Объединение локальных сетей на оборудовании Mikrotik. Два роутера в одной сети mikrotik


Объединение локальных сетей на оборудовании Mikrotik

Одной из довольно распространенных задач, встающих перед администраторами сетей, например на предприятиях, является задача по объединению двух различных сетей, с полноценной маршрутизацией.

Если в качестве маршрутизаторов для этих сетей, используются оборудование компании Mikrotik, то реализация этой задачи, не займет много времени.

Предположим, что у нас есть две локальные сети. 192.168.0.0/24 и 192.168.2.0/24, частью которых, являются роутеры под управлением Mikrotik RouterOS, с IP адресами 192.168.0.1 и 192.168.2.1 соответственно. Для объединения их в одну маршрутизируемую сеть, в качестве передающей среды, мы будем использовать виртуальную сеть VLAN, где в качестве шлюза для соседней сети, будет использоваться соответствующий интерфейс имеющий адрес с сетевой маской /32. Топологически, это будет выглядеть так:

Топология объединения двух сетей

Предположим, что мы соединили оба роутера RouterBoard Mikrotik через порты ether5.

Начнем настройку с Router A, который работает в сети 192.168.0.0/24, и имеет IP адрес 192.168.0.1.

Первое, что мы делаем, это создаем виртуальную сеть VLAN. Открываем раздел Interfaces и переходим на вкладку VLAN. Добавляем новую запись с такими параметрами: Name - можем оставить без изменений vlan1, VLAN ID - 2, ставим 2 или любое другое число. И Interface - ether5, так как мы решили, что роутеры у нас будут объединены портами №5.

создание виртуального интерфейса routeros

Далее в разделе IP Addresses мы добавляем новый адрес для только что созданного виртуального интерфейса. В поле Address мы вписываем IP нашего роутера с маской /32 - 192.168.0.1/32, в поле Network мы указываем IP второго роутера Router B - 192.168.2.1 и в качестве интерфейса, выбираем vlan1.

присвоение IP адреса виртуальному интерфейсу

Последнее, что нам надо сделать, это добавить новый маршрут в разделе IP Routes.

Здесь на вкладке Routes, добавляем новое правило маршрутизации, где в качестве Dst.Addresses мы укажем префикс соседней сети - 192.168.2.0/24, а в качестве Gateway - 192.168.2.1, IP адрес соседнего роутера.

добавление новой записи маршрутизации

На этом настройку Router A, можно считать законченной. Переходим к настройке второго роутера Router B. В принципе, нам надо сделать точно такие же операции, только с другими IP адресами.

Открываем раздел Interfaces и на вкладке VLAN, добавляем новую запись с такими же параметрами, как и в первый раз. Name - оставляем без изменений vlan1, VLAN ID - 2, должен совпадать с этим же значением Router A, и Interface - ether5.

создание виртуального интерфейса

Как и в первом случае, следующий шаг, это назначение IP адреса для интерфейса vlan1. В разделе IP Addresses, добавляем новый адрес. В поле Address мы вписываем IP нашего роутера с маской /32 - 192.168.2.1/32, а вот в поле Network мы указываем IP первого роутера Router A - 192.168.0.1, в качестве интерфейса, выбираем vlan1.

присвоение IP адреса виртуальному интерфейсу

И закончим настройку, добавлением нового маршрута. В разделе IP Routes, на вкладке Routes, добавляем новое правило маршрутизации, где в качестве Dst.Addresses мы укажем префикс соседней сети - 192.168.0.0/24, а в качестве Gateway - 192.168.0.1, IP адрес первого роутера.

добавление новой записи маршрутизации

Теперь наши две сети объединены и мы можем иметь доступ с одной сети к ресурсам другой.

Алексей С., специально для LanMarket

lanmarket.ua

MikroTik как два роутера с одним аплинком — IT Blog

Понадобилось как-то MikroTik RB2011iLS-IN поделить на два отдельных маршрутизатора чтобы подключить двух абонентов, при том чтобы аплинк был один с двумя разными IP.Решил эту задачу прокинув к MikroTik два VLAN, в каждом назначил IP и настроил два маскарадинга, двумя бриджами поделил порты.

Собственно ниже покажу какие настройки я накрутил.

Переименовал стандартный бридж на bridge1 и добавил второй:

/interface bridge add name=bridge2

SFP у меня как аплинк, изменил ему имя (остальные порты просто переименовал как ether1,ether2 и т.д.):

/interface ethernet set [ find default-name=sfp1 ] name=sfp1-Gateway

Добавил VLANы:

/interface vlan add interface=sfp1-Gateway name=vlan1 vlan-id=228 add interface=sfp1-Gateway name=vlan2 vlan-id=226

Указал диапазон IP для DHCP серверов:

/ip pool add name=dhcp-192-168-88-0 ranges=192.168.88.10-192.168.88.254 add name=dhcp-192-168-0-0 ranges=192.168.0.2-192.168.0.254

Настроил два DHCP сервера:

/ip dhcp-server add address-pool=dhcp-192-168-88-0 disabled=no interface=bridge1 name=serever-192-168-88-0 add address-pool=dhcp-192-168-0-0 disabled=no interface=bridge2 name=server-192-168-0-0

У портов с 3 по 5 и 7 по 10 убрал указанные мастер порты. Привязал порты к двум разным бриджам:

/interface bridge port add bridge=bridge1 interface=ether1 add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 add bridge=bridge2 interface=ether6 add bridge=bridge2 interface=ether7 add bridge=bridge2 interface=ether8 add bridge=bridge2 interface=ether9 add bridge=bridge2 interface=ether10

Прописал IP адреса для внутренних сетей и интернета (DHCP Client не использовал, тем более что два IP смотрящие в интернет будут с одинаковым MAC адресом):

/ip address add address=192.168.88.1/24 comment=RDA interface=bridge1 network=192.168.88.0 add address=192.168.0.1/24 comment=Arhitekturnoe interface=bridge2 network=192.168.0.0 add address=172.16.4.81/18 interface=vlan2 network=172.16.0.0 add address=172.18.2.134/16 interface=vlan1 network=172.18.0.0

Указал сети для DHCP:

/ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 add address=192.168.88.0/24 comment="default configuration" gateway=192.168.88.1

Указал DNS адреса:

/ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip dns static add address=192.168.88.1 name=router add address=192.168.0.1 name=router

Правила фаервола которые я прописал и стандартные:

/ip firewall filter add chain=input comment="default configuration" protocol=icmp add chain=input dst-port=80 protocol=tcp add chain=input comment="default configuration" connection-state=established,related add action=drop chain=input comment="default configuration" in-interface=sfp1-Gateway add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related add chain=forward comment="default configuration" connection-state=established,related add action=drop chain=forward comment="default configuration" connection-state=invalid add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=sfp1-Gateway

Правила для маркировки пакетов:

/ip firewall mangle add action=mark-connection chain=forward in-interface=vlan1 new-connection-mark=ID4635-RDA add action=mark-connection chain=forward in-interface=vlan2 new-connection-mark=ID5357-Arhitekturnoe add action=mark-routing chain=prerouting connection-mark=ID4635-RDA new-routing-mark=ID4635-RDA-rt src-address=192.168.88.0/24 add action=mark-routing chain=prerouting connection-mark=ID5357-Arhitekturnoe new-routing-mark=ID5357-Arhitekturnoe-rt src-address=192.168.0.0/24

Два маскарадинга:

/ip firewall nat add action=masquerade chain=srcnat comment="default configuration" out-interface=vlan1 add action=masquerade chain=srcnat out-interface=vlan2

Маршруты:

/ip route add distance=1 gateway=172.18.0.1 routing-mark=ID4635-RDA-rt add distance=1 gateway=172.16.0.1 routing-mark=ID5357-Arhitekturnoe-rt /ip route rule add src-address=192.168.0.0/24 table=ID5357-Arhitekturnoe-rt add src-address=192.168.88.0/24 table=ID4635-RDA-rt

На этом настройка завершена, устройство будет работать как два отдельных роутера с разными IP.

Похожее

ixnfo.com

Как объединить два Mikrotik RouterBoard RB751U-2HnD в одну надёжную сеть — asp24.ru

 Смоделируем ситуацию: у нас есть два офиса, которые находятся в разных зданиях.

 

Как объединить два Mikrotik RouterBoard RB751U-2HnD в одну надёжную сеть

Рис.1. Здания.

 

Между офисами есть прямая видимость и они объединены по радиоканалу с помощью двух Mikrotik RouterBoard RB751U-2HnD. Для стабильности и надёжности провели кабель. Но не стоит полностью отказываться от радиоканала, а лучше оставить его как резервный.

Единственный вопрос: как автоматически переключатся на резервный канал в случае падения основного и возвращаться обратно, когда связь восстановится?

Для решения данной задачи можно объединить проводной и беспроводной интерфейсы в бридж на двух устройствах Mikrotik RouterBoard RB751U-2HnD. Для того, чтобы не возникало конфликтов и Mikrotik RouterBoard RB751U-2HnD автоматически выбирал рабочий канал, существует сетевой протокол STP (Spanning Tree Protocol).

 

Mikrotik Router OS STP и RSTP

Рис.2. Mikrotik Router OS, STP и RSTP.

 

Mikrotik Router OS поддерживает STP и его усовершенствованную версию RSTP. RSTP - более новая вариация, которая позволяет находить новый путь быстрее, чем STP. Исходя из вышесказанного, будем использовать RSTP.

 

Как объединить два Mikrotik RouterBoard RB751U-2HnD в одну надёжную сеть

Рис.3. Mikrotik RouterBoard RB751U-2HnD, первое устройство.

 

В первом устройстве мы объеденили в бридж три интерфейса. Ether1 подключен к маршрутизатору, через который мы получаем доступ в Интернет. К ether5 подключён кабель, объединяющий офисы. Wlan1 - радиоустройство, объединяющее два офиса по радиоканалу.

 

Как объединить два Mikrotik RouterBoard RB751U-2HnD в одну надёжную сеть

Рис.4. Mikrotik RouterBoard RB751U-2HnD, второе устройство.

 

Во втором устройстве все доступные интерфейсы объединены в бридж. Также как и в первом устройстве, к ether5 подключен кабель, объединяющий офисы. Wlan1 - радиоустройство, объединяющее два офиса по радиоканалу. На рисунке 4 также видно, что для этих интерфейсов изменился параметр  Role. Root port – корневой порт, через который будет выполняться передача данных. Alternative port – альтернативный порт, который будет задействован в случае обрыва связи на корневом порту.

 

Mikrotik RouterBoard RB751U-2HnD, переопределение корневого порта

Рис.5. Mikrotik RouterBoard RB751U-2HnD, переопределение корневого порта.

 

На рисунке 4 видно, что Mikrotik RouterBoard RB751U-2HnD определил в роли корневого порта беспроводной интерфейс, хотя мы планировали использовать в качестве основного канала кабель, подключенный к ether5. В настройках портов есть параметр Path Cost, который по умолчанию - 10. Данный параметр предназначен для определения лучшего пути. Изменим его для ether5 на более приоритетный.

 

Mikrotik RouterBoard RB751U-2HnD, корневой порт переопределен

Рис.6. Mikrotik RouterBoard RB751U-2HnD, корневой порт переопределен.

 

В результате изменения параметра Path Cost корневой порт был переопределен.

 

Как объединить два Mikrotik RouterBoard RB751U-2HnD в одну надёжную сеть

Рис.7.Mikrotik RouterBoard RB751U-2HnD, тест.

 

Выполним тест при помощи команды ping.

 

Как объединить два Mikrotik RouterBoard RB751U-2HnD в одну надёжную сеть

Рис.8. Обрыв кабеля.

 

Произошла ситуация, при которой связь по кабелю оказалась прерванной, Mikrotik RouterBoard RB751U-2HnD переключился на резервный канал даже без потери связи.

 

Mikrotik RouterBoard RB751U-2HnD восстановление связи

Рис.9. Mikrotik RouterBoard RB751U-2HnD, восстановление связи.

 

После восстановления кабеля Mikrotik RouterBoard RB751U-2HnD переключился на основной канал с кратковременной потерей связи.

 

Евгений Рудченко специально для ASP24.

asp24.ru

MikroTik и два канала в интернет. Часть 1 - Интернет для локальной сети.

Предлагаю вашему вниманию пример настройки MikroTik RouterOS на самой популярной, на сегодняшний день, версии v3.20 для работы с двумя провайдерами и публикации интернет-сервисов за маршрутизатором. При этом интернет-сервисы смогут автоматически отвечать по запросам пришедшим с обоих провайдеров.

Часть 1. Настройка выхода в интернет из локальной сети и базовая защита маршрутизатора.

Пример сделан на абсолютно чистой конфигурации. Из-за моей специфики я добавил всего-лишь несколько vlan-ов.

У меня в системе два физических интерфейса, из которых один смотрит в локальную сеть (ether2), а на другом (ether1) подключены два vlan-а.Наличие vlan-ов вас не должно пугать, просто замените их на название ваших сетевых интерфейсов.

И так, структура сети следующая:локальная сеть, интерфейс ether2, адрес 192.168.8.35/24первый провайдер: интерфейс vlan54, адрес 89.15.64.9/26второй провайдер: интерфейс vlan40, адрес 82.19.115.100/29

Начнем, с включения сетевых интерфейсов, если они по какой-то причине у вас выключены:

interface enable ether1interface enable ether2interface enable vlan54interface enable vlan40

Результат:

[[email protected]] > interface printFlags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU 0 R ether1 ether 1500 1 R ether2 ether 1500 2 R vlan40 vlan 1500 3 R vlan54 vlan 1500 [[email protected]] >

Добавляем ip адреса:

ip address add address=192.168.8.35/24 interface=ether2 comment="localip address add address=82.19.115.100/29 interface=vlan40 comment="isp1"ip address add address=89.15.64.9/26 interface=vlan54 comment="isp2"

Должно получиться следующее:

[[email protected]] > ip address printFlags: X - disabled, I - invalid, D - dynamic #   ADDRESS            NETWORK         BROADCAST       INTERFACE 0   ;;; local 192.168.8.35/24    192.168.8.0     192.168.8.255   ether2 1   ;;; isp2 89.15.64.9/26      89.15.64.0      89.15.64.63    vlan54 2   ;;; isp1 82.19.115.100/29   82.19.115.96    82.19.115.103  vlan40[[email protected]] >

После этого, если все кабели подключены то у нас должны пинговаться адреса в локальной сети и шлюзы провайдеров:

[[email protected]] > ping 192.168.8.2192.168.8.2 64 byte ping: ttl=255 time<1 ms192.168.8.2 64 byte ping: ttl=255 time<1 ms2 packets transmitted, 2 packets received, 0% packet lossround-trip min/avg/max = 0/0.0/0 ms[[email protected]] > ping 82.19.115.9782.19.115.97 64 byte ping: ttl=255 time=12 ms82.19.115.97 64 byte ping: ttl=255 time<1 ms2 packets transmitted, 2 packets received, 0% packet lossround-trip min/avg/max = 0/6.0/12 ms[[email protected]] > ping 89.15.64.289.15.64.2 64 byte ping: ttl=255 time=10 ms89.15.64.2 64 byte ping: ttl=255 time<1 ms2 packets transmitted, 2 packets received, 0% packet lossround-trip min/avg/max = 0/5.0/10 ms[[email protected]] >

На этом этапе, если хотите, можете подключиться к маршрутизатору через WinBox

Базовая защита маршрутизатора (входящие соединения на сам маршрутизатор):

ip firewall filter add chain input connection-state=invalid action=drop comment="Drop invalid connection packets"ip firewall filter add chain input connection-state=established action=accept comment="Allow established connections"ip firewall filter add chain input connection-state=related action=accept comment="Allow related connections"ip firewall filter add chain input protocol=udp action=accept comment="Allow UDP"ip firewall filter add chain input protocol=icmp action=accept comment="Allow ICMP Ping"ip firewall filter add chain input src-address=192.168.8.0/24 action=accept comment="Access to router only from local network"ip firewall filter add chain input action=drop comment="All other inputs drop"

У нас должно получиться следующее:

[[email protected]] > ip firewall filter print chain input Flags: X - disabled, I - invalid, D - dynamic 0   ;;; Drop invalid connection packets chain=input action=drop connection-state=invalid 1   ;;; Allow established connections chain=input action=accept connection-state=established 2   ;;; Allow related connections chain=input action=accept connection-state=related 3   ;;; Allow UDP chain=input action=accept protocol=udp 4   ;;; Allow ICMP Ping chain=input action=accept protocol=icmp 5   ;;; Access to router only from local network chain=input action=accept src-address=192.168.8.0/24 6   ;;; All other inputs drop chain=input action=drop [[email protected]] >

Настраиваем выход в интернет из локальной сети:

ip firewall nat add chain=srcnat action=masquerade src-address=192.168.8.0/24 out-interface=vlan40ip firewall nat add chain=srcnat action=masquerade src-address=192.168.8.0/24 out-interface=vlan54

Разрешаем маршрутизацию служебных пакетов через сам маршрутизатор:

ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets"ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections"ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections"ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"

Разрешаем выход в интернет для всех адресов из локальной сети:

ip firewall filter add chain forward in-interface=ether2 src-address=192.168.8.0/24 action=accept comment="Access to internet from local network"

Все остальные пакеты проходящие через маршрутизатор блокируем:

ip firewall filter add chain forward action=drop comment="All other forwards drop"

Результат:

[[email protected]] > ip firewall filter print chain forwardFlags: X - disabled, I - invalid, D - dynamic 0   ;;; fake 10.0.0.0/8 chain=forward action=drop src-address=10.0.0.0/8 in-interface=!ether2

1   ;;; fake 172.16.0.0/12 chain=forward action=drop src-address=172.16.0.0/12 in-interface=!ether2

2   ;;; fake 192.168.0.0/16 chain=forward action=drop src-address=192.168.0.0/16 in-interface=!ether2

3   ;;; Drop invalid connection packets chain=forward action=drop connection-state=invalid

4   ;;; Allow established connections chain=forward action=accept connection-state=established

5   ;;; Allow related connections chain=forward action=accept connection-state=related

6   ;;; Allow UDP chain=forward action=accept protocol=udp

7   ;;; Allow ICMP Ping chain=forward action=accept protocol=icmp

8   ;;; Access to internet from local network chain=forward action=accept src-address=192.168.8.0/24 in-interface=ether2

9   ;;; All other forwards drop chain=forward action=drop [[email protected]] >

А теперь, чтобы пользователи действительно могли выйти в интернет, необходимо добавить правило маршрутизации.Я специально делаю чтобы по умолчанию все исходящие соединения шли через одного конкретного провайдера (isp1), а второй пока пусть будет отключен.

ip route add dst-address=0.0.0.0/0 gateway=82.19.115.97 comment="gw1"ip route add dst-address=0.0.0.0/0 gateway=89.15.64.2 comment="gw2" disabled=yes

[[email protected]] > ip route printFlags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit #      DST-ADDRESS        PREF-SRC        GATEWAY-STATE GATEWAY                                     DISTANCE INTERFACE                           0       0.0.0.0/0                          reachable     82.19.115.97                                1        vlan40                              1 ADC  82.19.115.96/29    82.19.115.100                                                             0        vlan40                              2 ADC  89.15.64.0/26      89.15.64.9                                                                0        vlan54                              3 ADC  192.168.8.0/24     192.168.8.35                                                              0        ether2                              [[email protected]] >

Желающие использовать балансировку одинаково распределенную между двумя провайдерами укажите вместо адреса шлюза одного провайдера, через запятую, адреса обоих.

На этом первая часть настройки маршрутизатора завершена. Результаты её: маршрутизатор защищен от вторжений из вне, и пользователи из локальной сети имеют выход в интернет.

Продолжение в следующей статье: MikroTik и два канала в интернет. Часть 2 - Публикация интернет-сервисов за NATом и MikroTik и два канала в интернет. Часть 3 - Маршрутизация

 

papa-admin.ru


Смотрите также