Расширенные настройки Mikrotik RouterOS: два внешних канала от одного провайдера. Настройка роутера микротик на 2 провайдера


два внешних канала от одного провайдера

Данная статья, написана как ответ на вопросы наших посетителей. К статьям про подключение двух внешних каналов связи и их балансировки, мы получили не мало комментариев на сайте и вопросов к менеджерам. В частности, многие интересовались возможностью настройки и балансировки двух каналов, от одного провайдера. И что бы восполнить этот пробел, ниже мы расскажем про основные нюансы, связанные с этой задачей. 

Главной проблемой, которая вызывает вопросы у большинства пользователей, является - одинаковый Gateway на двух каналах, поэтому, прописывая в маршрутизации два или более раза один и тот же шлюз, в итоге, вы не получаете балансировки, так как маршрутизатор связывает его с первым попавшимся физическим интерфейсом, на котором он доступен. Такой вариант хорош, когда второй канал будет резервным. Маршрутизатор без труда выберет первый из доступных, и направит трафик через него. Но он полностью не годится для одновременного использования двух каналов сразу. 

А теперь по порядку… Как всегда, рассмотрим мы эту задачу, на реальном примере. Допустим у нас есть маршрутизатор Mikrotik, и 2 не зависимых внешних канала, от провайдера Киевстар, подключенные к физическим интерфейсам ether1 и ether5. Интерфейсы ether2-ether4, отведены под локальную сеть. 

Подключаемся к маршрутизатору при помощи фирменной утилиты Winbox и первым делом, настраиваем подключение к провайдеру. Так как выбранный нами поставщик услуг, использует протокол динамической настройки узла, или попросту говоря DHCP, то и настраиваем мы DHCP Client в разделе меню IP. 

При помощи кнопки “+”, добавляем нового клиента, и в открывшемся окне, Interface - выбираем первый интерфейс, к которому подключен один из кабелей провайдера. Галочки Use Peer DNS и Add Default Route - убираем.  

RouterOS pic.1

Сохраняем запись кнопкой OK, и повторяем эту же процедуру, для второго интерфейса. В итоге, у нас должно получиться две записи, где мы увидим выданные нам IP адреса. 

RouterOS pic.2

Теперь, нам нужно посмотреть данные на этих интерфейсах, и получить информацию об их шлюзах, и DNS серверах, для дальнейшей настройки. Для этого, открываем свойство каждой записи и переходим на вкладку Status.  

RouterOS pic.3

Здесь мы видим, что Gateway и DNS сервера, и там и там одинаковые. Запоминаем или записываем эти данные.  

Переходим к настройке маршрутизации. Открываем раздел меню IP - Routes и создаем новое правило, при помощи кнопки “+”.

Здесь в качестве Dst.Address - 0.0.0.0/0, а для шлюзов Gateway, используем комбинацию вида xx.xx.xx.xx%ether1. Как можно понять, мы указываем IP адрес шлюза провайдера и физический интерфейс, через который должен идти до него маршрут.

RouterOS pic.4  

Если у вас каналы с разной пропускной способностью, то вы должны в пропорциональном порядке, создать нужное количество Gateway, для каждого физического интерфейса, по аналогии с процедурой, описанной в статье - Равномерное распределение каналов двух провайдеров и доступ к их локальным ресурсам на роутере Mikrotik. 

Далее, нам нужно настроить DNS. Для этого, переходим в раздел меню IP - DNS, где в полях Servers, указываем DNS сервера провайдера, или же можно использовать публичные сервера доменных имен, вроде 8.8.8.8 и 8.8.4.4. 

RouterOS pic.5

  Все что нам осталось сделать, это разрешить доступ из локальной сети, в сеть интернет. Для этого, мы должны настроить NAT.  

В разделе меню IP - Firewall, мы переходим на вкладку NAT и добавляем новое правило при помощи кнопки “+”. На вкладке General, выбираем Chain - scrnat, а в качестве Out.Interface - ether1.  

RouterOS pic.6

А на вкладке Action, для параметра Action, ставим - masquerade.  

RouterOS pic.7

Сохраняем правило, и создаем точно такое же, только для второго интерфейса. Например у нас это ether5, как мы оговаривали в самом начале. 

Далее, в соответствии со своими потребностями, мы настраиваем уже локальную сеть, Firewall и все необходимое. 

При этом, через какое-то время, на той же вкладке NAT, где мы создавали правила, можно посмотреть результат нашей работы и правильность балансировки.  

RouterOS pic.8

И как мы видим, оба канала загружены одинаково, что в плане пакетов, что в плане MB.

lanmarket.ua

Настройка Mikrotik на два провайдера auto (1,2 порт), WiFi-work, WiFi-Free, HotSpot, IPsec,DHCP-Server блокировка сайтов, D-Link DFL

1. При первой загрузке Mikrotik удаляем все настройки нажатием на Remove Configuration

2. Окно терминала "New Terminal" и вводим данные те что курсивом в это окно:

Создаем мосты для гостевой и локальной сети

3. Включаем WiFi

4. Устанавливаем параметры для рабочей WiFi сети

set [find name=wlan1] band=2ghz-b/g/n channel-width=20/40mhz-ht-above l2mtu=1600 mode=ap-bridge name=Lan_wlan ssid=Work_WiFi

4а. Переименовываем интерфейс WiFi для удобства

/interface wireless 

set [find name=wlan1] name=LAN_wlan

5. Переименовываем интерфейсы для удобства, разделяем порты, для локальной сети ставим 5,4,3

set [ find default-name=ether1 ] name=WAN1 set [ find default-name=ether2 ] name=WAN2 set [ find default-name=ether4 ] master-port=ether3 set [ find default-name=ether5 ] master-port=ether3

6. Устанавливаем методы авторизации для WiFi сети (рабочей и гостевой)

/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\     dynamic-keys wpa2-pre-shared-key=2651227978669147 add authentication-types=wpa-psk,wpa2-psk eap-methods="" \     management-protection=allowed name=Guest_security supplicant-identity=""

7. Добавляем виртуальный интерфейс гостевой WiFi сети

/interface wirelessadd default-forwarding=no disabled=no name=Guest_wlan master-interface=Lan_wlan name=Guest_wlan security-profile=Guest_security ssid=Guest_WiFi

8. Устанавливаем блокировку социальных сетей

/ip firewall layer7-protocol add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|fall-in-love|loveplanet|my.mail.ru).*\$"

9. Настраиваем HotSpot на триальное время 20минут,

set [ find default=yes ] login-by=http-chap,trial trial-uptime=20m/0s

10. Здесь настройка IPsec до удаленного маршрутизатора

set [ find default=yes ] enc-algorithms=3des lifetime=8h

11. Окружение локальной сети для рабочей и гостевой области

add name=dhcp_Local ranges=192.168.121.40-192.168.121.254 add name=dhcp_guest ranges=10.0.0.2-10.0.0.254

12. Поднимаем DHCP сервер для раздачи гостевой и рабочей области

add address-pool=dhcp_Local disabled=no interface=bridge-local lease-time=3d \ add address-pool=dhcp_guest disabled=no interface=Guest-bridge lease-time=1h \

13. Добавляем в HotSpot область которую необходимо обслуживать

add address-pool=dhcp_guest disabled=no idle-timeout=none interface=\     Guest-bridge name=HotSpot

14. Ограничиваем скорость для Guest_WiFi

add name=HotSpot queue=hotspot-default/hotspot-default target=Guest-bridge \     total-limit-at=1M total-max-limit=1M

15. Устанавливаем профиль пользователей для WiFi сети

set [ find default=yes ] insert-queue-before=HotSpot keepalive-timeout=1h \     shared-users=unlimited

16. Указываем порты для мостов локальной 

add bridge=bridge-local interface=ether3 add bridge=bridge-local interface=LAN_wlan add bridge=Guest-bridge interface=Guest_wlan

17. Указываем IP адреса провайдеров и локальных сетей

/ip address

add address=95.47.133.90/24 comment=WAN_ISP1 interface=WAN1 network=\ add address=194.136.172.158/30 comment=WAN_ISP2 interface=WAN2 network=\ add address=192.168.121.1/24 comment=LAN interface=bridge-local network=\ add address=10.0.0.1/24 comment=Guest_Bridge interface=Guest-bridge network=\

18. Указываем настройки для раздачи по DHCP для рабочей и гостевой сети

add address=10.0.0.0/24 comment=Guest_lan dns-server=10.0.0.1 gateway=\ add address=192.168.121.0/24 comment=lan dns-server=\     194.85.128.10,212.44.130.6,95.182.72.5,95.182.72.7 domain=mydomen \     gateway=192.168.121.1

19. Настройки DNS от провайдеров

set allow-remote-requests=yes servers=95.132.72.5,194.85.128.10 add address=192.168.121.1 name=router

20. Листы для доступа и блокировок (192.168.100.0/24 этим цветом окрашен удаленный маршрутизатор D-Link DFL)

/ip firewall address-list add address=192.168.100.0/24 list="Access list" add address=95.17.221.230 list="Access list" add address=192.168.100.0/24 list=VPN_List add address=192.168.121.0/24 list=CU_BLOCK_SOCIAL

21. Устанавливаем фильтрацию трафика

add action=passthrough chain=unused-hs-chain comment=\     "place hotspot rules here" disabled=yes add action=drop chain=output comment="Drop ping on Google from WAN2_ISP" \     dst-address=8.8.4.4 out-interface=WAN2 add chain=input comment="Remote Control" src-address-list="Access list" add chain=input comment="Allow Ping" protocol=icmp add chain=input comment="Allow ipsec-esp" protocol=ipsec-esp add chain=input comment="Default accept established" connection-state=\ add action=drop chain=input in-interface=WAN1 add action=drop chain=input in-interface=WAN2 add chain=forward connection-state=established add chain=forward connection-state=related add action=drop chain=forward connection-state=invalid add chain=input comment="Allow IKE" dst-port=501 in-interface=WAN2 protocol=\ add action=drop chain=forward comment="Guest access" dst-port=!80,8080,443 \     protocol=tcp src-address=10.0.0.0/24 add action=drop chain=forward dst-address-list=VPN_List src-address=\ add action=passthrough chain=unused-hs-chain comment=\     "place hotspot rules here" disabled=yes add chain=srcnat comment="Allow trafic VPN" dst-address-list=VPN_List \     src-address=192.168.121.0/24 add action=masquerade chain=srcnat out-interface=WAN1 add action=masquerade chain=srcnat out-interface=WAN2 add action=masquerade chain=srcnat comment="masquerade hotspot network" \     out-interface=Guest-bridge /ip firewall service-port

22. Устанавливаем пир до удаленного маршрутизатора 

add address=95.17.221.230/32 enc-algorithm=3des generate-policy=port-strict \     lifetime=1h mode-config=request-only nat-traversal=no secret=2545542 \     send-initial-contact=no

23. Прописываем маршруты наших сетей

add comment=WAN_ISP2 distance=1 gateway=194.136.172.157 add comment=WAN_ISP1 distance=2 gateway=95.47.133.1 add distance=1 dst-address=192.168.100.0/24 gateway=bridge-local

24. Отключаем лишние сервисы которые мы не будем обслуживать

25. Устанавливаем автоматическое обновление времени с серверов

set time-zone-name=Europe/Moscow

/system ntp client

set enabled=yes primary-ntp=91.226.136.136 secondary-ntp=109.195.19.73

26. Пишем скрипт: Пингуем адрес 8.8.4.4, если пинг пропал, то включаем WAN_ISP2, если пинг восстановился, то переключаем обратно. Интервал пинга 30 секунд.

/tool netwatchadd down-script="/ip route enable [find comment =\"WAN_ISP2\"]" host=8.8.4.4 interval=30sup-script="/ip route disable [find comment =\"WAN_ISP2\"]"

27. Блокировка Torrent

Блокирует исключительно только торрент-траффик.

/ip firewall filteradd ac=drop ch=forward p2p=a

add ac=drop ch=forward in-int=bridge-local pr=udp cont=«d1:ad2:id20:» dst-port=1025-65535 packet-s=95-190add ac=drop ch=forward in-int=bridge-local pr=tcp cont=«info_hash=» dst-port=2710,80 

не обязательно, то что ниже:

— Блокируем скачку .torrent файлов:add ac=drop ch=forward cont="\r\nContent-Type: application/x-bittorrent" out-in=bridge-local pr=tcp src-p=80

— Блокируем локальный торрент:add ac=drop ch=forward cont="\r\nInfohash: " in-in=bridge-local pr=udp dst-port=6771

Команды, там где "\r\n… "- вставлять только через консоль. Настройка DFL здесь Примечание: В DFL необходимо приписать два ip адреса от провайдера и когда происходит автоматическое переключение на WAN_ISP2 микротик, необходимо вручную на DFL менять ip адрес в ipsec и при возобновлении WAN_ISP1 менять обратно. DFL не умеет освобождать SAs (автоматом, либо работает криво) Всем удачи в работе. Ты если Чё, ЗАХОДИ!

zaraev.blogspot.ru

Mikrotik RouterOS; два провайдера - балансировка, маршрутизация, firewall (без скриптов)

Мы уже рассматривали вариант подключения двух провайдеров Интернет к одному маршрутизатору, под управлением операционной системы Mikrotik RouterOS. Однако, это был самый простой вариант. Который не всегда может подойти в тех или иных условиях. Поэтому сегодня, мы возьмем ряд конкретных примеров настройки маршрутизатора с условием подключения к двум провайдерам, и более подробно остановимся на некоторых нюансах настройки Firewall, NAT, маршрутизации и балансировки нагрузки или использования второго канала в качестве резервного.

И так как дальнейший рассказ будет с конкретными примерами, то и начнем его с конкретных условий. У нас есть 2 провайдера. Связь с обоими устанавливается посредством протокола PPPoE. Как настроить соединение с провайдером, подробно описано в этой статье, поэтому этот процесс мы пропустим. Обозначив лишь то, что провайдер №1 у нас подключен к порту Ether1, и имя его PPPoE подключения - ISP1. Провайдер №2, подключен к порту Ether2 и имеет имя PPPoE подключения - ISP2.

Единственный момент, это то, что мы в дальнейшем, будем самостоятельно создавать правила маршрутизации, поэтому при создании подключений к провайдерам, необходимо убрать галочку с пункта Add Default Route на вкладке Dial Out для PPPoE соединения.

PPPoE client RouterOS

NAT

Чтобы наша сеть правильно работала и имела доступ в интернет, нам необходимо настроить NAT. Для этого открываем раздел IP -> Firewall, переходим на вкладку NAT и кнопкой “+”, добавляем новое правило.

На вкладке General, цепучку Chain выбираем scrnat. Значение поля Out. Interface, в данном случае, мы оставляем не заполненным, так как у нас два провайдера, и соответственно 2 разных интерфейса.

New NAT Rule RouterOS

Затем на вкладке Action, в качестве параметра для поля Action, ставим значение masquerade.

New NAT Rule RouterOS

Сохраняем правило кнопкой OK. Настройку NAT, можно считать законченной.

NAT Rules RouterOS

Firewall

 Следующий наш шаг, это настройка функции Firewall, которая призвана защитить нашу локальную сеть.

 Переходим на вкладку Filter Rules, где нам предстоит создать ряд основных правил, согласно которым, будет организованно прохождение пакетов через наш маршрутизатор.

Если у вас есть в этом разделе какие либо правила, то их следует сперва удалить.

 Новые правила, можно добавлять нажатием кнопки “+”, после чего, например для правила разрешающего ping - chain=input protocol=icmp action=accept, на вкладке General, мы выбираем цепочку Chain - input, а протокол Protocol - icmp.

New Firewall Rule RouterOS

После чего, на вкладке Action, в качестве параметра для поля Action, выбираем acept.

New Firewall Rule RouterOS

Это действие, необходимо повторить порядка 14 раз, для четырнадцати разных правил.

Разрешаем Ping

chain=input protocol=icmp action=accept

chain=forward protocol=icmp action=accept

 Разрешаем установленные соединения

chain=input connection-state=established action=accept

chain=forward connection-state=established action=accept

 Разрешаем родственные соединения

chain=input connection-state=related action=accept

chain=forward connection-state=related action=accept

 Запрещаем не удачные соединения

 chain=input connection-state=invalid action=drop

chain=forward connection-state=invalid action=drop

Разрешаем соединения по протоколу UDP

chain=input protocol=udp action=accept

chain=forward protocol=udp action=accept

 Открываем доступ в Интернет для нашей локальной сети. Для тех, у кого префикс локальной сети, отличается от 192.168.0.0/24, поставить вместо этого, свои адрес.

chain=forward src-address=192.168.0.0/24 action=accept

 Разрешаем доступ к роутеру, только из локальной сети, как и выше - 192.168.0.0/24 стоит заменить своим адресом.

chain=input src-address=192.168.0.0/24 action=accept

 И в конце, запрещаем все остальное

chain=input action=drop

chain=forward action=drop

Понятное дело, что открывать каждый раз новое окно, и заполнять все необходимые поля, это довольно утомительно, поэтому, я рекомендую открыть New Terminal и по одной задать команды перечисленные ниже. Это займет гораздо меньше времени.

New Terminal Firewall Rules RouterOS

ip firewall filter add chain=input protocol=icmp action=accept

ip firewall filter add chain=forward protocol=icmp action=accept

ip firewall filter add chain=input connection-state=established action=accept

ip firewall filter add chain=forward connection-state=established action=accept

ip firewall filter add chain=input connection-state=related action=accept

ip firewall filter add chain=forward connection-state=related action=accept

ip firewall filter add chain=input connection-state=invalid action=drop

ip firewall filter add chain=forward connection-state=invalid action=drop

ip firewall filter add chain=input protocol=udp action=accept

ip firewall filter add chain=forward protocol=udp action=accept

ip firewall filter add chain=forward src-address=192.168.0.0/24 action=accept

ip firewall filter add chain=input src-address=192.168.0.0/24 action=accept

ip firewall filter add chain=input action=drop

ip firewall filter add chain=forward action=drop

 Но каким бы методом, мы это не делали, в итоге, мы должны получить следующее.

Firewall Rules RouterOS

Routing

Последним, но одним из самых важных действий, осталось создание маршрутов. Начнем с того, что пометим наши соединения с провайдером. Это необходимо для того, чтобы все пришедшие на интерфейс того или иного провайдера запросы, уходили именно на его интерфейс. Это довольно критично в том случае, если у нас за NAT, есть какие либо ресурсы, к которым необходимо обеспечить доступ из глобальной сети Интернет. Например web-сервер или почтовый сервер и т.д. О том как организовать работу таких сервисов, мы уже рассматривали в статье Расширенные настройки Mikrotik RouterOS: перенаправление портов - dstnat.

 Для этого, нам необходимо создать два отдельных правила, для каждого провайдера в разделе IP -> Firewall на вкладке Mangle.

 На вкладке General, выбираем цепочку Chain как forward, а в качестве In.Interface выбираем интерфейс PPPoE подключения первого провайдера ISP1.

New Mangle Rule RouterOS

А на вкладке Action, в качестве параметра Action, выбираем mark connection и в появившемся ниже поле New Connection Mark, вписываем имя метки для этого соединения, например ISP1-con.

New Mangle Rule

То же самое, повторяем для второго провайдера. Только в качестве In.Interface выбираем ISP2, а в поле New Connection Mark, вписываем метку для второго соединения ISP2-con.

 Теперь, чтобы отправить ответ на пришедший запрос через интерфейс того же провайдера, нам необходимо создать еще 2 правила, которые будут помечать маршруты.

 Здесь же, создаем новое правило в котором в качестве цепочки Chain, выбираем значение prerouting, в поле Scr.Address вписываем префикс нашей локальной сети 192.168.0.0/24, а Cjnnection Mark выбираем метку соединения нашего первого провайдера ISP1-con.

New Mangle Rule RouterOS

Переходим на вкладку Action и в поле Action, выбираем mark routing, а в появившемся ниже поле New Routing Mark, присваиваем метку для маршрута этого провайдера, например ISP1-rt.

New Mangle Rule

Точно такое же привило, создаем и для второго соединения. Только, соответственно, в качестве Connection Mark выбираем ISP2-con, а в качестве New Routing Mark, вписываем ISP2-rt.

 И теперь, если у нас есть какие либо ресурсы, доступ к которым необходимо обеспечить исключительно через интерфейс того или иного провайдера, нам нужно создать список этих ресурсов и пометить все соединения с адресами из этого списка, для дальнейшей правильной маршрутизации.

 Например у провайдера №2 - ISP2 есть локальные ресурсы имеющие диапазон адресов 181.132.84.0/22. А через провайдера №1, пинг к игровым серверам онлайн игр, гораздо меньше. И мы знаем что IP адреса этих серверов 90.231.6.37 и 142.0.93.168.

 Переходим на вкладку Address Lists раздела IP -> Firewall. И по одному добавляем эти IP адреса или подсети целиком, с именами to-ISP1 или to-ISP2, в зависимости от того, через какого провайдера должно быть обращение к этим ресурсам.

New Address List RouterOS

И так как большинство провайдеров используют собственные DNS сервера, доступ к которым зачастую запрещен из других сетей, то в эти списки, крайне важным будет добавить и адреса DNS серверов каждого из провайдеров, для того чтобы запросы доменных имен уходили на них именно через интерфейс конкретного провайдера.

Узнать DNS адреса не сложно, например у самого провайдера на сайте в разделе по настройке оборудования.

В итоге, мы должны иметь ряд адресов для каждого из списков

Address Lists RouterOS

Для того чтобы пометить маршруты для этих списков, возвращаемся на вкладку Mangle., где создаем еще 2 правила. Для ISP1 и списка to-ISP1, правило будет выглядеть так: на вкладке General, Chain - prerouting, Connection State - new.

New Mangle Rule RouterOS

На вкладке Advanced, Dst.Address List - наш список адресов для первого провайдера to-ISP1.

New Mangle Rule RouterOS

А на вкладке Action, Action - mark routing, New Routing Mark - ISP1-rt.

New Mangle Rule RouterOS

Повторяем тоже самое, для списка адресов второго провайдера. Но соответственно в качестве Dst.Address List, указываем список адресов для второго провайдера to-ISP2. А в качестве метки для маршрута New Routing Mark - ISP2-rt.

 И приступаем к самой основной части настройки маршрутизации - созданию статических правил маршрутизации в разделе IP -> Routes.

 Здесь, на вкладке Routes, создаем новый маршрут.

Если каналы наших обоих провайдеров, практически равны, то добавляем вот такой маршрут: но вкладке General, окна создания маршрута, для Dst.Address пишем 0.0.0.0/0, а в качестве Getway выбираем интерфейсы наших провайдеров ISP1 и ISP2. Все остальные параметры, оставляем без изменений.

В таком варианте, нагрузка на обоих провайдеров, будет распределяться равномерно.

New Route RouterOS

Если же мы хотим сделать так, что бы второй провайдер у нас был запасным, и “включался” только в случае, когда не доступен или сильно загружен первый, то создаем два маршрута.

 Первый Dst.Address - 0.0.0.0/0, Gateway - ISP1.

А второй Dst.Address - 0.0.0.0/0, Gateway - ISP2, Distance - 2.

New Route RouterOS

И еще, необходимо создать два отдельных маршрута, для каждого из провайдеров, куда будут уходить помеченные нами ранее маршруты. Отличатся они будут тем, что в поле Routing Mark будет указана метка, которую мы присваивали ранее, для того или иного провайдера.

 Первый будет иметь Dst.Address - 0.0.0.0/0, Gateway - ISP1, Routing Mark - ISP1-rt, а второй, соответственно Dst.Address - 0.0.0.0/0, Gateway - ISP2, Routing Mark - ISP2-rt

New Route RouterOS

Теперь работа с двумя провайдерами, настроена должным образом. Все входящие соединения помечаются и ответы на них уходят через тот интерфейс, на который пришел запрос. Обращения к тем или иным ресурсам, распределены, и нагрузка на оба канала - сбалансирована.

Алексей С., специально для LanMarket

lanmarket.ua

Mistifiks blog: Настройка маршрутизаторов Mikrotik (ч.2): резервирование интернет-канала

Задача:

   Предположим, у нас есть два интернет-провайдера, предоставляющих доступ в сеть через проводное соединение. От первого провайдера мы должны получить настройки по dhcp, для второго их нужно задать статически. Нам требуется обеспечить безотказную работу интернет-соединения. Для этого при возникновении проблем с доступом в интернет через основной канал (первого провайдера) наш маршрутизатор должен автоматически переключаться на резервный (второго провайдера), и, при восстановлении связи, продолжать работу в штатном режиме. Сразу условимся: в первый порт будет подключен основной провайдер, во второй - резервный, остальные три порта будут использоваться для подключения компьютеров локальной сети. О работоспособности канала будем судить по доступности ip-адреса. Для проверки лучше всего взять адрес какого-либо крупного сервиса, вероятность отказа которого крайне мала (мы выбрали google dns).

1. Очистка конфигурации роутера

   Для того, чтобы процесс настройки был понятней, и в дальнейшем не возникло путаницы, мы удалим стандартную конфигурацию и будем все делать с нуля. После очистки конфигурации к роутеру можно подключиться только по mac-адресу через программу winbox.

2. Настройка интерфейсов и создание сетевого моста ("bridge") 

   В системе управления каждый интерфейс имеет свое имя. Имеет смысл присвоить интерфейсам устройства хорошо различимые понятные имена, что в будущем позволит существенно облегчить настройку и мониторинг системы.

   Следующей задачей для нас является настройка внутренней сети. Для обеспечения взаимосвязи между компьютерами и устройствами локальной сети проще всего воспользоваться функциями сетевого моста ("Bridge"), который позволяет объединить внутренние сетевые интерфейсы и обеспечить прозрачный доступ внутри сети.

   Для создания сетевого моста необходимо воспользоваться пунктом меню "Bridge", указать требуемое имя моста и в закладке "Ports" добавить в мост требуемые внутренние интерфейсы. 

3. Добавление ip-адресов

   Далее нужно добавить внутренний ip адрес, который будет являться шлюзом для нашей локальной сети (обратите внимание, что его нужно присвоить интерфейсу сетевого моста), а так же ip-адрес, который нам предоставляет второй провайдер.

4. Настройка внутреннего dhcp-сервера

   Теперь мы должны настроить параметры внутреннего DHCP сервера для раздачи IP адресов устройствам внутренней сети. Сначала необходимо создать пул выдаваемых IP адресов, для чего открываем пункт меню "IP"-"Pool", создем новый пул, присваиваем ему различаемое имя и указываем диапазон выдаваемых адресов.

   Теперь можно приступать к настройке собственно DHCP сервера. Для этого необходимо перейти в пункт меню "IP"-"DHCP Server" и создать новый сервер, указав его имя, интерфейс на котором сервер будет работать (в нашем случае это сетевой мост) и ранее настроенный пул выдаваемых адресов. После этого мы должны указать параметры сети для нашего DHCP севера. Для этого нужно перейти на закладку "Network" и указать параметры передаваемые клиентам.

5. Создание dhcp-клиента

   Так как подключение к сети первого провайдера предполагается осуществлять с использованием динамического адреса, значит нам нужно создать dhcp-клиента, работающего на первом порту маршрутизатора. Сделать это можно из меню "IP" - "Dhcp client".

6. Добавление статических маршрутов

   Все взаимодействие между сетями осуществляется в соответствии с таблицей маршрутизации, управлять которой можно из меню "Routes". Маршруты в локальную сеть и к внутренним сетям провайдеров были добавлены динамически, осталось добавить маршруты в интернет (на адрес 0.0.0.0/0) через шлюзы провайдеров. Так же для обоих созданных маршрутов добавляем комментарии и указываем маршрут к 8.8.4.4 через шлюз первого провайдера (необходимо для работы проверки канала).

7. Настройка межсетевого экрана

   Используя встроенный файервол можно управлять всем трафиком, проходящем через маршрутизатор. Фильтрация осуществляется на основе правил, заданных в меню "Firewall" и применяемых последовательно ко всем сетевым пакетам. Все действия с маршрутизатором можно проводить, как из графического интерфейса, так и из командной строки. В данном разделе удобнее будет все сделать из консоли. 

    Заходим в "Terminal" и выполняем следующие команды:  

#скрываем внутреннюю сеть за NAT ip firewall nat add action=masquerade chain=srcnat comment=NAT src-address=192.168.88.0/24 #запрещаем соединения со статусом invalid ip firewall filter add action=drop chain=input comment="Deny invalid connections" connection-state=invalid #разрешаем использование протокола icmp ip firewall filter add chain=input comment="Permit icmp" protocol=icmp #разрешаем все уже установленные соединения ip firewall filter add chain=input comment="Permit established connections" connection-state=established #разрешаем все зависимые соединения ip firewall filter add chain=input comment="Permit related connections" connection-state=related #блокируем все новые соединения со всех интерфейсов, кроме LAN ip firewall filter add action=drop chain=input comment="Deny new connections" connection-state=new in-interface=!LAN #запрещаем ping 8.8.4.4 через ISP2 ip firewall filter add action=drop chain=output comment="Deny 8.8.4.4 to reserved internet-channel" dst-address=8.8.4.4 out-interface="ether2 - internet II (reserve)" protocol="icmp"

8. Переключение каналов

   В ОС роутера есть встроенная утилита "Netwatch", которая позволяет отслеживать состояние хостов в сети посредством отправки ICMP-запросов (ping) и выполнять какие-либо действия на основе их доступности. Мы будем отслеживать ip-адрес 8.8.4.4 через первый канал, и в случае его недоступности переключать маршруты на работу по второму.

   Создаем новый "Netwatch host", в графе "Host" указываем отслеживаемый ip-адрес, а в "Interval" - частоту осуществляемых проверок. 

   В раздел "Up" нужно сделать записи:

#включем маршрут с комментарием "ISP1" (основной канал) /ip route set [find comment="ISP1"] disabled=no #отключаем маршрут с комментарием "ISP2"(резервный канал) /ip route set [find comment="ISP2"] disabled=yes

   В раздел "Down":

#отключаем маршрут с комментарием "ISP1"(резервный канал) /ip route set [find comment="ISP1"] disabled=yes #включаем маршрут с комментарием "ISP1" (основной канал) /ip route set [find comment="ISP2"] disabled=no

9. Настройка безопасности

   Выполняя настройку подобных устройств всегда необходимо думать о сетевой безопасности, поэтому перед введением маршрутизатора в эксплуатацию необходимо произвести следующие настройки:

  • отключить все неиспользуемые сервисы ("IP" - "Services")
  • отключить обнаружение устройства на всех внешних интерфейсах ("IP" - "Neighbor")
  • установить пароль администратора ("System" - "Password")

Настройка маршрутизаторов Mikrotik (ч.1): подключение, основные параметры

Настройка маршрутизаторов Mikrotik (ч.2): резервирование интернет-канала

Настройка маршрутизаторов Mikrotik (ч.3): использование USB-модема для резервного канала

blog.mistifiks.ru


Смотрите также