rangkaian secara dinamik daripada pembekal melalui DHCP.
- Buka menu IP - DHCP Client;
- Klik butang Tambah (palang biru);
- Dalam tetingkap yang muncul, dalam senarai Antara Muka, pilih antara muka ether1;
- Tambah Laluan Lalai pilih Tidak; OKEY.
Mari kita lakukan perkara yang sama untuk port ether1
Menyediakan pertukaran saluran Internet antara dua pembekal
Untuk mengkonfigurasi penukaran saluran Internet antara dua pembekal, kami akan menggunakan Laluan dan utiliti Netwatch terbina dalam.
Kami akan mempunyai dua laluan yang boleh dilalui oleh trafik Internet. Semua trafik akan melalui penyedia pertama secara lalai.
Jika tiba-tiba sambungan akan terputus dengan penyedia 1, maka kita mengaktifkan laluan ke-2, dan semua trafik akan melalui penyedia ke-2.
Sebaik sahaja sambungan melalui penyedia pertama dipulihkan, kami menyahaktifkan laluan ke-2, dan semua trafik akan melalui penyedia pertama.
Utiliti Netwatch akan membantu anda melakukan ping alamat IP di Internet dan melaksanakan skrip jika alamat IP telah berhenti melakukan ping atau mula melakukan ping semula. Ia akan melakukan pengaktifan dan penyahaktifan laluan.
Mari tambah 2 laluan. Untuk melakukan ini, pergi ke menu IP - Laluan. Klik + untuk menambah laluan baharu
Masukkan parameter seperti dalam rajah dan klik butang Komen.
Dalam ruangan Komen masukkan ISP1. Ini adalah perlu untuk menentukan laluan apabila bertukar ke rizab dan kembali.
Klik OK dalam kedua-dua tetingkap, tambah laluan baharu sekali lagi dan ulangi langkah untuk Internet kedua.
- Dalam medan Gateway kita akan masukkan 192.168.2.1
- Dalam medan Jarak - 3
- Dalam Ulasan - ISP2
Mari tambah laluan untuk arahan ping. Tambah laluan baharu sekali lagi menggunakan butang +. Masukkan data seperti yang ditunjukkan dalam imej, klik Komen. Kami telefon antara muka Google, kerana Ini adalah alamat yang akan kami ping.
Tambah ke Peraturan firewall, yang akan melarang ping alamat IP 8.8.4.4 melalui pembekal ke-2. Jika tidak, utiliti Netwatch akan berfikir bahawa sambungan dengan pembekal pertama telah dipulihkan dan akan sentiasa menukar laluan dalam bulatan.
- Buka menu IP - Firewall dan pergi ke tab Peraturan Penapis;
- Klik butang +;
- Dalam senarai Rantaian, pilih Output;
- Dalam medan Dst. Alamat masukkan alamat pelayan 8.8.4.4;
- Dalam senarai Keluar. Antara muka pilih eter1;
- Pergi ke tab Tindakan;
Dalam senarai Tindakan, pilih Jatuhkan, klik OK.
Menyediakan skrip untuk bertukar kepada saluran sandaran
Netwatch akan menguji ketersambungan ke internet dengan melakukan ping ke pelayan Google dengan alamat IP 8.8.4.4. Sebaik sahaja pelayan berhenti melakukan ping, skrip akan dilaksanakan yang mengaktifkan laluan ke-2 dan trafik akan melalui penyedia ke-2. Sebaik sahaja sambungan melalui pembekal pertama dipulihkan, skrip lain akan dilaksanakan, yang akan menyahaktifkan laluan ke-2 dan trafik akan melalui pembekal pertama.
- Buka menu Alat - Jam Tangan Jaring;
- Klik butang tambah (tanda tambah biru);
- Dalam medan Hos, masukkan pelayan Google 8.8.4.4, yang utiliti akan ping;
- Dalam medan Selang, tentukan selang masa selepas pelayan akan ping, kami tetapkannya kepada 15 s.
- Pergi ke tab Bawah;
Pada tab Bawah, masukkan skrip daya laluan /ip
Skrip ini akan mengaktifkan laluan melalui pembekal kedua jika pelayan Google berhenti melakukan ping. Pergi ke tab Atas.
Pada tab Atas, masukkan skrip nyahdaya laluan /ip.
Skrip ini akan menyahaktifkan laluan melalui pembekal kedua jika sambungan melalui pembekal pertama dipulihkan. Klik OK.
Menyemak pertukaran Internet antara dua pembekal
Buka menu IP - Laluan. Laluan penyedia kedua mestilah kelabu, iaitu tidak aktif.
Putuskan sambungan kabel daripada pembekal pertama daripada penghala. Dalam Laluan, laluan penyedia kedua mesti diaktifkan.
Semak sama ada Internet tersedia. Sambung semula kabel dari Internet utama. Penukaran harus berlaku dalam masa 15 saat.
Untuk menjimatkan trafik, adalah dinasihatkan untuk meningkatkan masa ping daripada 1 minit.
Pilihan tempahan lain juga boleh dilakukan.
Failover - dalam bahasa Rusia, ini adalah tempahan saluran Internet, menukar sekiranya saluran Internet utama gagal kepada saluran sandaran.
Jadi kami mempunyai Mikrotik, 2 pembekal disambungkan kepadanya (ISP1 dan ISP2), dan rangkaian anda, adalah perlu untuk menukar secara automatik kepada sandaran apabila saluran Internet utama gagal.
1. Kaedah, failover dilakukan mengikut laluan, anda hanya perlu mendaftar dua laluan, satu ke ISP1 dan yang kedua ke ISP2, memilih ping atau arp dalam item "Semak Gerbang". Pada pendapat saya, ping lebih sesuai untuk kebanyakan kes. Dengan cara yang sama, daftarkan laluan kepada pembekal kedua. Paling mudah bagi saya untuk mengkonfigurasi Mikrotik menggunakan Winbox; laluan didaftarkan dalam menu IP-Routes.
Jika dalam Jarak anda tetapkan, sebagai contoh, 1 kepada satu pembekal dan 2 kepada yang kedua, maka Mikrotik akan mengimbangi beban secara automatik, apabila dimuatkan sepenuhnya daripada penyedia pertama, permintaan baharu akan pergi ke yang kedua.
Kaedah ini mempunyai beberapa batasan:
— Jika salah satu pembekal memberi anda IP dinamik dan tetapan datang melalui DHCP, maka anda tidak akan dapat mendaftarkan laluan dengan menyatakan nama antara muka; anda perlu memasukkan ip get laluan dalam medan “Gateway”.
— Kadang-kadang terdapat situasi apabila get laluan pembekal berfungsi, tetapi nod di belakangnya tidak tersedia, Mikrotik akan menganggap laluan itu berfungsi, penukaran tidak akan berlaku, dan Internet tidak akan berfungsi.
2nd Option Failover pada Mikrotik tanpa kelemahan kaedah pertama.
Mikrotik mempunyai Netwatch terbina dalam (terletak dalam menu Alat). Ringkasnya, utiliti ini membolehkan anda ping mana-mana ip dan melaksanakan arahan jika ketersediaan alamat ip berubah, dalam Atas kita masukkan arahan yang dilaksanakan apabila ip tersedia semula, dalam Bawah kita masukkan arahan yang perlu dilaksanakan apabila ip menjadi tidak tersedia.
Intipati jelas dari gambar, klik tambah biru, masukkan IP yang mana kita akan menyemak prestasi saluran, selang ujian, saya tetapkan kepada kira-kira satu minit, kurang atau lebih boleh dilakukan.
Ya, anda mesti menetapkan ulasan untuk laluan dahulu. Paling mudah bagi saya untuk menyediakan Mikrotik melalui Winbox, untuk menetapkan ulasan untuk laluan, pergi ke IP-Routes, tetingkap akan dibuka dengan senarai laluan, butang untuk menetapkan ulasan dibulatkan, pilih laluan yang dikehendaki, klik pada butang, masukkan komen untuk laluan, klik ok.
Gambar menunjukkan skrip berfungsi, laluan ke ISP2 (Saya mempunyai Utel) tidak aktif, ia berwarna kelabu, dan laluan ke ISP1 (Saya mempunyai Stels) aktif. Di bawah anda boleh melihat laluan dengan komen Stels88, ini perlu supaya ping ke 8.8.4.4, yang kami gunakan dalam skrip, datang hanya dari ISP1, ini perlu untuk memantau prestasi ISP1, ping adalah baik, jika tiada respons kepada ping, maka anda perlu bertukar kepada ISP2 . Bagaimana ini dilakukan boleh dilihat dalam gambar di bawah:
Di bahagian UP kami menulis:
/ip laluan ditetapkan disabled=no
/ip laluan ditetapkan dilumpuhkan=ya
Di bahagian Bawah kami menulis:
/ip laluan ditetapkan dilumpuhkan=ya
/ip laluan ditetapkan disabled=no
Agar skema berfungsi dengan betul, anda perlu membenarkan IP ini ping hanya dari ISP1, untuk ini adalah dinasihatkan untuk menambah peraturan pada IP-Firewall yang melarang akses kepada 8.8.4.4 daripada ISP2, dan mendaftar laluan statik kepada 8.8.4.4 melalui gerbang ISP1 (dalam mod biasa Ini tidak akan berfungsi jika ISP1 mengeluarkan IP dinamik dan anda perlu menulis skrip yang akan menentukan IP get laluan dan mendaftarkan laluan).
Penaja artikel:
Tutorial MikroTik - teori dan amalan dalam format video.
Dalam kursus video "" anda akan belajar cara mengkonfigurasi penghala dari awal untuk tujuan tersebut pejabat kecil. Kursus ini berdasarkan program rasmi MikroTik Certified Network Associate, tetapi ia berkembang dengan ketara, terutamanya dari segi menyatukan pengetahuan dalam amalan. Kursus ini merangkumi 162 pelajaran video dan 45 kerja makmal, digabungkan menjadi spesifikasi teknikal. Jika ada yang kurang jelas, anda boleh bertanya soalan kepada pengarang kursus. 25 pelajaran pertama boleh ditonton secara percuma, borang pesanan boleh didapati di
