admin / 30.12.2017

Mikrotik IPsec и EoIP — объединяем офисы — Делюсь опытом

.

Иногда так бывает, когда нам нужно объединить несколько офисов в одну локальную сеть.
Сделать это можно разными способами. Опишу несколько способов.
1. VALN
2. EOIP (поверх интернет канала или поверх VPN)

1. Рассмотрим вариант объединения сетей используя Vlan (802.1q)
Давайте рассмотрим ситуацию. ДАНО:
Локальная сеть (ether2 — master port ,ether4,5,6 — slave (номера портов)) ip — 192.168.10.0/24
VLAN — подаётся без тега, на отдельный порт (Ether3) — подсети ещё нет. Во влане находятся другие точки/кабинеты
Задача: Сделать одну подсеть.
Решение:
ВАРИАНТ VLAN 1:: Добавляем у порта ether3 мастер портом ether2

На удалённо точке может стоять даже обычный не управляемый свитч, или просто одиночный пк. Если конечно ваш оператор или вы подаёте влан без тега 🙂
После этого всё должно будет заработать.

ВАРИАНТ VLAN 2:
Локальная сеть (ether2 — master port ,ether4,5,6 — slave (номера портов)) ip — 192.168.10.0/24
Дано — несколько valn для каждого из кабинетов/офисов, вланы подаются в на один из портов в теге.
Решение: Создаём на основном интерфейсе valn интерфейсы с нужными id и добавляем их в bridge с портом ether2 -master.

Для этого переходим на вкладку Bridge. создаём новый (если не создан), переходим на вкладку ports в разделе bridge, добавляем порты ether2 и vlan. Внимание, не добавляйте туда порт, с которого приходят влан интерфейсы, это может вызвать кольцо.
======================
Реальная ситуация.
Когда-то было подключение к оператору, который предоставлял услугу vlan (L2 сегмент по городу). На все точки приходил один и тот же vlan, от коммутатора оператора было подключение к микротик порт ether3. У ether3 был master-port — ether2, который входил в бридж. Таким образом все офисы были в одной локальной сети.
Далее потребовалось сделать на каждую точку свой vlan.
Новые вланы подавались в теге, на тот же порт, что и старый влан без тега.
Новые вланы (vlan1,vlan2) были добавлены в бридж и связь со стороны оператора пропала 🙂 т.к коммутатор посчитал, что со стороны клиента пришло кольцо.

Решилось это исключением порта ether3 из бриджа, путём удаления мастер-порта. Первый влан, который изначально был без тега — так же надо подать в теге и в бридж добавлять ТОЛЬКО vlan интерфейсы
———————-

2.

Ближайший курс

Объединение офисов поверх EOIP
По сути, EoIP является L2-каналом, который строится поверх L3-среды. Главное условие — адреса обеих сторон должны быть известны. Подробнее, что это и как настроить можно прочитать тут
Главное, что нужно помнить:
1. EoIP не работает через NAT. IP обеих сторон должны быть маршрутизируемы (т.е реальники или фейки, но в рамках одной сети). Иначе смотри пункт 2.
2. Если у вас есть реальный или маршрутизируемый серый (фейковый) IP только на одной точке, придётся сначала создать VPN тунель, а внутри тунеля создавать EoIP
2. EoIP использует GRE в качестве транспорта, так что нужно следить за MTU. (в моей сети это 1468)
3. Каждому l2-каналу, который вы хотите пробросить с помощью eoip, должен соответствовать свой тоннель. Один влан — один eoip-интерфейс, иначе делайте маршрутизацию через EoIP
4. Tunnel-id должен совпадать на обоих концах тоннеля и быть уникальным в рамках одного устройства (использование двух eoip-тоннелей с один tunnel—id, но разными соседними точками недопустимо).

Рассмотрим ситуацию, когда нам надо создать EoIp имея только один IP, который находится не за NAT (реальный или фейк).

1. Создаём VPN подключения между точками, например как тут. Сервером выступает точка с реальным IP, клиентом — точка с Ip за NAT.
1.1 Точка «сервер» будет иметь IP 172.16.3.1 Если у вас прямое соединение, т.е у обоих микротиков реальные IP, заменить данный адрес на реальник.
1.2 Точка «клиент» будет иметь IP 172.16.3.2. Если у вас прямое соединение, т.е у обоих микротиков реальные IP, заменить данный адрес на реальник.
2. Создаём сам EoIP тунель
2.1 На точке «клиент»

interface eoip add name=»eoip100″ tunnel-id=100 remote-address=172.16.3.1 disable=no

2.2 На точке «сервер»

interface eoip add name=»eoip100″ tunnel-id=100 remote-address=172.16.3.1 disable=no

2.3 Так же при создании в RouterOS  в версиях 6.х можно добавить необязательный параметр Ipsec Key.

Создаём бридж на первой и на второй точке. Если он уже создан и на первой и на второй точке — то просто пропускаем.

interface bridge add name=»bridge100″

Добавляем на каждой точке EoIp интерфейс в бридж.

interface bridge port add interface=»eoip100″ bridge=»bridge100″

После выполнения команды у вас будет L2 сегмент поверх L3.
Есди вы хотите сделать одну подсеть, например, то можно на роутере 2 или 1 удалить настройки IP для BRIDGE, а так же отключить DHCP сервер.
Конечно делать так не стоит 🙂 Иначе весь трафик с одной точки будет идти через лругую, даже выход пользователей в интернет.
Но мало ли какие преследуются цели.

Проверенно в целях эксперимента. Я бы не рекомендовал использовать такую конструкцию. Лучше всего разделить всё на разные сегменты, а связность сделать при помощи маршрутизации. И тут есть как минимум несколько ЗА:
1. Ограничение широковещательного домена
2. Возможность простого и понятного контроля над полосой, которую может занимать конкретный хост
3. Возможность фильтрации трафика между сетями (например запрет на доступ каких то IP к другим хостам в сети)

Запись опубликована в рубрике Mikrotik с метками Eoip через vpn, объединить офисы, создание бридж. Добавьте в закладки постоянную ссылку.

Расширенные настройки Mikrotik RouterOS: два внешних канала от одного провайдера

MikroTik — Настройка нескольких провайдеров.

Очень часто ко мне обращаются с просьбой помочь в настройке двух и более провайдеров на одном устройстве.

Это статья посвящена только, настройке MikroTik на работу с двумя провайдерами.

Начнём конечно же с вводных данных, а именно нарисуем нашу схему сети.

Настроим IP адреса на интерфейсах

Настроим NAT на интерфейсах провайдера

Нам необходимо на маршрутизаторе обозначить соединения, которые пришли на каждый интерфейс отдельного провайдера.

Для трафика, который генерирует сам MikroTik по этим соединениям необходимо отправить в таблицу маршрутизации, которая будет отправлять трафик с того же интерфейса.

Создадим правила mangle для первого провайдера

Создадим правила mangle для второго провайдера

MikroTik с именованными таблицами маршрутизации работает по следующему принципу (Если маршрут в именованной таблице не найден, то ищем в таблице main), данное поведение не работает только с VRF, но это далеко за пределами данной статьи.

Нам необходимо гарантировать, что трафик уйдёт только с нужного интерфейса, ну а если не сможет (неактивный интерфейс), то от бросится самим маршрутизатором.

Создадим правила Route для первого провайдера

Создадим правила Route для второго провайдера

Осталось дело за малым. Настроить таблицу маршрутизации для двух провайдеров.

Создадим маршруты для наших провайдеров

На этом этапе хотелось бы закончить, но вот незадача, у нас нету маршрута, под который бы попадал трафик самого MikroTik. (например, если маршрутизатор запросит DNS или обновления)

Ну и добавим изюминки будем следить за состоянием каналов с помощью рекурсивных маршрутов.

Добавим два адреса через которых мы будем строить рекурсивные запросы.

Я для этих целей использую Google DNS

Ну и собственно сами рекурсивные маршруты, обратите внимание на target-scope

Если вы всё правильно сделали, то в маршрутах вы должны увидеть что-то вроде

8.8.8.8 recursive via 1.1.1.1

Ну и собственно сами рекурсивные маршруты, обратите внимание на target-scope

Добавленно 29.12.2016

И так вроде всё хорошо и всё работает, но возникает ситуация, когда необходимо настроить разные IP туннели, например, GRE или IPIP с разных провайдеров, для этого нам необходимо указывать src адрес необходимого нам провайдера, но как мы все помним стандартный алгоритм выбора маршрута базируется на выборе адреса назначения (dst).

Нам необходимо сделать несколько действий.

Для начало добавить список bogon адресов, они нам необходимы для того чтобы исключить трафик в локальную сеть.

И для каждого провайдера необходимо сделать по одному правилу. Для моей конфигурации они будут выглядеть так.

Добавленно 22.01.2017

Ну что же остался только один вопрос, как теперь настроить так чтобы NAT (проброс портов) работал корректно, иначе грош цена всей этой болтовне.

Проблема заключается в том, что, пробрасывая порт, трафик уже от хоста, на который пробрасывали порт, будет уходить в маршрут по умолчанию 0.0.0.0/0 в таблице main.

Нас конечно такой расклад не устраивает и будет настраивать RouterOS так чтобы он гарантированно направлял трафик обратно в тот же провайдер, с которого и прилетел.

Для начала нам понадобится промаркировать соединение, которое попадает под NAT.

И для второго провайдера.

Разберём, что мы тут делаем, собственно.

Так как цепочку input мы уже использовали на этом интерфейсе, то остаётся только prerouting именно в эту цепочку попадёт весь трафик, который будет попадать под правила NAT, данный коннект мы просто будем маркировать с именем Forward/ISP1.

Вторым правилом, мы выбираем весь трафик который идёт по маркированному соединению и не приходит с того же интерфейса что и провайдер, это необходимо для того чтобы правило не применилось уже к новому трафику. И такой трафик отправляем в именованную таблицу маршрутизации нужного нам провайдера.

Ну что же теперь вы можете спокойно настроить двух и более провайдеров, а также настроить NAT и пробросить порты до ваших локальных сервисов.

Контакты

vasilevkirill.com
г. Санкт-Петербург
Т:+7 (905) 207-3578

Мы работаем ежедневно с 10:00 до 18:00

Васильев Кирилл
me@vasilevkirill.com

Глава 1.2. Настройка подключения PPPoE к провайдеру (через winbox).

1.2.1. Идем в «PPP» на вкладку «Interfaces», нажимаем значок «+» и в меню выбираем «PPPoE Client».

1.2.2. В появившемся окне вводим следующие настройки:

Вкладка «General»:
— Name: название подключения. Можно оставить по умолчанию (pppoe-out1) или изменить как вам нравится. Кириллицу использовать не рекомендуется.
— Max MTU и Max MRU: поищите в инструкции, которую вам должен был выдать провайдер. Если не найдете — оставляйте по умолчанию.
— Interfaces: выбираем порт, который подключен к сети провайдера (по умолчанию ether1-gateway).

Вкладка «Dial-Out»:
— Service: обычно эта информация выдается провайдером, поищите в договоре или в инструкции по настройке. Если не указать здесь ничего, то Mikrotik будет пытаться установить связь с любым доступным PPPoE-сервером.
— User: ваше имя пользователя, которое вы согласовали с провайдером или которое вам выдал провайдер.
— Password: ваш пароль доступа к сети провайдера.
— Profile: профиль безопасности. Если шифрование для вас не важно, можно оставить default, если обязательно — нужно переключить на default-encruption. Если не уверены, что выбрать — узнайте у провайдера, используется ли шифрование.
— Dial on Demand: установите этот флажок, если вы хотите, чтобы Mikrotik подключался к провайдеру только если с одного из ваших устройств запрошено подключение к интернет. И держал соединение отключенным, если выход в интернет никому не требуется.
— Add Default Route: использовать ли шлюз, предоставляемый провайдером, в качестве шлюза по умолчанию. По умолчанию включено и должно быть включено, если вы используете это подключение для доступа к интернет.
— Use Peer DNS: использовать ли предоставляемые провайдером адреса DNS-серверов. Если вы хотите использовать адреса, предоставляемые провайдером и не планируете использовать альтернативные DNS (либо использовать провайдерские вместе с альтернативными), то включите этот флажок.
— Allow: если в выданных провайдером настройках не указаны протоколы авторизации, то можно оставить без изменений. Если указаны, то оставьте только указанные провайдером. Большинство провайдеров используют mschap2.

Вкладки Status и Trafic информационные и на них ничего настраивать не нужно.

Для проверки доступности PPPoE-сервера провайдера можно использовать кнопку PPPoE Scan, расположенную справа.

Обязательно нажимаем «OK» для сохранения настроек и идем дальше.

1.2.3. Идем в «IP», затем «Firewall» и переходим на вкладку «NAT».

Если у вас здесь стоят настройки по умолчанию, то их нужно изменить следующим образом: в пункте «Out Interface» выбрать только что созданный и названный вами интерфейс PPPoE (если вы использовали имя по умолчанию, то «pppoe-out1»).

На этом настройка подключения PPPoE завершена.

Глава 1.3. Настройка Mikrotik для доступа в интернет по PPPtP VPN (через winbox). L2TP настраивается аналогично.

1.3.1. Идем в «PPP» на вкладку «Interfaces», нажимаем значок «+» и в меню выбираем «PPTP Client» (или «L2TP Client», в случае если будет использоваться L2TP) .

1.3.2. В появившемся окне вводим следующие настройки:

Вкладка «General»:
— Name: название подключения. Можно оставить по умолчанию (pptp-out1) или изменить как вам нравится. Кириллицу использовать не рекомендуется.
— Max MTU и Max MRU: поищите в инструкции, которую вам должен был выдать провайдер. Если не найдете — оставляйте по умолчанию.

Вкладка «Dial-Out»:
— Connect To: вводим IP-адрес или доменное имя PPTP-сервера провайдера, которое выдал вам провайдер для настройки подключения.
— User: ваше имя пользователя, которое вы согласовали с провайдером или которое вам выдал провайдер.
— Password: ваш пароль доступа к сети провайдера.
— Profile: профиль безопасности. Если шифрование для вас не важно, можно оставить default, если обязательно — нужно переключить на default-encruption. Если не уверены, что выбрать — узнайте у провайдера, используется ли шифрование.
— Dial on Demand: установите этот флажок, если вы хотите, чтобы Mikrotik подключался к провайдеру только если с одного из ваших устройств запрошено подключение к интернет. И держал соединение отключенным, если выход в интернет никому не требуется.
— Add Default Route: использовать ли шлюз, предоставляемый провайдером, в качестве шлюза по умолчанию. Должно быть включено, если вы используете это подключение для доступа к интернет.
— Allow: если в выданных провайдером настройках не указаны протоколы авторизации, то можно оставить без изменений. Если указаны, то оставьте только указанные провайдером. Большинство провайдеров используют mschap2.

Вкладки Status и Trafic информационные и на них ничего настраивать не нужно.

Обязательно нажимаем «OK» для сохранения настроек и идем дальше.

1.3.3. Идем в «IP», выбираем «Firewall» и переходим на вкладку «NAT».
Если у вас здесь стоят настройки по умолчанию, то их нужно изменить следующим образом: в пункте «Out Interface» выбрать только что созданный и названный вами интерфейс PPPTP (если вы использовали имя по умолчанию, то «pptp-out1»). Нажимаем «OK».
На этом настройка подключения PPTP завершена.

Глава 1.4.

Настройка Mikrotik для работы с несколькими локальными подсетями (через winbox).
Для чего это нужно? Например, вы администратор небольшой локальной сети, состоящей из нескольких сегментов. Либо вы хотите свою домашнюю сеть разбить на две части, одну с полным доступом к любым интернет-ресурсам, другую с ограниченным доступом, например для детей (это можно сделать и другими способами, но сейчас мы рассмотрим именно вариант разделения с помощью подсетей).
Имеется:
— уже настроенное и работающее подключение к интернет.
— кабель провайдера подключен к порту №1 (ether1-gateway).
— кабели от устройств первой подсети подключены к портам №2,3 (ether2-master-local, ether3-slave-local). Эта подсеть будет иметь дефолтные адреса 192.168.88.0/24. Компьютер, с которого производится настройка, подключен к одному из этих портов.
— кабели от устройств второй подсети подключены к портам №4,5 (ether4-slave-local, ether5-slave-local). Эта подсеть будет иметь адреса 192.168.89.0/24.

1.4.1. Первое, что нужно сделать, это вывести порты N4,5 из состава внутреннего свича, чтобы назначить им настройки другой подсети. Для этого идем в «Intarfaces» на вкладку «Interface» и открываем настройки нужного порта (например ether4-slave-local).
Вкладка General:
— Name: для удобства изменяем имя порта, например на «ether4-net89-local».
— MTU: без необходимости не трогаем.
— ARP: enabled. Разрешаем работу через этот порт протоколу ARP.
— Master Port: none. Выводим этот порт из свича.
Остальные настройки без необходимости не меняем.
Не забываем сохранять настройки, нажав «OK».

Проделываем эту-же процедуру для порта ether5-slave-local, переименовываем его соответственно в «ether5-net89-local».

1.4.2. Порты выведены из свича, теперь нужно создать между ними мост для того, чтобы эти порты работали как отдельный свич и пропускали трафик внутри подсети.
Идем в «Bridge» на вкладку «Bridge» и создаем новый мост между портами, нажав «+».
— Name: имя моста, например «net89».
— MTU: без необходимости не трогаем.
— ARP: enabled.

Разрешаем работу через мост порт протоколу ARP.
Нажимаем «OK» и переходим к вкладке «Ports», где нужно указать, какие именно порты будут участвовать в этом мосте. Нажимаем «+».
— Intarface: выбираем порт, который нужно добавить в мост, например «ether4-net89-local».
— Bridge: выбираем созданный нами «net89».
Остальные настройки без необходимости не трогаем. Для других портов, которые также планируется использовать в этой подсети, повторяем процедуру, указывая их имена (в нашем примере повторяем для «ether5-net89-local»).

1.4.3. Теперь необходимо для этого моста назначить IP-адрес, чтобы устройства этой подсети могли работать с Mikrotik и с интернет. Идем в «IP» — «Addresses» и нажимаем «+».
— Address: назначаем IP-адрес, в нашем примере 192.168.89.1/24
— Network: это поле можно не заполнять, сюда будет автоматически вставлено значение 192.168.89.0.
— Interface: здесь выбираем созданный нами мост «net89».
Сохраняемся.

1.4.4. Если вам необходимо, чтобы устройства из этой подсети получали IP-адреса и настройки автоматически, то необходимо настроить отдельный DHCP-сервер. Если адреса будут динамическими, то начинаем настройку с настройки пула адресов. Если адреса планируется использовать только статические, то создание пула можно пропустить и перейти сразу к пункту 1.4.5.
Для создания пула динамических адресов, идем в «IP» — «Pool», здесь мы видим пул адресов нашей первой подсети 192.168.88.0, нам нужно создать аналогичный для подсети 192.168.89.0. Нажимаем «+».
— Name: назовем например «pool89».
— Addresses: например выделим 151 IP-адрес, «192.168.89.100-192.168.89.250».
— Next Pool: если сервер должен выдавать аддреса только из этого диапазона, то «none».
Сохраняемся.

1.4.5. Задаем настройки подсети, которые будут выдаваться устройствам. Для этого идем в «IP» — «DHCP Server» и переходим на вкладку «Networks». Нажимаем «+».
— Address: Адрес подсети, в которой будет работать этот DHCP-сервер. «192.168.89.0/24»
— Gateway: адрес Mikrotik в этой подсети, «192.168.89.1».
— DNS Servers: указываем адрес Mikrotik «192.168.89.1» и при необходимости дополнительные серверы, например провайдерские, OpenDNS или Google DNS.
Сохраняемся.

1.4.6. Создаем и включаем собственно сам DHCP-сервер. Для этого в «IP» — «DHCP Server» переходим на вкладку «DHCP» и нажимаем «+».
— Name: имя сервера, например «server89».
— Interface: выбираем наш мост «net89».
— Lease Time: на сколько времени будет назначаться устройствам IP-адрес. По умолчанию трое суток.
— Address Pool: для динамических адресов (если был создан пул в пункте 1.4.4) указываем название этого пула «pool89». Если пул не создавали, оставляем «static-only».
Остальные настройки в большинстве случаев можно оставить по умолчанию. Сохраняемся.

На этом всё, мы получили 2 подсети с адресами «192.168.88.0/24» и «192.168.89.0/24», с которыми можно работать по отдельности (например в Firewall), настроили для новой подсети DHCP. Если всё сделано правильно, то сразу должна работать маршрутизация между этими двумя подсетями и обе подсети должны иметь доступ в интернет.

Глава 1.5. Настройка Mikrotik для работы с несколькими провайдерами (через winbox). Вариант резервирования каналов.
Имеется:
— Провайдер1, подключен к порту №1, настроено и проверено подключение к интернет. Это подключение будет основным.
— Провайдер2, подключен к порту №3, порт выведен из свича, настроено и проверено подключение к интернет (как вывести порт из свича, смотрите в п. 1.4.1). Это подключение будет резервным.
— Порт №2 (ether2-master-local) — мастер порт внутреннего свича, оставляем его так для минимизации изменений настроек.
— Устальные порты настроены как slave (по умолчанию).
— Устройства локальной сети можно подключеть к любым портам, кроме 1 и 3.

1.5.1. Если у вас статические IP-адреса от обоих провайдеров, то простейшая настройка резервирования сводится к установке приоритетов маршрутов на первого и второго провайдера. Идем в «IP» — «Routes» и для маршрута на Провайдера1 указываем следующие настройки:
— Dst. Address: оставляем без изменений.
— Gateway: без изменений.
— Check Gateway: ping
— Type: unicast
— Distance:5
Остальное без изменений. В настройках маршрута на Провайдера2 указываем аналогичные настройки, за исключением «Distance: 10».
При такой схеме весь трафик будет идти через Провайдера1, канал на Провайдера 2 будет резервным. Шлюзы обоих провайдеров будут периодически пинговаться, и при недоступности шлюза Провайдера1 маршрут на него будет отключен, а трафик пойдет по маршруту на Провайдера2.

1.5.2. Если у вас динамические IP-адреса (DHCP), то необходимо зайти в «IP» — «DHCP Client» и в настройках Провайдера1 указать «Default Route Distance: 5», а в настройках Провайдера2 «Default Route Distance: 10». Эффект будет таким-же, как и в предыдущем пункте. Проверка доступности шлюзов в этом случае осуществляется автоматически.

1.5.3. Если у вас какой-либо из вариантов PPP-подключения (PPPoE, PPTP, L2TP) либо разные провайдеры используют подключения разных типов, то необходимо в настройках VPN-подключений отключить автоматическое добавление шлюза по умолчанию (параметр Add Default Route), маршруты создать вручную и настроить как в п. 1.5.1, только в качестве шлюза указывать имя соответствующего PPP-интерфейса.

Глава 1.6. Настройка Mikrotik для работы с несколькими провайдерами. Равномерное или кратное распределение трафика.

Сразу хочу предупредить, что данный вариант обладает некоторыми очень существенными недостатками, которые на практике делают его применение не имеющим смысла. Основной недостаток состоит в том, что трафик от каждого локального пользователя распределяется на все внешние каналы (в интернет). В итоге все протоколы, имеющие привязку к IP-адресу, работают некорректно, так как внешний («белый») IP пользователя постоянно меняется. Поэтому привожу его просто в качестве примера реализации.
Данный способ также не работает без использования сложных скриптов при подключении к провайдерам по DHCP, так как маршрут в интернет настраивается вручную, а при смене IP-адреса и шлюза требует соответствующей корректировки.

1.6.1. Сначала необходимо отключить автоматическое добавление маршрутов в интернет, если оно у вас включено.

1.6.2. Создаем новый маршрут в интернет:
«IP» — «Routes» — «+»
— Dst. Address: 0.0.0.0/0
— Gateway: здесь необходимо указать шлюз первого провайдера или имя первого подключения PPP.
Нажимаем стрелку вниз напротив поля «Gateway», открывается еще одна строка для ввода шлюза.
— Gateway: здесь необходимо указать шлюз второго провайдера или имя второго подключения PPP.
В итоге должно получиться примерно как на скриншоте. В данном примере доступность шлюзов дополнительно проверяется при помощи Ping, маршрутизация на недоступный шлюз будет автоматически отключена, а весь трафик пойдет через доступный.

1.6.3. Неравномерное (кратное) распределение трафика делается подобным образом.
В данном примере распределение трафика между шлюзами будет составлять примерно 1:2.

Глава 1.7. Настройка Mikrotik для работы с несколькими провайдерами. Распределение трафика на основе групп локальных IP-адресов, подсетей, портов и т.п.

Так как в этом способе пользователь или устройство, или их группа (IP-адрес, подсеть, порт, VLAN и т.п.) привязывается к определенному внешнему интерфейсу (в интернет), то он имеет свои преимущества и недостатки. Среди преимуществ корректная работа всех протоколов (поскольку внешний IP пользователя или группы не меняется в процессе работы). Среди недостатков — невозможность добиться равномерного или кратного распределения нагрузки на внешние каналы в каждый момент времени, так как трафик от каждого конкретного пользователя не является константой.

Помогите новичку настроить микротик на два провайдера

Для работы с типом подключения DHCP — необходимы дополнительные скрипты, которые будут обрабатывать изменение IP-адреса и адреса шлюза.
Данный способ состоит из двух основных частей:
— Маркировка маршрута
— Назначение промаркированного маршрута шлюзу.

1.7.1.1. Пример маркировки для распределения трафика на основе групп IP-адресов.
Для начала необходимо создать группы и добавить в них IP-адреса. Это делается в «IP» — «Firewall» — «Address List» — скриншот слева.

Получаем две группы IP-адресов, «Buhgalteria» и «Otdel_Marketinga». Теперь необходимо промаркировать их трафик для отправки через разные внешние каналы. Идем в «IP» — «Firewall» — «Mangle».
Вкладка General:
— Chain: prerouting
Вкладка Advanced:
— Src. Address List: выбираем нужную группу, например «Buhgalteria».
Вкладка Action:
— Action: Mark Routing
— New Routing Mark: задаем условное имя маршрута, например «to_provider1».
— Passthrough: если предполагается еще какая-либо обработка трафика, то ставим птичку, если нет — убираем.

Аналогичным образом маркируем маршрут для второй группы «Otdel_Marketinga», задав New Routing Mark: to_provider2

Примечание: добавлять IP-адрес в какую-либо группу можно непосредственно из DHCP-сервера, если вы используете назначение постоянных адресов (Static IP).

1.7.1.2. Пример маркировки для распределения трафика на основе подсетей.
Допустим, имеется две подсети, которые были нами созданы в Главе 1.4. Необходимо промаркировать их трафик для отправки через разные внешние каналы. Идем в «IP» — «Firewall» — «Mangle».
Вкладка General:
— Chain: prerouting
— Src. Address: вводим адрес нашей первой подсети 192.168.88.0/24
Вкладка Action:
— Action: Mark Routing
— New Routing Mark: задаем условное имя маршрута, например «to_provider1».
— Passthrough: если предполагается еще какая-либо обработка трафика, то ставим птичку, если нет — убираем.

Аналогичным образом маркируем маршрут для второй подсети 192.168.89.0.24, задав New Routing Mark: to_provider2

1.7.1.3. Маркировка на основе портов или VLAN осуществляется способом, схожим с п.1.7.1.2., только вместо «Src. Address» необходимо использовать «In. Interface» и выбрать необходимый интерфейс.

1.7.2. Распределение промаркированного трафика на разные интерфейсы.
Сначала необходимо отключить автоматическое добавление маршрутов в интернет, если оно у вас включено.
Затем идем в IP — Firewall — Route и проверяем, что маршруты на 0.0.0.0/0 отсутствуют. Создаем новый маршрут:
— Dst. Address: 0.0.0.0/0
— Gateway: здесь указываем шлюз первого провайдера либо название интерфейса (в случае PPP-подключения).
При необходимости можно добавить проверку доступности шлюза при помощи ping или arp.
— Distance: 3
— Routing Mark: выбираем «to_provider1»

Аналогичным образом создаем правило для второго провайдера, указав соответственно его Gateway и выбрав маркировку маршрута «to_provider2».

1.7.3. Обработка отказа одного из внешних каналов.
В случае отказа одного из внешних каналов, добавляем резервные маршруты согласно Главе 1.5.

MikroTik два провайдера.

Есть офис со статическим внешним IP, к нему надо подключить 2+ офисов (динамические адреса), как сделать так чтобы трафик ходил во все стороны?

Головной Офис (ГО):
RouterOS v6.27
192.168.0.0/24
l2tp server:
l2tp1: Local Address 10.0.16.9, Remote Address 10.0.16.10
l2tp2: Local Address 10.0.16.11, Remote Address 10.0.16.12
ip-routes
192.168.88.0/24 gateway 10.0.16.10
192.168.2.0/24 gateway 10.0.16.12

Офис 1 (О1):
RouterOS v6.31
192.168.88.0/24
l2tp client
192.168.0.0/24 gateway 10.0.16.9

Офис 2 (О2):
RouterOS v6.31
192.168.2.0/24
l2tp client
ip-routes
192.168.0.0/24 gateway 10.0.16.11
192.168.88.0/24 gateway 10.0.16.11

Будем считать что Filter Rules все на accept

Трафик подсетей ГО <-> О1, ГО <-> О2 ходит нормально, а вот О2 -> О1 не проходит.

Прошу помочь, по факту нужно чтобы из всех сетей был доступен один комьютер в О1 (пусть будет 192.168.88.200), но самому хотелось бы знать еще как сделать чтобы в целом трафик можно было пускать между всеми офисами.

bogdan-zuy

FILED UNDER : IT

Submit a Comment

Must be required * marked fields.

:*
:*